企业防火墙安全防护配置七大问题[2]

　　关于防火墙防毒和防止木马的问题，容易进入以下两个误区：

　　一：认为防火墙本身就具有强大的防毒和防止木马的功能，没有必要再购买杀毒软件

　　二：认为防火墙不具备任何防毒和防止木马的能力

　　其实，这两种观点都是错误的。

　　硬件防火墙由于内部主机是通过地址转换的方式连接internet，有效隐藏了内部主机，同时，防火墙通过封锁部分病毒传播端口，可以在一定程度上防止病毒的感染和传播。

　　但病毒还是可以通过以下途径进入到我们内网，用户还可能下载和安装一些网上的不明来历的软件，用户可能收发的电子邮件中含有病毒，或者用户使用移动U盘进行拷贝时，感染病毒。因此，至少从目前来看，解决病毒的问题，在每个桌面安装杀毒软件客户端还是十分必要的。

　　问题五：

　　关于一般企业的防火墙的安全配置问题，需要遵循的如下几个步骤：

　　将防火墙的规则配置分对内和对外两个部分。

　　对外开放服务的规则，一般到细化的每个服务器的每个端口，这样才可以保护服务器，不会被黑客利用操作系统或者开放的多余服务端口的漏洞进行攻击。

　　对内规则，要根据的自己的实际情况进行合理的配置，比如根据用户的不同级别设置不同的权限，最高权限的用户不受任何限制，中等权限的用户仅开放MSN，QQ，mail，web，ftp，telnet等业务，而最低级别的用户可能只开放邮件服务等。同时，可以还可以根据时间段对上网行为进行控制，比如在上班时间禁止BT下载，视频等业务。

　　对于QQ，MSN等用户动态端口的行为，大唐龙创防火墙还可以利用内容过滤的机制进行按照时间段和用户的禁止和日志记录。

　　问题六：

　　某企业，购买防火墙后，开始时一切正常，但一年后，企业内部上了视频会议系统，经过防火墙的流量因此而大幅度增加，防火墙的处理负担加大，导致网速开始变慢。

　　因此，购买防火墙前应充分考虑到今后一定时间内的各种应用的可能性。可能出现的出口带宽的增加，主机数的增加，以及业务的增加对防火墙的新的要求能否满足，是否需要软件系统或者硬件升级，是否有必要在选择防火墙型号时选用高端一些的设备。如果问题已经发生，要及时请求防火墙厂商或安全集成商帮助解决。

　　问题七：

　　关于防火墙的使用和培训。

　　对于防火墙的使用者，进行充分有效的培训也非常必要，因此用户可能增加业务种类，而需要不断的动态调整防火墙策略。同时，下载保存好防火墙的配置，修改防火墙的默认口令和保存好防火墙的口令，都应是网络管理员一个很好的习惯。同时，培训一些常见病毒，如ARP欺骗，冲击波等可能造成网络出现的故障现象和如何利用防火墙和其他工具定位的方法。对于防火墙日志系统的使用方法，通过培训网络使用者要清楚防火墙内所做的控制规则配置和每一条的含义，并可以根据新的需要动态调整防火墙的安全控制策略。