第六章防火墙我们可以通过很多网络工具，设备和策略来保护不可信任的网络。

其中防火墙是运用非常广泛和效果最好的选择。

它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外。

从而降低网络的整体风险。

防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。

绝大部分的防火墙都是放置在可信任网络（Internal）和不可信任网络（Internet）之间。

防火墙一般有三个特性：A．所有的通信都经过防火墙B．防火墙只放行经过授权的网络流量C．防火墙能经受的住对其本身的攻击我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。

所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。

为什么要使用防火墙？很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。

遗憾的是很多系统在缺省情况下都是脆弱的。

最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代， Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。

如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。

做好了这些，我们也可以非常自信的说，Windows足够安全。

也可以抵挡住网络上肆无忌惮的攻击。

但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。

对于此问题我们的回答是：“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。

”如果没有防火墙，粗略的下个结论，就是：整个网络的安全将倚仗该网络中所有系统的安全性的平均值。

遗憾的是这并不是一个正确的结论，真实的情况比这更糟：整个网络的安全性将被网络中最脆弱的部分所严格制约。

即非常有名的木桶理论也可以应用到网络安全中来。

没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。

网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。

整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。

防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。

并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。

总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。

对于企业来说，防火墙将保护以下三个主要方面的风险：A．机密性的风险B．数据完整性的风险C．用性的风险我们讨论的防火墙主要是部署在网络的边界（Network Perimeter），这个概念主要是指一个本地网络的整个边界，表面看起来，似乎边界的定义很简单，但是随着虚拟专用网络（VPN）的出现，边界这个概念在通过VPN拓展的网络中变的非常模糊了。

在这种情况下，我们需要考虑的不仅仅是来自外部网络和内部网络的威胁，也包含了远程VPN客户端的安全。

因为远程VPN客户端的安全将直接影响到整个防御体系的安全。

防火墙的主要优点如下：A．防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内。

B．防火墙可以用于限制对某些特殊服务的访问。

C．防火墙功能单一，不需要在安全性，可用性和功能上做取舍。

D．防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。

同样的，防火墙也有许多弱点：A．不能防御已经授权的访问,以及存在于网络内部系统间的攻击B．不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁C．不能修复脆弱的管理措施和存在问题的安全策略D．不能防御不经过防火墙的攻击和威胁现代企业对网络依赖主要来自于运行在网络上的各种应用，同样的，网络的范围也覆盖到整个企业的运营区域。

我们将分析一个典型的企业网络，从结构，应用，管理，以及安全这几个层次来探讨一下对企业来说，如何去实现真正的网络安全。

在开始之前，我们首先必须面对一个事实，绝对的安全是没有的。

我们所能做的，是减少企业所面临的安全风险，延长安全的稳定周期，缩短消除威胁的反映时间。

网管与安全人员需要解决的是来自内部和外部的混合威胁，是蓄意或无意的攻击和破坏，是需要提高整体安全防范意识与科学的协调和管理。

客观的去分析现今的企业网络，我们不难发现，在经历了普及终端和网络互联的时代后，我们面对的问题还有很多，如客户端的非法操作，对网络的不合法的访问与利用；网络结构的设计缺陷与混杂的部署环境；网络边界与关键应用的区域缺乏必要的防御措施和审记系统等等。

下面我们来逐一分析，并提供相应的产品解决方案与安全建议。

首先是网络内部，即面向企业内部员工的工作站，我们不能保证用户每一次操作都是正确与安全的，绝大情况下，他们仅知道如何去使用面前的计算机来完成属于自己的本职工作。

而对于其他，比如病毒，木马，间谍程序，恶意脚本，往往通过内部网络中某一台工作站的误操作而进入到网络并且迅速的蔓延。

如访问非法网站，下载或运行不可信程序，使用移动设备复制带有病毒的文件等看似平常的操作。

由于如今流行的操作系统存在大量的漏洞与缺陷，并且新的漏洞与利用各种漏洞的蠕虫变种层出不穷，网络的迅速发展，也给这类威胁提供高速繁殖的媒介。

特别是企业内部拥有高速的网络环境，给各种威胁的扩散与转移提供了可能。

现在人们都通过安装防病毒软件来防御病毒的威胁，但是面对蠕虫和木马程序，后门程序等，防病毒并不能起到很显著的效果，例如蠕虫病毒，一般都是利用操作系统中存在的缺陷和漏洞来攻击与传播的，即使安装了防病毒软件，也没有修补操作系统本身的漏洞，安全威胁从根本上没有被消除。

