中小型企業網絡防火墻配置策略研究

【摘要】隨著計算機網絡的迅速發展，網絡攻擊形式也變得越來越復雜、難于防御，給中小型企業網絡安全造成巨大的威脅。如何構建一個高效、完善的網絡防火墻安全系統已成為安全管理領域的研究熱點。防火墻是一種訪問控制技術，它通過在企業內部網絡和公共網絡之間設置屏障，阻止信息資源的非法訪問。

【關鍵詞】中小型企業；防火墻；策略

一、前言

中小型企業憑借其自身專業、靈活、創新等優勢近年來逐漸發展成為我國國民經濟中重要力量，未來發展前景不可估量。隨著互聯網的普及，國內大多數中小企業都建立了自己的內部網，它已經成為企業信息化的重要組成部分。互聯網是一把雙刃劍，在給中小型企業發展帶來便利的同時，也存在著各種各樣的網絡安全問題。在建設初期中，由于安全意識、安全管理等多方面的原因，中小型企業在網絡安全方面沒有引起足夠的重視，造成網絡安全事故不斷發生，使企業內部網絡面臨極大的安全隱患。對于中小型企業來說，制定合理的防火墻配置策略將為企業建立一道堅固的壁壘，在保障企業網絡安全方面起著舉足輕重的作用，所以說防火墻配置不可小覷。

二、防火墻概述

防火墻從狹義上說是指安裝了防火墻軟件的主機或路由器系統，從廣義上說防火墻還包括整個網絡的安全策略和安全行為。

防火墻是形成于被保護內部網和外部網絡間的一道屏障，從而在互聯網與內部網間形成安全網關，以有效避免難以預測的病毒性侵入。主要利用檢測、限制、更改跨越防火墻等方式來對網絡進行安全維護。

防火墻目前從技術上主要分為包過濾防火墻和應用層代理防火墻，在基本實現原理上這兩種是相似的。防火墻一般有兩個網卡，一個連接外部網絡，另一個連接內部網絡。正是由于防火墻的存在，當主機進行網絡轉發功能時，網絡數據才能夠從兩個網卡間直接通過。并且防火墻能夠對從此處通過的網絡數據包進行逐一檢測，想一個篩子一樣，只允許符合規則的數據包通過，不符合規則的就會被阻攔在墻外，從而也確保了用戶的網絡信息安全。

三、防火墻的配置策略

中小型企業網絡防火墻配置要充分考慮自身的特點，既要考慮成本、技術的限制，又要兼顧較高的安全性和可靠性，還要兼顧易使用、維修的原則。從根本意義上講，絕對安全的網絡是不存在的，任何網絡都有漏洞，只要使用，就或多或少地存在安全問題。眾所周知，網絡具有開放性、便利性和靈活性的優勢，也因此受到人們的追捧，然而如果要實現網絡信息安全，恰恰是要以此優勢為代價。換句話說就是網絡安全性能越高，它給人們帶來的方便也就越少，麻煩越多。計算機網絡信息安全非常復雜，它首先要嚴格遵守各個國家的法律規范，不能侵犯他人的合法權益，還要涉及到技術掌握、設備維護、人員管理等范疇。只有天時地利各方面協調起來，網絡信息的安全才不是天方夜譚。拋開人為因素，單從技術方面來講的話，中小型企業防火墻配置策略大致分為6種。

（1）物理策略。物理策略是基于企業網絡的硬件設施制定的，它包括企業配置的計算機系統、與之匹配的打印機和傳真機、電路設施以及網絡服務器等等。這些設施既有可能遭到人為的破壞，也有可能因老化等原因發生故障，所以有必要建立健全完善的管理制度，來保障物理設施的安全和良好的運行環境。對于中小型企業來講，這一部分占公司財產比重不大，但是卻至關重要，必須安排專人專崗負責該項工作。具體內容有：機器設備的日常維護和維修，保障供電的安全，正常運行日志及備份，設置閑人勿近安全區域，制定工作規章制度，考慮其他自然條件（風雨雷電）并做好應對措施，等等。

