该如何保障防护薄弱的中小企业数据安全

　　企业网络应用的日益普及，中小企业对于网络的依赖性也不断提高，许多重要的数据和文件也开始在网上传输和应用，因此，中小企业对于数据的安全性更加重视。网络上各种病毒的爆发以及黑客攻击的频繁出现，更是给网络防护本就薄弱的中小企业敲响了警钟。

　　【谈需求】

　　防火墙是企业电脑安全的第一层防护

　　好友小聚应该是一件快乐事，可钱经理却怎么也开心不起来，让欧主管和i博士感到纳闷。

　　“前两天，公司里一下瘫痪了好几台电脑，员工耽误了工作不说，更要命的是，电脑里有一些重要数据，万一丢失可真要命。”

　　“看来问题不小，究竟是什么问题呢，查清楚了吗？是不是电脑被黑客入侵了？”欧主管问道。

　　“你说的没错，网管最后忙了一下午，总算搞清楚了，是受到了来自网络上的攻击，以前没有对此采取防范真是错误。”钱经理无精打彩地说。

　　“这就是问题所在了，在网络环境中工作，要防止各种威胁，对中小型企业来说，防火墙的作用不容忽视，”听到这里，i博士忍不住说话了。

　　Internet的迅速发展的同时，也带来了信息污染、破坏的危险，因为公共互联网地址可以从全世界的任何角落进行访问，甚至只要用户通过拨号连接到互联网，使用公共IP地址，用户的计算机就有可能暴露在互联网上。

　　这意味着任何人，只要连接到互联网上，就能够找到你的计算机，而且可能还能够扫描计算机，以寻找任何软件或者服务的安全漏洞进行入侵。这就是需要用防火墙来保护计算机的原因。

　　Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人。“举个例子说吧，防火墙是为了防止不良现象发生的‘交通警察’，它执行站点的安全策略，仅仅容许‘认可的’和符合规则的请求通过。”i博士继续说道。

　　所有进出信息都必须通过防火墙，防火墙能在被保护的网络和外部网络之间进行记录。综其所有，中小企业防火墙有以下几个主要功能：

　　防止非授权访问：防火墙通过控制进出内外网的数据包的方法，实时监控网络上数据包的状态，并对这些状态加以分析和处理，及时发现存在的异常行为；同时，根据不同情况采取相应的防范措施，从而提高系统的抗攻击能力。这个功能主要是针对来自网络的非法攻击。

　　为系统“后门”把关：防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构，其自身建立在独立操作系统之上。同时，针对受保护的内部网络，防火墙能够及时发现系统中存在的漏洞，进行访问上的限制，如果进行适当的设置，防火墙还可以屏蔽受保护网络的相关信息，使任何非法入侵都无从下手。

　　防止缺陷协议和服务的使用：针对网络的不安全因素，防火墙采取控制协议和服务的方法，使得只有授权的协议和服务才可以通过防火墙，从而很大程度降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。

　　日志记录与审计：当防火墙系统被配置为所有内部网络与外部Internet连接均需经过的安全节点时，防火墙系统就能够对所有的网络请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。

　　另外，防火墙系统也能够对正常的网络使用情况做出统计。

　　“那么，是不是在电脑里安装了软件防火墙，就可以安然无恙了呢？”听到这里，欧主管在一旁问道。

　　“这样理解是错误的，软件防火墙和硬件防火墙虽然功能基本相同，但还是有区别的。硬件防火墙在系统安全性、运行速度和安装配置上更适合企业级应用。”i博士说。

　　防火墙有不同的类型，如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙、硬件防火墙和芯片级防火墙。

　　软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。

　　由于客户平台的多样性，软件防火墙需支持多操作系统，操作系统本身的缺陷可能成为软件防火墙致命的弱点，而硬件防火墙的安全性则相对较高。

　　硬件防火墙和芯片级防火墙同属硬件级防火墙，它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙。

　　芯片级防火墙基于专门的硬件平台，专有的芯片使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。这类防火墙由于是专用操作系统,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。

　　从功能上看，硬件防火墙内建安全软件，使用专属或强化的操作系统，管理方便，容易更换，软硬件搭配较固定。硬件防火墙效率高，解决了防火墙效率、性能之间的矛盾。总结起来，和软件防火墙相比较，主要有以下三点主要优势：

　　自身安全性较高：软件防火墙客户端平台的多样性是一个严重缺点，操作系统本身的缺陷可能成为软件防火墙致命的弱点，而硬件防火墙的安全性则相对较高。

　　速度优势：防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。从速度上看，硬件防火墙的速度优势是明显的。软件防火墙由于操作系统的限制，很容易成为网络的瓶颈，硬件防火墙则很好的消除了这个缺陷。硬件防火墙配置工作也较为简单。

　　性能优势：因为硬件防火墙和电脑的隔离，所以当然不占用系统资源，而软件防火墙就不同了，如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上，当数据流量较大时，CPU占用率将会很高，造成系统负担。

