配置了网络防火墙后,并不意味着排除了所有的网络安全隐患,在内部网络管理中还应注意以下内容。
(1)防火墙无法防范通过防火墙以外的其他途径的攻击。例如,在一个被保护的网络上存在着没有限制的网络拨号连接,内部网络上的用户可以直接通过拨号连接进入 Internet,从而绕过由网络管理员精心构造的防火墙系统所提供的安全屏障。这就为后门攻击创造了极大的可能性。因此,必须使内部网络上的用户们了解这种类型的连接对于局域网来说是有害的。
(2)防火墙无法阻止内部人员所做的攻击,防火墙保护的是网络边界安全,对在网络内部所发生的攻击行为无能为力。防火墙不能防止来自内部黑客和用户大意带来的威胁,内部黑客能够轻易窃取没有防范心理的用户的口令或得到他人的网络访问权限。防火墙也无法禁止内部黑客将敏感的数据拷贝并将其带出,因此必须对所有的内部网络用户进行培训,让他们了解网络攻击的各种类型,并懂得保护自己的用户口令和周期性变换口令的必要性。
(3)防火墙也不能防止感染病毒的软件或文件进入内部网络。因此,应该在内部网络中配置专业的网络防病毒软件系统,对通过各种途径进入局域网的病毒进行查杀。
(4)防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据,通过邮寄或拷贝到服务器上,一旦激活就进行攻击。例如,一个数据型攻击可能导致修改与安全相关的文件,使得入侵者很容易获得对系统的访问控制权。对此在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式,并能减少数据驱动型攻击的威胁。
(5)防火墙对信息流的控制缺乏灵活性。防火墙是依据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的,如果规则定义过于严格,则限制了网络的互连互通;如果规则定义过于宽松,则又带来了安全隐患。防火墙自身无法根据情况的变化进行自我调整。 (6)在攻击发生后,利用防火墙保存的信息难以调查和取证。在攻击发生后,能够进行调查和取证,将罪犯绳之以法,是威慑网络罪犯、确保网络秩序的重要手段。防火墙由于自身的功能所限,所以难以识别复杂的网络攻击并保存相关的信息。
