以下的文章主要向大家講述的是部署不等同于安全，部署防火墻一般會(huì)有的6大誤區(qū)，防火墻作為企業(yè)安全保障，其已得到各企業(yè)的廣泛認(rèn)同，幾乎每時(shí)每刻都會(huì)有企業(yè)將部署防火墻提上網(wǎng)絡(luò)安全議程。

部署不等于安全 部署防火墻六大誤區(qū) 部署不等于安全 部署防火墻六大誤區(qū)[2] 防火墻作為企業(yè)安全的重要保障已經(jīng)被各企業(yè)廣泛認(rèn)同，幾乎每時(shí)每刻都會(huì)有企業(yè)將部署防火墻提上網(wǎng)絡(luò)安全議程。那么，是不是部署了防火墻之后就可以毫無(wú)后顧之憂了呢？本篇文章將講述部署防火墻過(guò)程中的六大誤區(qū)。

部署防火墻誤區(qū)之一：部署了防火墻并不等于絕對(duì)安全

防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的保護(hù)作用是每位企業(yè)網(wǎng)管所共知的，可是，企業(yè)網(wǎng)絡(luò)部署了防火墻，并不意味著企業(yè)網(wǎng)絡(luò)就不再有安全威脅。舉個(gè)最簡(jiǎn)單的例子，防火墻的功能僅僅能夠?qū)?lái)自外部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過(guò)濾，如果有人在企業(yè)網(wǎng)絡(luò)內(nèi)部搞破壞，防火墻是沒(méi)有任何防范作用的。

另外，防火墻對(duì)來(lái)自外部數(shù)據(jù)的過(guò)濾檢查是按照過(guò)濾規(guī)則進(jìn)行的。如果一種網(wǎng)絡(luò)攻擊模式不在防火墻過(guò)濾規(guī)則之內(nèi)，防火墻對(duì)于這種網(wǎng)絡(luò)攻擊也是沒(méi)有任何防范能力的。為此，企業(yè)網(wǎng)管不要認(rèn)為網(wǎng)絡(luò)中部署了防火墻，企業(yè)網(wǎng)絡(luò)就絕對(duì)安全，不再有任何安全隱患，部署了防火墻并不等于絕對(duì)安全。

部署防火墻誤區(qū)之二：長(zhǎng)期不更新防火墻安全策略

防火墻可以阻擋來(lái)自外界的網(wǎng)絡(luò)攻擊，以及過(guò)濾一些網(wǎng)絡(luò)病毒，這都得益于防火墻設(shè)備的安全策略。如同殺毒軟件一樣，憑借防火墻自帶默認(rèn)的安全策略，防火墻設(shè)備能夠阻擋已知的網(wǎng)絡(luò)攻擊模式，以及一部分網(wǎng)絡(luò)病毒；對(duì)于新的網(wǎng)絡(luò)攻擊模式，以及新的網(wǎng)絡(luò)病毒，防火墻是沒(méi)有任何防范能力的。要想讓防火墻能夠具備非常強(qiáng)大的防范能力，企業(yè)網(wǎng)管必須定期的更新防火墻的安全策略。

在網(wǎng)絡(luò)安全漏洞呈爆炸式增長(zhǎng)的今天，如果長(zhǎng)期不更新防火墻的安全策略，防火墻無(wú)疑會(huì)成為一個(gè)擺設(shè)。每當(dāng)遇到新的網(wǎng)絡(luò)安全漏洞，企業(yè)網(wǎng)管必須及時(shí)的更新防火墻的安全策略，只有這樣，防火墻才能真正成為企業(yè)網(wǎng)絡(luò)的安全保護(hù)神。

部署防火墻誤區(qū)之三：安裝防火墻設(shè)備的所有組件

眾所周知，部署防火墻這款網(wǎng)絡(luò)安全設(shè)備時(shí)，很多企業(yè)網(wǎng)管為了保障企業(yè)網(wǎng)絡(luò)的安全，通常會(huì)將防火墻所有的功能組件都安裝到防火墻設(shè)備中。從表面看，安裝了所有組件的防火墻，安全更有保障?？墒?，安裝了一些多余的防火墻組件之后，反而會(huì)降低防火墻的安全性能。

從技術(shù)角度來(lái)講，防火墻的工作過(guò)程與普通PC相似。對(duì)于一臺(tái)普通的PC來(lái)說(shuō)，如果安裝了過(guò)多的功能組件，其系統(tǒng)響應(yīng)速度會(huì)變慢，尤其是PC開機(jī)時(shí)如果啟動(dòng)了太多的項(xiàng)目，PC可能會(huì)因?yàn)椴豢爸刎?fù)而死機(jī)。防火墻亦是如此，防火墻中的組件都是隨防火墻啟動(dòng)而啟動(dòng)的，如果網(wǎng)管部署防火墻時(shí)安裝了所有組件，勢(shì)必會(huì)耗費(fèi)防火墻太多的資源，在網(wǎng)絡(luò)數(shù)據(jù)交換繁忙時(shí)，防火墻設(shè)備可能會(huì)因?yàn)橄到y(tǒng)資源不足而當(dāng)機(jī)。一旦防火墻當(dāng)機(jī)，防火墻將失去了作用，企業(yè)網(wǎng)絡(luò)也將失去防火墻的保護(hù)，其后果不難想象。為此，部署防火墻時(shí)，不要安裝防火墻設(shè)備的所有組件。

