今天我们所处的信息时代，也可以说也是病毒与黑客大行其道的时代，这样说确实有些悲观但今天的网络的确如此，从Internet到企业内网、从个人电脑到可上网的手机平台，没有处所是安全的。每一次网络病毒的攻击，都会让家庭用户、企业用户、800热线甚至是运营商头痛脑热。不过经历过了一次又一次的病毒危机后，人们已经开端思考网络的安全了。现在任何一个企业组建网络都会考虑到购置防火墙，且有越来越多的家庭用户在自己的电脑上甚至宽带接进端也加上了防火墙，信任不久的将来，我们可以看到在手机上也会呈现防火墙。

　　就很多中小企业而言，防火墙的配置往往没有反应出企业的业务需求。假如对防火墙的防护履行设置没有联合企业内部的需求而进行认真充分的定义，添加到防火墙上的安全过滤规矩就有可能答应不安全的服务和通信通过，从而给企业网络带来不必要的危险与麻烦。防火墙可以比做一道数据的过滤网，假如事先制定了公平的过滤规矩，它将可以截住分歧规矩的数据报文，从而起到过滤的作用。相反，假如规矩不准确，将适得其反。

　　中小企业防火墙应具有哪些功效

　　如何公平实行防火墙的配置呢?首先，让我们来看看中小企业防火墙一般都应具有哪些功效：

　　1. 动态包过滤技巧，动态保护通过防火墙的所有通信的状态(连接)，基于连接的过滤;

　　2. 可以作为安排NAT(Network Address Translation，网络地址变换)的地点，利用NAT技巧，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间缺乏的标题;

　　3. 可以设置信任域与不信任域之间数据出进的策略;

　　4. 可以定义规矩打算，使得系统在某一时可以主动启用和封闭策略;

　　5. 具有具体的日志功效，供给防火墙符合规矩报文的信息、系统治理信息、系统故障信息的记录，并支撑日志服务器和日志导出;

　　6. 具有IPSec VPN功效，可以实现跨互联网安全的远程拜访;

　　7. 具有邮件通知功效，可以将系统的告警通过发送邮件通知网络治理员;

　　8. 具有攻击防护功效对不规矩的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采用丢弃;

　　9. Web中的Java, ActiveX, Cookie、URL要害字、Proxy进行过滤。

　　以上是中小企业防火墙所应具备的一些防护特征，当然随着技巧的发展中小企业防火墙的功效会变得越来越丰富;但有再多功效的防火墙假如没有公平的配置和治理，那么这只是一件IT摆设.

　　如何实行防火墙配置

　　如何实行防火墙配置呢?我们分辨从以下几方面来讨论：

　　规矩实行

　　规矩实行看似简略，实在需要经过详尽的信息统计才可以得以实行。在过程中我们需要懂得公司对内对外的利用以及所对应的源地址、目标地址、TCP或UDP的端口，并根据不同利用的履行频繁程度对策率在规矩表中的地位进行排序，然后才干实行配置。原因是防火墙进行规矩查找时是次序履行的，假如将常用的规矩放在首位就可以提高防火墙的工作效率。另外，应当及时地从病毒监控部分得到病毒警告，并对防火墙的策略进行更新也是制定策略所必要的手段。

　　规矩启用打算

　　通常有些策略需要在特别时刻被启用和封闭，比如凌晨3：00。而对于网管员此时可能正在睡觉，为了保证策略的正常运作，可以通过规矩启用打算来为该规矩制定启用时间。另外，在一些企业中为了避开上网高峰和攻击高峰，往往将一些利用放到晚上或凌晨来实行，比如远程数据库的同步、远程信息采集等等，碰到这些需求网管员可以通过制定具体的规矩和启用打算来主动保护系统的安全。

　　日志监控

　　日志监控是十分有效的安全治理手段，往往很多治理员认为只要可以做日志的信息，都往采集，比如说对所有的告警或所有与策略匹配或不匹配的流量等等，这样的做法看似日志信息十分完善，但可以想一下天天进出防火墙的数据报文有上百万甚至更多，你如何在这些密密麻麻的条目中分析你所需要的信息呢?固然有一些软件可以通过火析日志来获得图形或统计数据，但这些软件往往需要往二次开发或制定，而且价格不菲。所以只有采集到最要害的日志才是真正有用的日志。

　　一般而言，系统的告警信息是有必要记录的，但对于流量信息是应当有选择的。有时候为了检查某个标题我们可以新建一条与该标题匹配的策略并对其进行观测。比如：内网发明蠕虫病毒，该病毒可能会针对主机系统某UDP端口进行攻击，网管员固然已经将该病毒清除，但为了监控有没有其他的主机受沾染，我们可认为该端口增加一条策略并进行日志来检测网内的流量。

　　另外，企业防火墙可以针对超出经验阀值的报文做出响应，如丢弃、告警、日志等动作，但是所有的告警或日志是需要认真分析的，系统的告警支撑根据经验值来断定的，比如对于工作站和服务器来说所产生的会话数是完整不同的，所以有时会发明系统告诉一台邮件服务器在某端口发出攻击,而很有可能是这台服务器在不断的重发一些没有响应的邮件造成的。

　　设备治理

　　对于企业防火墙而言，设备治理方面通常可以通过远程Web治理界面的拜访以及Internet外网口被Ping来实现，但这种方法是不太安全的，由于有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应当通过IPsec VPN的方法来实现对内端口网管地址的治理。

感谢 靓哥 的投稿 本文仅代表作者观点，与楚天站长站立场无关。