要解決上述問(wèn)題，不妨分析一下三種應(yīng)用環(huán)境：小型辦公室、需求一般的大中型辦公室，以及需求復(fù)雜的大型辦公室。

    小型辦公室。

    小型辦公室要管理的用戶和機(jī)器顯然比較少。它們通常不大容易成為攻擊目標(biāo)。而且只需要訪問(wèn)極少量的因特網(wǎng)服務(wù)：電子郵件、Web以及有時(shí)需要的流媒體。在這種情形下，幾乎任何防火墻都能夠勝任。因?yàn)橐话阏f(shuō)來(lái)，辦公室規(guī)模越小，用戶數(shù)就越少，面臨的風(fēng)險(xiǎn)也就越低。

    因此，就小型辦公室而言，簡(jiǎn)單的數(shù)據(jù)包過(guò)濾防火墻就足夠了，譬如許多DSL或線纜路由器隨機(jī)自帶的那些防火墻。其中包括D-Link、3Com、Netgear和Linksys等公司出品的寬帶路由器。另外，WatchGuard的Firebox SOHO、Symantec的Firewall 100、Global科技公司的GNAT、NetScreen以及SonicWall SOHO等防火墻也完全適用于這種環(huán)境。Check Point和Cisco分別提供小型辦公室版本的FireWall-1和PIX，不過(guò)價(jià)格要貴一點(diǎn)。

    需求一般的大中型辦公室。

    “一般”是指基本或標(biāo)準(zhǔn)的因特網(wǎng)服務(wù)。當(dāng)然，“一般”的定義會(huì)隨著時(shí)間而變化，不過(guò)就目前實(shí)際應(yīng)用而言，它包括下列服務(wù)：Web、電子郵件、流式媒體以及少量的文件傳輸和終端訪問(wèn)。

    幾乎任何功能并不局限于簡(jiǎn)單的靜態(tài)過(guò)濾防火墻都能滿足這種需求。應(yīng)用代理防火墻也能勝任這項(xiàng)任務(wù)，不過(guò)現(xiàn)在純粹的基于網(wǎng)關(guān)的應(yīng)用防火墻寥寥無(wú)幾。許多主要品牌的防火墻都是混合型，如CyberGuard、Firebox、PIX、NetScreen、Sidewinder、Raptor和FireWall-1，在有些情況下，允許用戶選擇代理、狀態(tài)檢測(cè)還是動(dòng)態(tài)過(guò)濾。如果配置成讓盡可能多的服務(wù)使用安全代理，上述任何一款防火墻都很合適。電子郵件應(yīng)當(dāng)始終使用代理，防火墻應(yīng)當(dāng)只允許電子郵件進(jìn)出指定的電子郵件服務(wù)器。從內(nèi)部到因特網(wǎng)的所有Web訪問(wèn)應(yīng)該實(shí)行代理。如果常用服務(wù)沒(méi)有代理，使用動(dòng)態(tài)即狀態(tài)過(guò)濾也不失為好辦法。

    復(fù)雜的大型環(huán)境。

    當(dāng)然，擁有諸多用戶和諸多有問(wèn)題的復(fù)雜服務(wù)的大企業(yè)更具挑戰(zhàn)性?！坝袉?wèn)題的”服務(wù)是指貌似簡(jiǎn)單但實(shí)際上需要防火墻開(kāi)放多個(gè)端口的服務(wù)，譬如VoIP和NetMeeting。這兩種服務(wù)都需要為25種以上的不同服務(wù)開(kāi)放端口，所以就應(yīng)該使用應(yīng)用網(wǎng)關(guān)防火墻，或者僅限于嚴(yán)格控制的環(huán)境（譬如，從內(nèi)部網(wǎng)絡(luò)、某一組IP地址啟動(dòng)服務(wù)、只在特定時(shí)間段進(jìn)行）。此外，如果在復(fù)雜的大型環(huán)境安裝防火墻，應(yīng)該使用支持集中式防火墻管理和配置功能的防火墻，譬如PIX、CyberGuard、Firebox、FireWall-1、NetScreen和Sidewinder G2。

    記住這些是指導(dǎo)原則，文中舉例提到的防火墻也只是例子而已。如果配置得當(dāng)，每個(gè)類型的任何一款防火墻以及沒(méi)有提到的其它防火墻都能夠勝任。

最新評(píng)論