部署防火墻誤區(qū)之四：把防火墻當(dāng)成防病毒的武器

從理論上說(shuō)，防火墻當(dāng)然可以防病毒，但防火墻只能防范通過(guò)網(wǎng)絡(luò)傳播的一部分病毒。道理很簡(jiǎn)單，防火墻是位于網(wǎng)絡(luò)通路上的一道關(guān)卡，對(duì)于一切經(jīng)過(guò)它的數(shù)據(jù)包，它都可以過(guò)濾出禁止傳輸?shù)臄?shù)據(jù)?？墒?，大多數(shù)病毒在傳播過(guò)程中是非常隱蔽的，防火墻的過(guò)濾規(guī)則很難有效的防范病毒入侵，看一下病毒傳播的過(guò)程就明白了。

病毒在隱蔽在網(wǎng)絡(luò)應(yīng)用層中的，在通過(guò)防火墻時(shí)，病毒被分為若干個(gè)數(shù)據(jù)包。不可否認(rèn)，防火墻雖然可以過(guò)濾一些數(shù)據(jù)包，但分割為多個(gè)數(shù)據(jù)包的病毒，防火墻是很難識(shí)別的，除非防火墻能夠?qū)⑷舾蓚€(gè)數(shù)據(jù)包重新拼裝起來(lái)進(jìn)行檢查，否則防火墻是不可能發(fā)現(xiàn)病毒的。防火墻對(duì)數(shù)據(jù)包的過(guò)濾，僅僅是決定轉(zhuǎn)發(fā)還是放棄，為此，防火墻的過(guò)濾規(guī)則很難防范通過(guò)網(wǎng)絡(luò)傳播的病毒。

不過(guò)，對(duì)于一些特征非常明顯的病毒，防火墻是可以過(guò)濾的。例如震蕩波病毒，在傳播過(guò)程中是占用TCP的某些端口，這時(shí)，只要企業(yè)網(wǎng)管將防火墻的端口封閉，震蕩波病毒將無(wú)法進(jìn)入企業(yè)網(wǎng)絡(luò)中。在實(shí)際應(yīng)用中，能夠像震蕩波這樣有如此明顯特征的病毒很少。總的來(lái)說(shuō)，防火墻對(duì)于病毒有一定的防范能力，但防范能力是非常有限的，為此，不要把防火墻當(dāng)成防病毒的有效武器。

部署防火墻誤區(qū)之五：忽略防火墻日志文件的作用

與任何一款網(wǎng)絡(luò)設(shè)備一樣，防火墻工作過(guò)程中也會(huì)自動(dòng)生成日志。在企業(yè)網(wǎng)絡(luò)的日常維護(hù)中，很多企業(yè)網(wǎng)管認(rèn)識(shí)防火墻日志的存在，更沒(méi)有意識(shí)到防火墻工作日志的重要性。對(duì)于防火墻的日志，企業(yè)網(wǎng)管存在著諸多誤區(qū)。

由于防火墻每天在過(guò)濾數(shù)百萬(wàn)甚至上千萬(wàn)的報(bào)文數(shù)據(jù)包，其生成的日志也是數(shù)量眾多。面對(duì)密密麻麻的日志文件，企業(yè)網(wǎng)管該從何處入手呢？其實(shí)，對(duì)于正常過(guò)濾的數(shù)據(jù)包記錄，企業(yè)網(wǎng)管是無(wú)需理會(huì)的。諸如丟棄、告警、日志等動(dòng)作，企業(yè)網(wǎng)管需要慎重的進(jìn)行審核，并且進(jìn)行分析，以確定是否有非法的網(wǎng)絡(luò)攻擊存在，切莫忽視防火墻日志文件的作用。

部署防火墻誤區(qū)之六：過(guò)濾規(guī)則中有太多拒絕規(guī)則

對(duì)于防火墻的過(guò)濾規(guī)則，每位企業(yè)網(wǎng)管都非常熟悉。防火墻工作過(guò)程中，對(duì)于允許的數(shù)據(jù)包直接放行，而對(duì)于拒絕的規(guī)則，將直接拋棄。毫無(wú)疑問(wèn)，如果防火墻的過(guò)濾規(guī)則中有太多的拒絕規(guī)則，將會(huì)浪費(fèi)防火墻的系統(tǒng)資源，因?yàn)榉阑饓π枰粩嗟木芙^不符合規(guī)則的數(shù)據(jù)包，并且禁止其通過(guò)。為此，在配置防火墻的過(guò)濾規(guī)則時(shí)，要少用拒絕規(guī)則。

總結(jié)：防火墻有保護(hù)企業(yè)網(wǎng)絡(luò)安全的功能，可是，防火墻并不是萬(wàn)能的，也會(huì)有漏洞。加之防火墻是一個(gè)機(jī)器，其保護(hù)功能需要人的設(shè)置才能提高。也就是說(shuō)，要想讓防火墻的保護(hù)功能更加完善，部署防火墻時(shí)必須躲開上述誤區(qū)