防火墙案例

第一篇：防火墙案例据统计，本周瑞星共截获了875810个钓鱼网站，共有451万网民遭遇钓鱼网站攻击。瑞星安全专家提醒用户，在机场、图书馆、咖啡馆等公共场所使用免费WiFi上网时，一定要注意安全，不要随意连接没有设置密码的网络。目前，发现很多黑客会在公共WiFi场所私自搭建不设密码的“小WiFi”，用户一旦接入，上网提交的各种数据、账号、密码极有可能被截获，从而导致个人隐私泄露。网民上网时，一定要向网络提供商询问清楚，避免出现信息丢失的问题。本周要警惕一个名为Ngrbot蠕虫后门的病毒，这是一个蠕虫类型的后门病毒，病毒代码经过加密，病毒运行后，首先会进行解密，然后将其代码注入到新启动的进程中，使病毒代码得以运行。大家在了解了防火墙技术、产品、方案和选购等系列内容后，似乎就等着买回一款产品安装，然后就可以高忱无忧地享用防火墙了。然而，我们有所不知，除选购合适的防火墙外，更为重要的是用好防火墙。不少用户在花费大量资金购置防火墙之后，由于缺乏相应技术贮备或对产品功能的了解，并没能充分发挥防火墙的作用。事实上，在防火墙安装和投入使用后，并非就是万事大吉了。首先，防火墙的安全防护功能的发挥需要依赖很多因素，不仅某些病毒和黑客可以通过系统漏洞或者其他手段避开防火墙，内部人员管理控制欠完善也有可能使得防火墙形同虚设。其次，为了提高防火墙的安全性，用户可以将防火墙和其他安全工具相结合，例如和漏洞扫描器与IDS搭配使用。还有，要想充分发挥防火墙的安全防护作用，必须对它进行升级和维护，要与厂商保持密切的联系，时刻注视厂商的动态。因为厂商一旦发现其产品存在安全漏洞，就会尽快发布补丁产品，此时应及时对防火墙进行更新。为了让大家更好地使用防火墙，我们从反面列举4个有代表性的失败案例，以警示读者。例1：未制定完整的企业安全策略网络环境:某中型企业购买了适合自己网络特点的防火墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了，为此，公司领导特意表扬了负责防火墙安装实施的信息部。该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和ISP连接。内部网划分为5个VLAN，VLAN1、VLAN2和VLAN3分配给不同的部门使用，不同的VLAN之间根据部门级别设置访问权限；VLAN4分配给交换机出口地址和路由器使用；VLAN5分配给公共服务器使用。在没有加入防火墙之前，各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后，给防火墙分配一个VLAN4中的空闲IP地址，并把网关指向路由器；将VLAN5接入到防火墙的一个网口上。这样，防火墙就把整个网络分为3个区域:内部网、公共服务器区和外部网，三者之间的通信受到防火墙安全规则的限制。问题描述:防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用QQ聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。问题分析:我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一，有很多出入口，那么只部署一台防火墙是不够的。在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许多PC机通过电话线和Internet相连，导致网络边界不惟一，入侵者可以通过攻击这些PC机然后进一步攻击内部网络，从而成功地避开了防火墙。解决办法:根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。比如说，制定一套安全管理规章制度，严禁员工私自拨号上网;同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开QQ使用的TCP/UDP端口，使得企业员工可以在工余时间使用QQ聊天软件。结论和忠告:防火墙只是保证安全的一种技术手段，要想真正实现安全，安全策略是核心问题。例2：未考虑防火墙的可扩充性问题描述:某大型企业一年前购买了几十台防火墙，分布在总部局域网和全国各地的分支机构中。刚投入使用后，各部门和分支机构都反映不错，没有影响到网络性能。随着信息化程度的不断提高，该企业决定构建视频会议系统，却发现防火墙不支持该应用协议，如果要实现视频会议，必须让防火墙打开一个很大的缺口，这会留下很大的安全隐患。问题分析:视频会议系统一般都采用H.323协议(ITU-T第16工作组的建议，由一组协议构成，其中有负责音频与视频信号的编码、解码和包装，有负责呼叫信令收发和控制的信令，还有负责能力交换的信令。)