（2）訪問控制策略。訪問控制是防火墻的核心所在，它通過在某個機構的內部網絡和不安全的外部網絡之間設置障礙，來阻止未經許可的用戶對信息資源的非法訪問，起到保護企業網絡信息安全的作用。企業通過防火墻的訪問控制功能可以對本企業員工的上網行為加以控制，制定網絡訪問權限，比如某些崗位上的員工只能訪問公司內部網絡，或者規定員工在瀏覽公共網絡時哪些網站是可以訪問的，哪些則是被限制的，這樣根據公司的實際情況進行訪問控制，既能有效節約企業網絡使用流量，又在很大程度上也保障了企業網絡的安全，還能使員工在上班時間專注于工作，不受網絡游戲等的誘惑，真可謂一舉多得。

（3）網絡防病毒策略。在網絡環境中，病毒具有更多的傳播途徑和更大的破壞能力。病毒在網絡上可以說是橫行霸道，無孔不入，它可以通過用戶的社交軟件悄悄隱藏于來自陌生人的電子郵件、QQ傳送中，一旦用戶打開或者接收，病毒就想炸彈一樣一觸即發。此外，網頁腳本和局域網也是病毒通常藏身的地方，尤其是傳播賭博、色情等不健康內容的非法網站，如果你觀看或者下載了這些網站上的視頻或文件，恰巧你使用的計算機又沒有安裝有效的防護軟件，那么你的電腦就極有可能受到木馬和病毒的攻擊，后果不堪設想。

一般來講，病毒也會利用計算機上存在的操作系統漏洞進行傳播，對整個系統軟硬件造成破壞，讓你的電腦出現死機、藍屏等問題，甚至會竊取你的計算機上的個人信息，這樣你的損失就難以預計了。為防止這類事件的發生，企業用戶必須要購買和安裝正版的殺毒軟件，并且要做到定時聯網更新病毒庫，升級殺毒軟件版本，實時開啟殺毒軟件，這樣才能隨時隨地保護計算機不受病毒威脅，讓病毒聞風喪膽，不敢再囂張。當然，除了安裝殺毒軟件外，還要對企業員工進行必要的計算機網絡安全培訓，使他們掌握相關的網絡病毒傳播知識，提高員工的防毒意識和警惕心，日常工作中加強管理，凡事形成規章制度并嚴格遵照執行。

（4）數據加密策略。企業通常情況下都要對傳輸的涉密文件或者數據進行加密保護，其目的不僅僅是保護自己的數據不會在傳輸的過程中被別有用心的人識別并且截獲，造成數據的丟失或遭到篡改，影響傳輸數據的真實性、完整性。在另一方面，傳輸前對數據加密，即使數據傳輸過程中被竊聽或截獲，一般人在沒有解密程序或代碼的情況下，一時間對拿到的加密文件根本毫無辦法，這樣就可以將公司可能由此遭受的損失降至最小，或給公司采取緊急措施、調整內部方案爭取寶貴的時間。同時加密機制可對傳輸過程中的數據進行鑒別，從而保證數據的完整性和可靠性。因此，企業網上傳輸的涉密數據必須經過加密后再進行傳輸。

（5）系統備份與災難恢復策略。在平時的工作中養成定期對網絡中的核心設備和數據信息進行備份的良好習慣，在日后如果遇到網絡攻擊和破壞、病毒感染等突發事件時，將會為快速恢復網絡運行起到重要的作用，及時避免或者挽回中小企業遭受的損失。除此之外，在計算機發生故障或者由于人為原因，導致網絡癱瘓，不能正常工作的情況下，備份的系統資料可以及時派上用場，快速重啟并更新計算機系統，自動檢查故障問題并修復，使整個企業的網絡系統不會陷入僵局，可以說是企業網絡安全的一把保護傘。

