限制局域網上網行為，防火墻還是網管軟件？

隨著互聯網飛速發展，越來越多的企業都通過網絡開展業務，許多企業甚至感到離開網絡，業務就無法正常運行，網絡安全的重要性由此可見一斑。因此，企業不惜代價地在網絡安全方面投入資金，購買防火墻、電子郵件防毒系統或桌面防毒系統，來阻止病毒泛濫和黑客攻擊。在許多企業、甚至系統集成商看來，這樣的網絡在安全方面可以高枕無憂了。

　　
　　但是由于現有的企業網絡安全基礎設施存在缺陷，因此它們對新型的病毒和攻擊無法防御。病毒傳播和攻擊的途徑不再只是通過電子郵件傳播，而是隱藏在復雜的應用層數據中，通過Web網頁瀏覽、WebMail系統、聊天軟件、P2P文件共享應用進行傳播，但企業現有的安全設施還不能對這些傳播渠道進行控制�，F在，IT經理們不得不重新審視企業的網絡安全系統

　　
　　企業網絡面臨新問題

　　當前企業網絡面臨以下幾個方面的問題，如果處理得不好將直接導致企業生產力下降，最終損失的是企業的利潤。

　　Web濫用降低企業生產力

　　Web的廣泛使用極大地幫助企業提高生產力，獲取信息的速度前所未有。但互聯網是一個大染缸，各種各樣的內容充斥其中，新聞、購物、體育、色情等，用戶一點鼠標，就有可能被帶到與工作無關的站點，這必然會導致員工工作效率降低，進而導致企業生產力的下降，嚴重的還可能將病毒帶入公司內網，或被攻擊者植入后門，導致災難性的后果。因此，對不合適的內容進行過濾、對惡意代碼和病毒進行強制清除，管理、監控并實時督導員工正確地使用互聯網，是提高企業利潤的當務之急。

聊天工具的安全問題

　　這里所說的聊天工具是指MSNMessenger之類的實時信息交換工具，之所以這樣稱呼是因為它們最初是為朋友間聊天而出現的。而現在，這類聊天工具已成為一些企業信息交流的主要工具。然而，權威人士研究發現，這些聊天系統在設計時都著重考慮了靈活性，而沒有考慮到安全問題。一個明顯的事實是幾乎所有免費聊天工具都具備繞過防火墻的功能，防火墻無法對其進行阻擋。而且，聊天用戶之間的信息交換是穿過公網，通過聊天服務器轉發，信息在網絡上清楚可見，這就容易導致企業機密信息被竊取。如前所述，聊天工具也已成為病毒大量傳播的一種途徑。但在線聊天工具高效、方便的特點，正迅速被越來越多的人所接受，單純地屏蔽是不合適的，關鍵是采取一種有效的聊天控制策略并加以監管。

　　點對點文件共享應用的安全問題

　　點對點文件共享應用（P2P），在中國稱為BT下載，它是近年來迅速流行起來的一種互聯網文件共享應用。這種應用中，每個用戶既是客戶端又是服務器，每個人都可從其他用戶處下載自己需要的數據，也可將自己已下載的數據共享給其他需要這部分數據的用戶。這樣，由于這種應用消除了傳統下載方式的服務器瓶頸，下載人數越多，下載速度就越快。P2P共享的文件通常是擁有版權的音樂、電影、商業軟件等。然而，在企業網絡中，這種應用沒有理由存在，因為它不僅會對網絡可用性造成嚴重影響，還能成為病毒傳播的途徑，其共享文件帶來的版權問題也有可能給企業帶來潛在的法律責任。因此，從各方面考慮，有必要對其進行屏蔽和控制。

　　代理服務解決問題

　　為什么防火墻不能有效解決以上那些問題呢？因為防火墻的主要功能是阻擋來自外部的攻擊。企業現在使用的防火墻大多是包過濾型，或者是高級一些的狀態檢查型防火墻，其主要功能是根據管理員設定的規則進行數據包過濾，將攻擊者擋在網絡的外面。對由于內部人員訪問外部資源而引起的入侵攻擊行為大都束手無策。
　　
　　防火墻不能有效進行應用層檢查。當前企業網面臨的新問題具有一個共同特征，即需要應用層的控制和管理問題。但現在的防火墻都是工作在網絡層，雖然有的防火墻對部分協議實現了應用層處理功能，但由于其硬件和操作系統是針對數據包過濾和狀態檢查，使用專用芯片對IP地址和端口號進行快速匹配而設計的，如果要求防火墻將一個個傳輸的網絡層數據包進行組裝，并抽取其中的應用層數據，然后進行復雜的模式匹配，根本無法達到滿意的性能。事實上，現在用戶正在使用的防火墻，大部分只進行網絡層檢查，很少有用戶會打開應用層檢查功能，主要就是因為性能的問題。
　　
　　對應用層檢查最好的辦法是使用新一代的安全代理專用設備。代理專用設備就是代理用戶的訪問請求，由于所有用戶訪問流量都必須通過代理專用設備，就可在代理專用設備上針對用戶、網絡協議、時間等因素實施深層次的訪問策略控制，并對違反策略的情形使用插入頁面方式提醒用戶。同時提供完整的訪問日志、病毒掃描日志、聊天日志等，并經統計分析形成報告，盡早發現問題，使控制策略進一步完善。目前國內有專業的上網行為監控系統推出的硬件監控系統就相當于是代理專用設備，不過成本較大，適合大中型企業使用；國內絕大多數企業還是比較適合基于純軟件架構的網絡監控軟件，如國內應用普遍的聚生網管系統（官方網站：http://www.grabsun.com/），相