企業防火墻不能勝任的3個任務
以下的文章主要是介紹企業防火墻不能完成的三大任務,在企業網絡管理的工具中網絡防火墻一定是在其中的,確實,防火墻的出現,讓我們實現了可以"全網統一",在企業網絡的級別上實現網絡管理策略。
這對于針對單機的管理來說,是一個很大的進步。但是,世上往往沒有十全十美的東西,防火墻也不是救世主,不能夠解決網絡管理中的一切問題。防火墻也必須同其他管理工具一起,才能夠保障企業網絡的安全、穩定運行。
下面筆者就簡單介紹一下企業防火墻在現階段基本上不能夠實現的三個任務以及應對之道。
第一個不能完成的任務:不通過防火墻對于企業的攻擊。
從企業網絡的安全性考慮,企業網絡安全主要來自于兩個方面。一是來自于企業外部,如外部木馬的滲入、外部惡意的攻擊等等;二是來自于內部的攻擊,如員工處于報復等攻擊服務器、或者無意中把病毒通過U盤等移動存儲工具帶到企業內部。根據相關的統計,企業80%的安全威脅來自于企業內部的行為;而只有20%是來自于外部的。從這里出發,若企業光靠一個防火墻,是遠遠不能夠保障企業的網絡安全的。
所以,若在企業的網絡中,只運行一個企業防火墻,是遠遠不夠的。
一方面,員工在實際工作中,會無意的從外部網絡中,如在家里上網或者出差在外,帶一些病毒感染或者帶有木馬的文件到公司,從而引發內部的攻擊。
另一方面,一些員工,可能對于公司的不滿,惡意的下載一些攻擊工具,如常見的DOS拒絕服務攻擊,從企業內部對公司的文件服務器等進行攻擊,導致企業網絡不能夠正常運作。
無論是企業員工無意的過失,還是有意的報復行為,只要從企業內部進行攻擊,或者說,繞開防火墻而進行的攻擊,則防火墻都將無能為力。
第二個不能完成的任務:防火墻沒有透視功能。
現在的防火墻,基本上沒有透視功能。也就算說,在數據通過防火墻傳輸的話,則不會檢視數據的具體內容。這就給特洛伊木馬有了可乘之機。由于防火墻不會去檢查通過防火墻的具體內容,所以,特洛伊木馬可以暢通無阻的進入企業內部網絡;很多病毒也可以進入企業而不被防火墻所發現。所以,從這一點上說,防火墻對于病毒與木馬的防護能力是很薄弱的,還是需要跟病毒防火墻合作才能夠起到良好的保護作用,防止病毒與木馬的入侵。所以,防火墻與殺毒軟件是兩種不同的概念,這個要搞清楚。
一些被加密過的信息,防火墻也不會去進行解密、加密動作,因為只要文件被加密了,則這個文件就可以在防火墻中暢通無阻的通過。如某個WORD文件,帶有危險的腳本程序,只要他采用一定的加密手段對文件加密后,則這個WORD文件就可以進入到企業內部網站,然后當內部人員打開這個文件后,從而對企業的內部網絡產生危害。另外,這個特性也不利于對企業文件的保護。如企業內部員工把一份重要的EXCEL文件發送給非法的第三者,若員工對該文件進行加密然后通過QQ軟件傳輸給第三方,由于該文件加密處理過,所以,防火墻不會去查看文件的具體內容,從而導致企業機密文件泄露也無法追蹤。
另外,防火墻也不會去查詢隧道中傳輸內容的合法性。我們都知道,虛擬專用網絡(VPN)可以在外部訪問者與企業內部網絡之間形成一條虛擬的通道,以提高外部網絡訪問企業內部網絡的效率與安全性。但是,當這條通道通過企業的防火墻的時候,由于防火墻這一技術限制,防火墻是不會去查看隧道中的內容。所以,即使防火墻的策略拒絕某種信息流量的通過,但是,只要隧道建立之后,這些信息流在隧道中就可以暢通無阻的運行,而不受防火墻策略的影響。
所以說,防火墻是沒有透視功能的。諸如對郵件內容的跟蹤、對加密文件的判斷、對于隧道傳輸內容的控制等等,都是無法實現的。
