當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

企業(yè)級(jí)防火墻應(yīng)做到的十件事

http://www.yibo1263.com　2010/3/13 8:12:49 　來源:東北IT網(wǎng) 　編輯:葉子

　　在企業(yè)的IT系統(tǒng)中，傳統(tǒng)的防火墻重在抵御簡單的威脅和入侵攻擊。企業(yè)級(jí)防火墻增加了統(tǒng)一威脅管理(UTM)服務(wù)，如防病毒、防間諜軟件、入侵防御、內(nèi)容過濾，甚至一些防垃圾郵件服務(wù)，以增強(qiáng)威脅防御功能。穿越防火墻的大多數(shù)流量都不具威脅性，而是些應(yīng)用和數(shù)據(jù)。而這就是應(yīng)用防火墻由來的原因，應(yīng)用防火墻可管理和控制穿越防火墻的數(shù)據(jù)和應(yīng)用。

　　應(yīng)用防火墻有什么作用？

　　應(yīng)用防火墻提供了帶寬管理和控制、應(yīng)用層訪問控制、數(shù)據(jù)泄露控制功能、對(duì)特定文件和文檔傳輸進(jìn)行限制及其它功能。

　　應(yīng)用防火墻的工作原理是什么？

　　應(yīng)用防火墻可根據(jù)用戶、應(yīng)用、進(jìn)程或IP子網(wǎng)層允許自定義訪問控制。這樣，管理員可以創(chuàng)建各種應(yīng)用策略，使應(yīng)用可供訪問并首次真正實(shí)現(xiàn)對(duì)應(yīng)用的管理。應(yīng)用防火墻可以幫助企業(yè)做十件事。

　　第一件事：管理流視頻

　　訪問流視頻網(wǎng)站如youtube.com有時(shí)對(duì)我們非常有用，但通常會(huì)被濫用。攔截網(wǎng)站本身可能有效，但最好是限制分配給流視頻網(wǎng)站的帶寬。

　　創(chuàng)建策略來限制流視頻：

　　使用深度包檢測(DPI)引擎在HTTP報(bào)頭中搜索HTTP網(wǎng)址=www.youtube.com。

　　將帶寬限制應(yīng)用于帶此報(bào)頭的流量。

　　第二件事：分組帶寬管理

　　在第一件事中，我們對(duì)youtube.com等流視頻網(wǎng)站運(yùn)用了帶寬限制。如今，公司首席執(zhí)行官和首席財(cái)務(wù)官總在抱怨每天訪問的“商業(yè)新聞視頻”速度太慢。您可以通過放松對(duì)每個(gè)人的帶寬限制來改善這種情況，但還有一個(gè)更好的方法，那就是進(jìn)行分組帶寬管理。

　　創(chuàng)建不限制管理層瀏覽流視頻的策略，方法如下：

　　將此策略應(yīng)用于LDAP服務(wù)器導(dǎo)入的“管理”組

　　使用深度包檢測(DPI)引擎在HTTP報(bào)頭中搜索HTTP網(wǎng)址=www.youtube.com

　　確保包含此報(bào)頭的流量具有足夠的帶寬

　　第三件事：郵件和數(shù)據(jù)丟失

　　假設(shè)公司現(xiàn)有的防垃圾郵件防護(hù)系統(tǒng)可以檢測和阻止包含“公司機(jī)密”信息的外發(fā)電子郵件。但是，如果員工使用Yahoo或Gmail郵件服務(wù)來發(fā)送“公司機(jī)密”信息呢？

　　創(chuàng)建策略來攔截“公司機(jī)密”電子郵件：

　　使用深度包檢測(DPI)引擎搜索電子郵件內(nèi)容=“公司機(jī)密”

　　阻止郵件發(fā)送，并通知發(fā)件人此郵件為“公司機(jī)密”

　　第四件事：應(yīng)用使用強(qiáng)制

　　您的老板：希望使用InternetExplorer(IE)7.0版本作為標(biāo)準(zhǔn)瀏覽器。

　　您的任務(wù)：確保公司所有系統(tǒng)都使用IE7.0版本，而不使用其它任何版本！

　　您可能采用的解決方案如下：

　　1.每天檢查每個(gè)人的系統(tǒng)，查找“外來”瀏覽器。

　　2.安裝一種腳本來檢查每個(gè)人的系統(tǒng)，以查找出“外來”瀏覽器，同時(shí)確保腳本每天都會(huì)檢查每個(gè)人的系統(tǒng)。

　　3.在應(yīng)用防火墻中設(shè)置一種策略，從此便不再擔(dān)心。

　　創(chuàng)建“我找到了更好的解決方案”策略：

　　使用深度包檢測(DPI)引擎在HTTP報(bào)頭中搜索用戶代理=MSIE7.0

　　允許IE7.0流量，阻止其它瀏覽器

　　第五件事：拒絕FTP上傳

　　您可以建立一個(gè)FTP網(wǎng)站，以便與業(yè)務(wù)合作伙伴交換大型文件，同時(shí)，您希望確保合作伙伴方面只有項(xiàng)目經(jīng)理可以上傳文件，其他任何人都不允許這樣做。

　　創(chuàng)建策略來允許FTP上傳，但上傳只限于少數(shù)人

　　使用深度包檢測(DPI)引擎搜索FTP命令=放置

　　使用DPI引擎搜索驗(yàn)證的用戶名=“pm_partner”

　　如果兩者均符合，就允許放置

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·邊界路由器加防火墻保證企業(yè)安全

·選擇硬件防火墻注意緊抓四要素

·思科防火墻PIX ASA精華配置總結(jié)

·路由器與防火墻安全性大對(duì)比

·企業(yè)選購指南：國內(nèi)防火墻大比拼

·網(wǎng)絡(luò)防火墻選購十要素

·強(qiáng)悍注冊(cè)表防火墻練就百毒不侵之軀

·穿越防火墻讓遠(yuǎn)程桌面自由連接

·排除代理防火墻連接故障的技巧

·防火墻基于策略路由的配置技巧

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费