（6）網絡安全管理策略。企業網絡的安全僅僅依靠技術手段是完全不夠的，還必須制定完善的企業網安全管理制度。企業網安全管理制度主要包括確定企業網安全管理等級、安全管理范圍、制訂有關企業網操作使用規程和人員出入企業網主控機房的管理制度、制定企業網系統的維護制度和應急措施，確定企業網信息安全管理一般責任和具體責任，包括報告安全事故以及違反安全策略的后果等。關鍵是要提高企業員工和領導層對網絡安全的意識，把這當做一項長遠而且艱巨的任務來抓，上行下效，才能讓企業網絡真正實現安全、高效，為中小企業的快速發展提供助力。

四、防火墻使用注意事項

中小型企業通過對防火墻的功能、特點以及價格等方面進行衡量和對比，可以配置一款適合本企業使用的防火墻。在這之后企業內部人員需要對防火墻進行正確配置和操作，雖然仍不能避免惡意插件和病毒的攻擊，但是當計算機連接到Internet的時候，基本能夠確保計算機的安全性。尤其是當發現病毒和木馬攻擊時，能夠及時的發現并清除病毒和木馬。在日常的防火墻使用中，還有一些小問題需要注意。

（1）防火墻就像計算機的防護盾，如果企業沒有能力購買硬件防火墻的話，也必須為自己配置一款適合的軟件防火墻來保護企業內部的計算機和系統安全。

（2）防火墻不是越多越好，一般不可安裝兩個以上的軟件防火墻。本人曾經試過在計算機上同時安裝兩個防火墻，結果導致軟件沖突，或者出現電腦藍屏等現象，更嚴重的將會導致系統崩潰，最后不得不重裝系統。

（3）了解防火墻占用計算機資源的情況。選用一款防火墻之前，要對防火墻的性能及安裝環境先有大致的了解，判斷自己的計算機配置是否能夠負擔起防火墻的資源消耗，主要可以從計算機的CPU、內存、硬件方面進行判斷考慮。建議安裝節省系統資源的軟件防火墻。例如瑞星防火墻一般比較占用系統資源，安裝之后開機速度會有所拖慢，占用CPU使用率也是比較高的。

（4）選擇高效率的軟件防火墻。如果受到惡意的病毒攻擊，此時通過系統的數據包很多，防火墻處理速度不夠快，從而嚴重影響了系統的效率，嚴重時會出現死機。

（5）防火墻的易用性很重要。有一些防火墻雖然性能較其他產品好，但是對于中小企業用戶來說，配置及操作過于復雜，在設置過程中也容易出錯，導致問題的出現。

（6）安裝殺毒軟件配合防火墻。防火墻并不是萬能的，從字義上面理解防火墻就如同一道墻，它主要的功能是阻止外部網絡數據包等信息的通過，但是防火墻并不能保證把所有不安全的信息都進行攔截，當不安全的信息進入內部網絡時，有些防火墻將不再發揮作用，此時就需要安裝一款殺毒軟件配合防火墻的工作，將病毒木馬等非法數據包清除。

中小企業在使用防火墻的時候除了上面提到一些需要注意的地方，還有其他未碰到的情況和問題，這些都需要借助日益積累的防火墻使用經驗，不斷的進行總結學習，才能更好地使用防火墻來保護自己的計算機網絡安全。

參考文獻

[1]徐卓峰.計算機網絡安全與管理[M].上海：上海交通大學出版社，2002.

[2]袁濤.中小型企業網絡安全建設要點[J].武漢科技學院學報，2005，04.

[3]許一凡.防火墻新技術分析[J].計算機安全.2003，11.

[4]王敏，劉紹龍.計算機網絡安全與防火墻技術[J].電腦知識與技術，2005，7.

[5]吳虹.中小企業適用的防火墻方案[J].計算機光盤軟件與應用，2010，10.