如何定制企业防火墙安全机制（2）

如何定制企业防火墙安全机制
    　　C、 FTP的支持
　　 FTP指令（如PUT/GET）的内容安全性，可限制文件名称和档案反病毒检查等。
　　 （4）网络地址转译
　　 网络地址转译对Internet而言，可隐藏内部的网络地址，克服了IP地址数量的限制，可维护一个企业的内部地址的完整性，对映内部非注过册IP地址以一个合法有效的IP对外，可完整存取Internet。防火墙提供两种操作模式：
　　 A、 动态的模式
　　 当维持已注册IP地址给予使用者存取Internet的时候和隐藏内部实际IP地址的网络资源，可使用动态的模式达到地址转译。动态的模式可将内部所有IP地址的连接，经过防火墙与单一个合法的IP地址对外。
　　 B、静态的模式
　　 可应用在一个网络IP地址很早就被分派使用和你需要提供「真正的」地址，以
便人们在Internet能存取他们，静态模式的地址转译可解决上述问题。静态的模式提供一个对一个的对映在对外公开IP地址和内部真正的IP地址之间。
　　 （5）加密（虚拟私人网络）
　　 私人的网络利用一些公用网络的设施称为虚拟私人网络或者VPN。一个VPN与一个专属的私人的网络相比较，优点显然是是减少昂贵的费用与更多的弹性。在公开的网络环境中，公司的信息可能在网际网络传输过程中遭受窃听与篡改，可利用加密功能在Internet上建立安全的通讯频道，可确保在公司内部的资源具备完整的隐私性、真实性与资料完整性。
　　 由于每一家的防火墙加密机制大都不同，在标准IPSec的加密未完全产品化之前， 彼此之间的整合性还是有问题。而加密软件的出口至今还是受美国的限制，一般商业的使用维持40Bits，金融项目申请可达56Bits。VPN可应用在远程使用者与防火墙之间及防火墙与防火墙之间的加解密。

　　（6）产品的后续支持及厂商的技术能力
　　 Internet有新的安全产品出现，就有人会研究新的破解方法，所以一个好的防火墙提供者就必须要有一个庞大的组织作为使用者安全的后盾，也应该要有众多的使用者所建立的口碑为防火墙作见证。现今国内防火墙产品大部分是代理国外的软件，搭配硬件出售，很多防火墙的代理商都是销售单一防火墙产品，无法提供完整的安全解决方案，因企业内部有Intranet、Database等软件，如厂商无法提供整体的技术与安全政策，将会带给使用者更多的梦魇。所以在选购防火墙产品，你最好参考一下业界的评语、实际的安装经验或实地测试。
　　 （7）内部人员考核与训练
　　 这部分的安全政策属于人员安全的管理，主要目的在降低人员使用信息或操作信息设备时所可能发生的错误，如滥用、窃取、欺骗、遗失等问题。要避免前述的情况发生，首先应该从人员背景的调查与考核作起，尤其针对一些较敏感的信息之使用，应慎选适当人员来负责。其次，企业制定的安全政策为的就是希望让企业内部所有人员熟悉与了解。因此，最佳的方法，便是赋予人员应有的信息安全责任，并通过日常的信息安全教育训练来达到此一目的。除了以各种方式公布安全政策外，企业可以部门为单位，实施信息安全养成教育，由负责信息安全事宜的同仁来担任，解释企业信息安全政策的内容，告诉使用平时应该注意哪些细节，了解怎么做、什么事可以做、什么事不可以做。举例来说，有关计算机帐号的管理政策中明定，员工计算机中毒时，应该实时通知信息部门人员协助处理，并作详细的回报与记录，以避免计算机病毒扩散，造成企业内部更严重的损失。像这样的政策，如果只是公布，而没有对员工作适当的教育训练，一旦真的发生中毒的事件，必定是手忙脚乱，无法顺利排解问题，相反的，只会造成更多的问题。

　　小结：
　　 需要特别说明的是，一个良好的防火墙安全机制如果不能有效地实施，那么一切还是形同虚设。一个专业知识有限的黑客，有时甚至是通过一次电话拨号连接，就能轻易地侵入和攻击一个企业的电脑网络，使企业直接损失上百万。如果严格执行了，那么，黑客渗透进来的成本就更高，他们就需要更多的资源，而这些都是大多数潜在的黑客做不到的。所以人还是最关键的因素。（完）

小/中/大型应用环境 如何选择合适的防火墙：【上一篇】
如何定制企业防火墙安全机制（1）：【下一篇】