　　【谈应用】

　　安全管理必不可少

　　听了i博士的这些话，钱经理和欧主管对防火墙的重要性已经有了相当的了解，“那么，对中小企业来说，应该怎样选购适合的防火墙呢？“钱经理问道。

　　“先让我们来了解不同结构的防火墙吧，这样会有比较清晰的认识，中小企业也自然会根据企业自身的特点去选择了。”i博士说。

　　从防火墙结构上分，防火墙主要有三种：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

　　单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。

　　这种防火墙其实与一台计算机结构差不多，同样包括CPU、内存、硬盘等基本组件，它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡，因为它需要连接一个以上的内、外部网络。硬盘用来存储包过滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在此硬盘上。

　　因为它的工作性质，决定了它要具备非常高的稳定性、实用性，具备非常高的系统吞吐性能。当然，价格也相对昂贵。

　　随着防火墙技术的发展，原来作为单一主机的防火墙也不断的升级，以适应企业的实际应用需求，最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能，防火墙已不再是一个独立的硬件实体，而是由多个软、硬件组成的系统，这种防火墙，称为“分布式防火墙”。

　　分布式防火墙再也不是只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。

　　在网络服务器中，通常会安装一个用于防火墙系统管理软件，这样一个防火墙系统就可以彻底保护内部网络，各主机把任何其它主机发送的通信连接都视为“不可信”的，都需要严格过滤。而不是传统边界防火墙那样，仅对外部网络发出的通信请求“不信任”。

　　中小企业防火墙的特点是，廉价、管理简单、功能丰富，支持灵活的组网。这类防火墙性能虽然比不上大型防火墙，但其丰富功能，使其更接近UTM（统一威胁管理）的概念。一般设备独立性比较强。

　　在选购防火墙产品时，中小企业客户应针对企业网络环境、业务流量类型、用户与通信流量规模、并结合攻击防御能力、设备可靠性及易用性等多个方面进行综合评估，选购最适合企业网络环境和安全需求的防火墙产品。

　　例如，是否需要根据安全级别隔离不同网段；是否需要采用VPN来加密远程分支机构数据；是否存在视频、语音、数据库等应用需要穿透防火墙；是否需要对垃圾邮件、病毒、有害Web页面等过虑；对防火墙吞吐量需求，应考虑防火墙在真实网络环境下的性能等。

　　“特别值得注意的是，很多企业认为有了防火墙就可高枕无忧，这是错误的。因为即使你拥有防火墙，没有进行正确严谨的配置和管理，照样会留下很多安全隐患，应该从以下几个方面来更好的实现防火墙的安全性和可靠性。“i博士说。

　　1、分析企业自身网络具体需求，搭建合理的安全构架。网管人员需要根据自己网络的具体结构，确定要保护什么，要防止什么，允许什么通过防火墙，不允许什么通过防火墙，对什么进行过虑等。这些基本都是由防火墙的规则来控制和实现。

　　2、制定防火墙的安全管理制度，对防火墙的安全管理主要从硬件和软件上进行管理。硬件主要是只针对防火墙设备的物理安全来制定一些制度，比如防火墙架设的位置，进入防火墙机房的人员管理制度等。

　　软件管理制度是指管理防火墙的权限，给不同级别的管理人员分级的管理权限。另外，还要对防火墙制定合理的优先级及规则顺序。

　　3、做好防火墙日志的管理及备份。防火墙日志在分析调试、攻击记录等方面有着重要的作用，防火墙日志审计服务是辅助网络安全管理人员全面掌握网络安全状况，是衡量防火墙性能和作用的重要手段。

　　“听你这样一说，思路清晰多了，那么，如果我的企业安装了防火墙设备，应该不会再让电脑崩溃了吧。”钱经理想起前几天的事仍然心有余悸。

　　“防火墙不是万能的，即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。例如：防火墙防不住绕过防火墙的攻击。因为防火墙不限制从内部网络到外部网络的连接，防火墙不是防毒墙，不能拦截带病毒的数据在网络之间传播。”i博士说。

　　对于一个网络来说，我们应该尽量保证它的最大安全，例如：根据需要合适的配置防火墙，尽量少开端口；采用过滤严格的Web程序；采用加密的HTTP协议(HTTPS)；管理好内网用户，防止攻击者和内网用户绕过防火墙直接连接等。