第三個不能完成的任務:企業防火墻依賴于特定的安全策略而工作。
防火墻其實就是一個過濾網,網絡管理員定義了哪些流量可以通過,哪些流量不能通過,然后,防火墻造做即可。我們所定義允許與不允許的語句,對于防火墻來說,就是安全策略。防火墻是基于這種安全策略來工作的。這跟殺毒軟件等不同。殺毒軟件本身就有一個病毒庫,可以實時的從網上下載,從而我們網絡管理員不需要進行過多的干涉,即使想干涉也干涉不了。雖然現在很多殺毒軟件經常發生誤殺事件,使得企業的操作系統崩潰。
但是防火墻則不同。防火墻若要工作順利的話,就需要我們一步步的叫他怎么做。如我們需要定義,允許哪些流量通過,不允許哪些流量通過。最常見的是,我們可以通過防火墻,禁止員工在上班時間上網;允許他們在下班時間可以上網。通過防火墻,也可以限制企業訪問外部的FTP服務器,或者郵箱服務器,防止他們把公司重要的文件泄露給其他人,等等。這些策略都要我們一個個的教他們該怎么怎么做。
真是由于防火墻是基于特定的策略而工作的,所以,防火墻的智能就比較低,需要我們花費比較大的時間與精力跟防火墻打交道,防火墻才會成為我們網絡安全管理的好幫手。
為此,針對這個防火墻不能完成的三大任務,對于我們有什么啟示呢?
一是,我們要知道,任何一款網絡管理工具都無法拍胸脯可以保證,只憑自己就可以全面保護企業網絡的安全。防火墻只是企業網絡保護的一個點,一個企業邊界網絡上的安全管理工具。防火墻在企業網絡中,只能夠部分保護網絡的安全,要全面提高網絡的安全性能,還需要其他工具,如殺毒軟件、稍描工具的幫助。
二是從這里我們也可以看出,殺毒軟件、掃描工具、防火墻之間的區別。我在實際工作中,老是聽到別人向我詢問,既然安裝了防火墻,為什么還要安裝殺毒軟件呢?其實,防火墻與殺毒軟件是兩個不同的概念。防火墻是在企業網絡的邊界保護企業網絡的安全,而殺毒軟件,則是在終端,通過保護企業每臺主機使得他們不受病毒的侵襲從而保障企業整個網絡的安全。他們兩個所保護的點是不同的。
三是防火墻是基于特定的策略而運作的,所以,防火墻基本上不能夠實現智能部署。這就要求我們在防火墻管理上,需要不斷的測試,只有所配置的策略測試沒有問題的時候,才能夠應用到網絡上。比如,筆者在防火墻管理的時候,如要添加一個策略或者刪除一條策略的時候,一般都是選擇在休息日進行。因為在休息日,可以讓我有足夠的時間對新策略進行測試,在最大限度內,減少因為策略的誤采用而給企業網絡的運行帶來不必要的麻煩。
最后,筆者需要強調的是,防火墻雖然有一些不能夠完成的任務,但是,其在企業網絡的安全管理中,是一個非常好的幫手。為什么這么說呢?因為防火墻技術的采用,使得我們網絡管理人員可以在全網上實現管理策略的統一。也就是說,我們可以借助防火墻,在企業內外網的接口上,對公司的網絡采取統一的安全策略。這是一個解決企業網絡安全的一個非常好的管理思路。
在防火墻出現以前,我們只能夠在單機角度上出發,采取一些安全策略。但是,這對于我們管理很不方便。一是隨著主機的增多,我們的維護工作量也隨之增加;而是當網絡終端數量達到一定的程度時,若沒有一個統一管理的平臺,則我們無法實現網絡安全策略的統一定義與管理,這很容易造成各個安全策略相互矛盾。
而由于企業防火墻的出現,則使得我們可以在網絡級別上,而不是基于終端,統一設置安全策略。如外部網絡訪問的規則,等等。筆者認為,這對于我們網絡安全管理,是非常有必要的。筆者堅信,雖然其在某些方面無法達到我們的要求,但是防火墻仍然是我們網絡安全管理的必不可少的工具,是不可替代的好幫手。
【編輯推薦】
