以下的文章主要是介紹企業(yè)防火墻不能完成的三大任務，在企業(yè)網絡管理的工具中網絡防火墻一定是在其中的，確實，防火墻的出現，讓我們實現了可以"全網統(tǒng)一"，在企業(yè)網絡的級別上實現網絡管理策略。

這對于針對單機的管理來說，是一個很大的進步。但是，世上往往沒有十全十美的東西，防火墻也不是救世主，不能夠解決網絡管理中的一切問題。防火墻也必須同其他管理工具一起，才能夠保障企業(yè)網絡的安全、穩(wěn)定運行。

下面筆者就簡單介紹一下企業(yè)防火墻在現階段基本上不能夠實現的三個任務以及應對之道。

第一個不能完成的任務：不通過防火墻對于企業(yè)的攻擊。

從企業(yè)網絡的安全性考慮，企業(yè)網絡安全主要來自于兩個方面。一是來自于企業(yè)外部，如外部木馬的滲入、外部惡意的攻擊等等;二是來自于內部的攻擊，如員工處于報復等攻擊服務器、或者無意中把病毒通過U盤等移動存儲工具帶到企業(yè)內部。根據相關的統(tǒng)計，企業(yè)80%的安全威脅來自于企業(yè)內部的行為;而只有20%是來自于外部的。從這里出發(fā)，若企業(yè)光靠一個防火墻，是遠遠不能夠保障企業(yè)的網絡安全的。

所以，若在企業(yè)的網絡中，只運行一個企業(yè)防火墻，是遠遠不夠的。

一方面，員工在實際工作中，會無意的從外部網絡中，如在家里上網或者出差在外，帶一些病毒感染或者帶有木馬的文件到公司，從而引發(fā)內部的攻擊。

另一方面，一些員工，可能對于公司的不滿，惡意的下載一些攻擊工具，如常見的DOS拒絕服務攻擊，從企業(yè)內部對公司的文件服務器等進行攻擊，導致企業(yè)網絡不能夠正常運作。

無論是企業(yè)員工無意的過失，還是有意的報復行為，只要從企業(yè)內部進行攻擊，或者說，繞開防火墻而進行的攻擊，則防火墻都將無能為力。

第二個不能完成的任務：防火墻沒有透視功能。

現在的防火墻，基本上沒有透視功能。也就算說，在數據通過防火墻傳輸的話，則不會檢視數據的具體內容。這就給特洛伊木馬有了可乘之機。由于防火墻不會去檢查通過防火墻的具體內容，所以，特洛伊木馬可以暢通無阻的進入企業(yè)內部網絡;很多病毒也可以進入企業(yè)而不被防火墻所發(fā)現。所以，從這一點上說，防火墻對于病毒與木馬的防護能力是很薄弱的，還是需要跟病毒防火墻合作才能夠起到良好的保護作用，防止病毒與木馬的入侵。所以，防火墻與殺毒軟件是兩種不同的概念，這個要搞清楚。

一些被加密過的信息，防火墻也不會去進行解密、加密動作，因為只要文件被加密了，則這個文件就可以在防火墻中暢通無阻的通過。如某個WORD文件，帶有危險的腳本程序，只要他采用一定的加密手段對文件加密后，則這個WORD文件就可以進入到企業(yè)內部網站，然后當內部人員打開這個文件后，從而對企業(yè)的內部網絡產生危害。另外，這個特性也不利于對企業(yè)文件的保護。如企業(yè)內部員工把一份重要的EXCEL文件發(fā)送給非法的第三者，若員工對該文件進行加密然后通過QQ軟件傳輸給第三方，由于該文件加密處理過，所以，防火墻不會去查看文件的具體內容，從而導致企業(yè)機密文件泄露也無法追蹤。

另外，防火墻也不會去查詢隧道中傳輸內容的合法性。我們都知道，虛擬專用網絡(VPN)可以在外部訪問者與企業(yè)內部網絡之間形成一條虛擬的通道，以提高外部網絡訪問企業(yè)內部網絡的效率與安全性。但是，當這條通道通過企業(yè)的防火墻的時候，由于防火墻這一技術限制，防火墻是不會去查看隧道中的內容。所以，即使防火墻的策略拒絕某種信息流量的通過，但是，只要隧道建立之后，這些信息流在隧道中就可以暢通無阻的運行，而不受防火墻策略的影響。