　　中小企业由于缺乏专业的安全技术人员，非常需要稳定性强、便于部署、易于管理和维护的防火墙产品。

　　【专家观点】

　　中小企业防火墙要细化和灵活

　　王栋 Juniper网络公司

　　由于中小型企业普遍存在安全意识比较薄弱、投资能力相对较差和技术力量匮乏等问题，制约了中小企业对网络安全投入的积极性。

　　但是我们应该看到中小企业对网络安全存在的需求正逐步进入增长阶段，同时也考虑到中小型企业所具有的灵活性和可控性，中小企业安全制约因素正逐步得到突破。

　　随着中小企业用户市场的不断成熟与需求的日趋稳定，将吸引越来越多的防火墙厂商加入到为中小企业提供安全产品中来，中小企业市场也将成为整个安全防护产品中重要的一部分。

　　中小企业防火墙由于存在网络规模小，投资少，需求独特且不稳定等特点，需要防火墙厂商提供稳定可靠、功能全面，便于配置、简化维护的防火墙产品。

　　对中小企业用户来说，目前防火墙的总体性能不再是重点考察的指标，中小企业用户需要的新一代防火墙产品无论是在功能方面还是在使用维护方面需要做到更加细化和灵活。中小企业防火墙发展方向正向功能更为全面、实施维护更为简化，成熟稳定的统一威胁管理（UTM）集中安全网关方向发展。

　　统一威胁管理（UTM）产品能为中小企业提供更为全面的功能，适合于不同环境下的灵活部署，用户通过有限的资金预算能够购买到最大限度贴近自身需求的产品，节约投资成本。中小企业用户既可以使用UTM的全部功能，也可酌情使用最需要的某一特定功能。

　　新一代的防火墙产品除了整合更多功能之外，各个功能模块之间的协同运作能力也将提升到全新的高度，UTM设备正逐步融合基于内容的过滤技术以及与入侵保护设备、防病毒网关设备的协同联动，形成具有高度智能的集成化、综合性网络安全产品。

　　中小企业客户在选购防火墙产品时应针对企业网络环境、业务流量类型、用户与通信流量规模、并结合攻击防御能力、设备可靠性及易用性等多个方面进行综合评估，选购最适合企业网络环境和安全需求的防火墙产品。

　　对于防火墙的选择，除了解企业的网络环境、明确业务系统对防火墙的需求、评估企业通信流量规模方面的需求等，对防火墙设备的可靠性、可用性、易用性等方面的要求也是必须的。

　　为支撑稳定可靠的网络平台，要求防火墙必须具有良好的集群冗余能力。对于分布式网络环境下防火墙的部署，需要有集中控管能力、管理界面直观友好、远程配置的安全保密等功能。

　　中小企业安全市场需要广大安全厂商的专注投入和积极创新，不断推出成熟的切合中小企业用户实际需求的解决方案，为中小企业业务发展提供全面信息安全保障。

　　不能忽视安全

　　防火墙可以相当程度解决中小企业用户暴露在Internet之上的安全问题，特别是病毒、非专业黑客的攻击，并减少了成为攻击跳板的机会。从而解决了中小企业网络的基本生存层面的需求。

　　我们可以清晰地总结出中小企业防火墙的特点：廉价、管理简单、功能丰富，支持灵活的组网。这类防火墙性能虽然比不上大型防火墙，但其功能丰富，使其更接近UTM的概念。这类防火墙主要用于一个小企业、小单位，一般设备独立性比较强，所以不太需要VPN或者集中管理的功能，尽管很多中小企业防火墙也保留了这些功能。

　　虽然中小企业用户需要价格相对经济的防火墙产品，但是更需要产品功能全而且容易进行配置管理。

　　另一方面，对于一个企业，不分大小，都会面临基本相同的攻击和威胁，所以这又要求中小企业防火墙的功能并不能比大型防火墙有太大的差异。甚至由于中小企业的数量众多，其多种多样的拓扑结构和需求关注点千差万别，对防火墙的要求更高。

　　因为产品价格相对比较透明，而且选择比较容易。所以最重要的是对防火墙功能的选择。这就要求用户要先理清楚自己的实际需要，这包括网络规模多大？数据流量多大？业务主要是那个方面？主要威胁或者主要需要保护的是哪类？因为各个公司的防火墙的特点可能不尽相同，定好自己的需要，这样才能更好的去选择产品。

　　其次要注意的是，业内安全防火墙厂商非常多，很多公司规模非常小。因此很多防火墙厂家因为各种原因无法提供长期的保障和优质的服务，这点在选择时也要有充分的考虑。

　　伴随着信息安全重要性的逐渐深入人心，中小企业防火墙市场也逐渐成为中国安全领域的一个新的亮点，甚至会成为未来防火墙的主力市场。这点无论是从IDC的预测上，还是各大安全厂商的动作上，都可以说明业内对其看好的程度。

　　不可否认的是中小企业市场现在还处于起步阶段，不少的中小企业用户建设网络时都没有第一考虑到安全问题。而由于大多数攻击多指向政府部门或者重要大公司，所以中小企业受威胁的感受并不强烈，这也促成众多中小企业网络建设时忽略了安全。

　　随着病毒，以及傻瓜式黑客工具的普及，这种威胁必然会普遍化。安全建设也将会逐步得到重视。

　　如何在充分保证性能和功能的前提下提供给用户低价位的产品是各个安全厂商需要努力的方向。当然，反过来，更多用户采购也会导致产品市场价格下降，如何做到这种正向良性循环，需要厂商首先迈出第一步。