企业信息化防火墙配置

企业信息化防火墙配置

随着Internet的飞速发展，信息化成为时代发展的必然趋势，给我们带来了经济的发展和社会的进步，然而同时也带来了网络安全问题的困扰。病毒入侵、黑客攻击等威胁使企业遭受巨大损失。企业实施信息化首先必须保证网络的安全。为此，许多企业采用种种安全技术来提高其内部网络的安全性，防火墙技术就是近年来提出并推广的一项网络安全技术，是目前一种最重要的网络防护设备。

一、防火墙

防火墙是位于网络之间，实施网络间访问控制的组件的集合，是一个把互联网与内部网隔开的屏障。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网的服务和访问的审计和控制，从而保护内部网免受非法用户的侵入，增强企业内部网的安全性。

二、企业配置防火墙注意的问题

1、防火墙要安全可靠

防火墙自身应具有强大的抗攻击免疫力，这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这就要求防火墙本身具有完整信任关系的操作系统，具有非常强的抗击入侵本领。

2、防火墙要性能稳定

选购防火墙时应注意到正规厂家去购买那些通过专业人士或测评机构认可的产品。只有本身性能稳定，才可能真正实现防火墙的应有功能。

3、防火墙适应性要高

防火墙对不同接入方式的适应性应该足够高，适应性小了，局限性就大了。

4、防火墙的配置管理要方便

选择防火墙时，一定要看它的配置是否容易掌握。否则，复杂的配置对网络管理员将是一个极大的考验。

5、防火墙具有可扩展性和可升级性

防火墙不仅能更好的保护内部网络安全，而且应该具有更优良的整体性能。要留有足够的拓展空间，才能适应将来迅速发展和变化的安全要求，支持新的服务和新的功能。

6、防火墙具有审计功能和自动日志分析功能

防火墙日志应具有可读性，而且防火墙应有精简日志的能力。日志功能可以让管理员更早地发现潜在的威胁以及系统的安全漏洞，及时地调整安全策略，预防攻击的发生。

7、防火墙应有病毒防护功能

病毒防火墙可以有效地防止病毒在网络中传播，比等待攻击的发生更加积极，可以大大降低企业的损失。

三、企业防火墙的具体配置

针对不同的服务，防火墙的配置方式也应不同。常用的应用服务具体配置如下：

1、E-mail电子邮件服务

电子邮件是一种广泛的Internet服务，它给广大用户带来了通信的迅速便捷，但也常常带来麻烦。其中惹祸的根源往往是Sendmail程序和SMTP协议。对此，应在防火墙上安装SMAP和SMAPD这两个应用程序来限制Sendmail的权限，放弃SMTP一些次要的功能，并尽可能地减少处理命令，来获得更好的安全性。

2、Telnet服务

Telnet服务可以用来访问BBS站点和执行远程调用。不过它有个最大的安全问题：访问服务器的时候，口令的验证大都是采用明文验证。这样用户名和口令在传输时很容易被监听。但是管理员在配置时对于出站和入站是有不同的态度的。通常，它希望内部的用户可以访问出站的Telnet服务，另外，它不想让入站的Telnet访问它的站点，所以要严格控制入站服务。

3、WWW服务

WWW服务虽然功能强大，但安全隐患很多。首先是HTTP协议。HTTP协议中的一个漏洞就是允许远程用户对远程服务器请求通信及远程执行命令，这会危及Web服务器和用户。另一个问题就是服务器日志。通常Web服务器会记录下各种用户的请求和数据信息，而HTTP对这些信息的检索不设限制导致安全问题。这可以通过设置代理服务器或者设置加密通信来解决；其次是JavaApplet和JavaScript。由于JavaApplet是在客户端执行，所以机器对它带来的各种风险也照单全收。它本身存在一些特殊的安全漏洞，即任意执行机器指令的能力、易受到拒绝服务的攻击和可以与任意的主机建立连接。

4、FTP服务

FTP的安全性其实像Telnet一样，很大程度上要依靠于身份认证是否强大，这里主要说匿名FTP的安全问题。首先，匿名用户不应该有任何的特殊的权限；其次，不要在~ftp/bin，~ftp/usr/bin，~ftp/sbin或类似的目录下存放任何系统命令。另外确保FTP的根目录的访问权限被设为555，文件所有者被设置成Root而不是FTP，并确保在FTP的根目录下的Password不是/etc/password的完全拷贝。

总之，防火墙的配置管理要针对不同企业的实际应用环境来具体考虑。不仅要注意