防火墙管理制胜之道 专家支招

　　【IT专家网独家】由即时通信(IM)、P2P网络连接以及其它的通信模式所引起的安全威胁使得防火墙的管理成为一个重要的而且是日益严峻的任务。这些通信方式所造成的麻烦多得数不胜数，但我们只要对照以下的清单严格检查自己的网络防火墙，就可以帮助我们决定自己单位的防火墙策略是否跟得上这些威胁的发展。

　　1、所有的网络服务都要给与一个彻底的安全风险分析。

　　其原因相当简单，就是为了保障现有的服务，特别是新出现的和未授权的服务并不会产生防火墙无法处理的安全威胁。

　　2、无论从内部还是从外部的观点来看，防火墙都应当包含或引用一种策略,这种策略应当定义可接受的网络使用。

　　防火墙的策略应当经过缜密思考，并且应当反映出技术人员和企业的经理主管人员、一般工作人员等的观点。对于IM技术来说，这是相当重要的，因为在这里定义合法的使用和滥用都可能成为一个棘手的问题。

　　3、防火墙与已经建立的安全策略和企业的业务方针之间没有冲突发生

　　这一点显而易见。防火墙的策略需要反映公司的策略，而不是创建自己游离于公司的安全标准，否则就可能与公司的业务方针相冲突。

　　4、应当经常检查防火墙的策略，以确保其实用性并注意潜在的缺陷。

　　这种观点应当处于保护网络免受新出现威胁的核心地位。如果你的防火墙策略是几年前开发的，那么它们有可能无法充分地反映当今的安全威胁。因此企业最多每隔六个月就检查一下防火墙策略是一个好主意。

　　5、只有防火墙系统的管理员可以做出改变。

　　对防火墙的改变应当集中地实施，否则只能带来混乱、冲突，并可能带来关键的威胁无法解决的可能性。

　　6、经常检查防火墙的日志以查找安全事件

　　这个观念看似简单，但却相当关键。你应当知道某人是否正在损害你的网络。

　　7、防火墙的默认状态是拒绝通信

　　这意味着如果访问控制列表(ACL)并没有允许某种特定类型的通信通过防火墙，那么防火墙就必须拒绝这种通信。

　　8、防火墙应当拒绝发给自己的外部通信

　　这条策略有助于挫败直接针对防火墙的攻击。

　　9、防火墙应当拒绝外部接口上看似来自于一个内部地址的所有通信

　　这种策略会挫败一些网络欺诈，即某人或某个程序通过伪造数据而伪装成另外一个人或程序。

　　10、应当配置防火墙的监视功能，使其可以发出实时的警告

　　如果发生了安全事件，网络管理员立即获知情况并进而采取恰当的行动以应对当前的状况是至关重要的。

　　11、使用一种具有扩展防火墙功能的产品来对付新出现的威胁

　　如有的公司开发出了一种即时通信防火墙，它专门设计来确认、记录、报告有关的IM通信，并可以发现潜在的IM滥用。还有其它许多厂商提供了另外一些技术，用户可以对其进行配置以保障各类高风险网络服务的安全。

　　12、对防火墙定期测试新技术，用以决定系统正如设计时那样运行

　　在谈到安全性时，自然联想到攻击者。应当鼓励单位的IT工作人员用最新的技术和技巧对防火墙发动受到监控的“攻击”。

　　总结：随着网络新技术的产生，防火墙策略及设置需要不断的完善并修改，才能更好的保证企业的正常业务不受影响。