并且随着蠕虫的不断攻击，防病毒系统将会调用大量的系统资源来修复和防御蠕虫攻击后修改的系统文件，频繁的对文件系统进行扫描与恢复。

这样也无形的增加了系统的不稳定性，影响了系统的可用性，最关键的是，蠕虫攻击在仍然在网络中传播，给交换机，路由器带来持续的压力和威胁。

另外，客户端感染威胁的途径是多种多样的，比如Internet Explorer浏览器漏洞，可以利用VBS恶意脚本，BMP图片木马，ActiveX控件后门程序等，通过各类嵌入攻击代码的网页，在浏览者毫不知情的情况下，后台进驻到操作系统中，修改注册表和系统设置，种植后门程序，收集用户信息和资料。

这一切都会给工作站造成无法估量的安全风险。

一旦工作站遭到攻击与控制，就很可能威胁到整个内部网络和核心区域，所以我们说，保护好工作站的安全，是企业网络安全的一个重要部分。

通过上面简单的分析和举例，工作站的安全工作主要包含如下几个方面：桌面防病毒，桌面防火墙，系统补丁管理，系统授权与审核，软件使用许可监控和网络访问控制。

从如今市场上流行的解决桌面安全的产品中，从保护用户系统的稳定性与可用性以及综合安全的角度，我们选择Symantec公司的Symantec Client Security 2.0作为桌面防病毒和防火墙的集成安全解决方案。

该产品最大的优势是不存在互操作性问题，SCS 2.0将防病毒，防火墙与桌面入侵检测完美结合，提供如今防御混合性威胁最佳组合。

采用来自不同厂商的多种单点产品使得全面防护变为一项极为复杂甚至根本不可能的任务，因为跨厂商的互操作性问题往往会存在漏洞，从而使威胁乘虚而入危及安全性。

此外，当病毒发作时，必须针对各种不同的技术，对每个厂商提供的修复方案进行测试和验证。

这样就降低了对攻击的反应速度，并潜在地增加了成本。

混合性威胁：用多种方法和技术来传播和实施的攻击或威胁，因而必须有多种方法来保护和压制这种攻击或威胁。

如: CodeRed. CodeRed II. CodeBlue. Nimda.正如上面所提到的，必须通过修补操作系统漏洞来彻底消除利用漏洞传播的蠕虫影响。

众所周知，Microsoft有专门的Update站点来发布最新的漏洞补丁，我们所需要做的，是下载补丁，安装并重新启动。

但是在大型企业中实际实施却没有这么简单，修补不同操作系统的大量客户端，如Win98/Me/2000/XP/2003等，将是一件让人痛苦的工作，不仅部署时间长，还要花费大量的人力和时间，影响到企业的应用和业务的正常运转。

尤其是在网络环境复杂的企业中，包含多个域多个工作组，或没有域的早期环境。

如何在蠕虫和黑客还没有渗透到网络之前修补这些漏洞，如何将部署这些补丁对企业的运行影响减小到最低呢？我们的回答是，选择一套高效安全的桌面管理软件，来进行完善的企业IT管理： LANDesk Management Suite，即LANDesk管理套件，桌面管理市场的开创者和领导者。

LANDesk专注于提供桌面管理市场的产品与服务，公司原属于Intel公司的软件部，拥有强大的管理团队与专业背景，全面支持混合平台环境。

包括Windows平台,MAC平台,Linux平台,Unix平台，Solaris平台。

可以在有域或无域环境中部署，尤其是操作系统补丁的检测收集与自动修补，通过LANDesk的目标多址广播（可大量减轻网络主干压力）、对等下载（即使用流行的BT下载原理）、动态带宽调整等技术优势，迅速的修补企业内部网络中的系统漏洞，不需要人工参与，不需要管理员去核对操作系统版本与状态，在无人职守或者非法中断的情况下会在下次自动完成部署任务，断点续传。

除此之外，LANDesk还有更多优势，如IT资产管理，软件授权监视，系统安全服务状态，禁止外设（USB，1394，无线，CD-ROM）OS操作系统迁移，软件分发，软件许可监控等功能等等。

真正的安全：整体集成安全解决方案 + 同时更新 = 真正的安全通过在内部网络中的每台工作站上部署防病毒，防火墙，入侵检测，补丁管理与系统监控，我们可以集中收集内部网络中的威胁，分析面对的风险，灵活适当的调整安全管理策略。

但这仅仅是不够的，还有另外一个重要的部分，就是从网络结构上的接入层，汇聚层和核心交换层设备上做好访问控制与流量管理。

其次是网络结构的安全性，管理人员都知道，通过部署多层交换机，实现多个VLAN和快速收敛的路由，是保证网络结构的可靠性与强壮性的最佳方法。

在划分了多个逻辑网络和建立符合应用的ACL的同时，我们更希望能收集和归纳出整个网络的更多安全信息，包括流量的管理，QoS，入侵行为和用户访问信息。

仅通过网络设备提供的日志，SNMP管理是远远不够的，现今的方法是通过部署IDS/IPS来实现。