所以說，防火墻是沒有透視功能的。諸如對郵件內容的跟蹤、對加密文件的判斷、對于隧道傳輸內容的控制等等，都是無法實現的。

第三個不能完成的任務：企業(yè)防火墻依賴于特定的安全策略而工作。

防火墻其實就是一個過濾網，網絡管理員定義了哪些流量可以通過，哪些流量不能通過，然后，防火墻造做即可。我們所定義允許與不允許的語句，對于防火墻來說，就是安全策略。防火墻是基于這種安全策略來工作的。這跟殺毒軟件等不同。殺毒軟件本身就有一個病毒庫，可以實時的從網上下載，從而我們網絡管理員不需要進行過多的干涉，即使想干涉也干涉不了。雖然現在很多殺毒軟件經常發(fā)生誤殺事件，使得企業(yè)的操作系統(tǒng)崩潰。

但是防火墻則不同。防火墻若要工作順利的話，就需要我們一步步的叫他怎么做。如我們需要定義，允許哪些流量通過，不允許哪些流量通過。最常見的是，我們可以通過防火墻，禁止員工在上班時間上網;允許他們在下班時間可以上網。通過防火墻，也可以限制企業(yè)訪問外部的FTP服務器，或者郵箱服務器，防止他們把公司重要的文件泄露給其他人，等等。這些策略都要我們一個個的教他們該怎么怎么做。

真是由于防火墻是基于特定的策略而工作的，所以，防火墻的智能就比較低，需要我們花費比較大的時間與精力跟防火墻打交道，防火墻才會成為我們網絡安全管理的好幫手。

為此，針對這個防火墻不能完成的三大任務，對于我們有什么啟示呢？

一是，我們要知道，任何一款網絡管理工具都無法拍胸脯可以保證，只憑自己就可以全面保護企業(yè)網絡的安全。防火墻只是企業(yè)網絡保護的一個點，一個企業(yè)邊界網絡上的安全管理工具。防火墻在企業(yè)網絡中，只能夠部分保護網絡的安全，要全面提高網絡的安全性能，還需要其他工具，如殺毒軟件、稍描工具的幫助。

二是從這里我們也可以看出，殺毒軟件、掃描工具、防火墻之間的區(qū)別。我在實際工作中，老是聽到別人向我詢問，既然安裝了防火墻，為什么還要安裝殺毒軟件呢？其實，防火墻與殺毒軟件是兩個不同的概念。防火墻是在企業(yè)網絡的邊界保護企業(yè)網絡的安全，而殺毒軟件，則是在終端，通過保護企業(yè)每臺主機使得他們不受病毒的侵襲從而保障企業(yè)整個網絡的安全。他們兩個所保護的點是不同的。

三是防火墻是基于特定的策略而運作的，所以，防火墻基本上不能夠實現智能部署。這就要求我們在防火墻管理上，需要不斷的測試，只有所配置的策略測試沒有問題的時候，才能夠應用到網絡上。比如，筆者在防火墻管理的時候，如要添加一個策略或者刪除一條策略的時候，一般都是選擇在休息日進行。因為在休息日，可以讓我有足夠的時間對新策略進行測試，在最大限度內，減少因為策略的誤采用而給企業(yè)網絡的運行帶來不必要的麻煩。

最后，筆者需要強調的是，防火墻雖然有一些不能夠完成的任務，但是，其在企業(yè)網絡的安全管理中，是一個非常好的幫手。為什么這么說呢？因為防火墻技術的采用，使得我們網絡管理人員可以在全網上實現管理策略的統(tǒng)一。也就是說，我們可以借助防火墻，在企業(yè)內外網的接口上，對公司的網絡采取統(tǒng)一的安全策略。這是一個解決企業(yè)網絡安全的一個非常好的管理思路。

在防火墻出現以前，我們只能夠在單機角度上出發(fā)，采取一些安全策略。但是，這對于我們管理很不方便。一是隨著主機的增多，我們的維護工作量也隨之增加;而是當網絡終端數量達到一定的程度時，若沒有一個統(tǒng)一管理的平臺，則我們無法實現網絡安全策略的統(tǒng)一定義與管理，這很容易造成各個安全策略相互矛盾。

而由于企業(yè)防火墻的出現，則使得我們可以在網絡級別上，而不是基于終端，統(tǒng)一設置安全策略。如外部網絡訪問的規(guī)則，等等。筆者認為，這對于我們網絡安全管理，是非常有必要的。筆者堅信，雖然其在某些方面無法達到我們的要求，但是防火墻仍然是我們網絡安全管理的必不可少的工具，是不可替代的好幫手。

【編輯推薦】

1. 兩款三到四萬的企業(yè)防火墻選購
2. 淺析自適應算法 提升企業(yè)防火墻的安全途徑
3. 企業(yè)防火墻：性能遠遠超過其安全功能
4. 安全圖解：企業(yè)防火墻構建的誤區(qū)和實施策略
5. shorewall企業(yè)防火墻的完美實現