在企業的IT系統中，傳統的防火墻重在抵御簡單的威脅和入侵攻擊。企業級防火墻增加了統一威脅管理(UTM)服務，如防病毒、防間諜軟件、入侵防御、內容過濾，甚至一些防垃圾郵件服務，以增強威脅防御功能。穿越防火墻的大多數流量都不具威脅性，而是些應用和數據。而這就是應用防火墻由來的原因，應用防火墻可管理和控制穿越防火墻的數據和應用。

    應用防火墻有什么作用？

    應用防火墻提供了帶寬管理和控制、應用層訪問控制、數據泄露控制功能、對特定文件和文檔傳輸進行限制及其它功能。

    應用防火墻的工作原理是什么？

    應用防火墻可根據用戶、應用、進程或IP子網層允許自定義訪問控制。這樣，管理員可以創建各種應用策略，使應用可供訪問并首次真正實現對應用的管理。應用防火墻可以幫助企業做十件事。

第一件事：管理流視頻

    訪問流視頻網站如youtube.com有時對我們非常有用，但通常會被濫用。攔截網站本身可能有效，但最好是限制分配給流視頻網站的帶寬。

    創建策略來限制流視頻：

    使用深度包檢測(DPI)引擎在HTTP報頭中搜索HTTP網址=www.youtube.com。

    將帶寬限制應用于帶此報頭的流量。

第二件事：分組帶寬管理

    在第一件事中，我們對youtube.com等流視頻網站運用了帶寬限制。如今，公司首席執行官和首席財務官總在抱怨每天訪問的“商業新聞視頻”速度太慢。您可以通過放松對每個人的帶寬限制來改善這種情況，但還有一個更好的方法，那就是進行分組帶寬管理。

    創建不限制管理層瀏覽流視頻的策略，方法如下：

    將此策略應用于LDAP服務器導入的“管理”組

    使用深度包檢測(DPI)引擎在HTTP報頭中搜索HTTP網址=www.youtube.com

    確保包含此報頭的流量具有足夠的帶寬

第三件事：郵件和數據丟失

    假設公司現有的防垃圾郵件防護系統可以檢測和阻止包含“公司機密”信息的外發電子郵件。但是，如果員工使用Yahoo或Gmail郵件服務來發送“公司機密”信息呢？

    創建策略來攔截“公司機密”電子郵件：

    使用深度包檢測(DPI)引擎搜索電子郵件內容=“公司機密”

    阻止郵件發送，并通知發件人此郵件為“公司機密”

第四件事：應用使用強制

    您的老板：希望使用InternetExplorer(IE)7.0版本作為標準瀏覽器。

    您的任務：確保公司所有系統都使用IE7.0版本，而不使用其它任何版本！

    您可能采用的解決方案如下：

    1.每天檢查每個人的系統，查找“外來”瀏覽器。

    2.安裝一種腳本來檢查每個人的系統，以查找出“外來”瀏覽器，同時確保腳本每天都會檢查每個人的系統。

    3.在應用防火墻中設置一種策略，從此便不再擔心。

    創建“我找到了更好的解決方案”策略：

    使用深度包檢測(DPI)引擎在HTTP報頭中搜索用戶代理=MSIE7.0

    允許IE7.0流量，阻止其它瀏覽器

第五件事：拒絕FTP上傳

    您可以建立一個FTP網站，以便與業務合作伙伴交換大型文件，同時，您希望確保合作伙伴方面只有項目經理可以上傳文件，其他任何人都不允許這樣做。

    創建策略來允許FTP上傳，但上傳只限于少數人

    使用深度包檢測(DPI)引擎搜索FTP命令=放置

    使用DPI引擎搜索驗證的用戶名=“pm_partner”

    如果兩者均符合，就允許放置

第六件事：控制P2P應用

    問題1：對等網(P2P)應用如BitTorrent可盜用寬帶，同時會帶來各種各樣的惡意文件。

    問題2：創建新的P2P應用或簡單修改現有的P2P應用(如修改版本號)是常有的事。

    創建策略來檢測P2P應用，使用深度包檢測(DPI)引擎搜索IPS簽名表中的P2P應用簽名

第七件事：管理流音樂

    流音頻網站和流廣播網站占用了非常寶貴的帶寬，但是，公司又不得不訪問這類網站。目前，只有兩種辦法可以應對這一挑戰。

    (1)通過網站進行控制

    創建一份您希望管理的流音頻網站名單

    創建策略來檢測流音頻網站

    使用深度包檢測(DPI)引擎在HTTP報頭中搜索HTTP網址=流音頻網站攔截列表

    (2)通過文件擴展名進行控制

    創建一份您希望管理的音頻文件擴展名列表

    創建策略來檢測流音頻內容

    使用深度包檢測(DPI)引擎在HTTP報頭中搜索文件擴展名=流音頻擴展名攔截列表

第八件事：對應用帶寬進行優先排序

    如今，許多關鍵業務應用如SAP、Salesforce.com和SharePoint都是基于云計算的應用，或者，它們的運行需要跨越不同地理位置的網絡。確保這些應用可以優先獲得運行所需的帶寬，從而改善業務效率。

    創建策略為SAP應用分配帶寬優先權：

    使用深度包檢測(DPI)引擎搜索應用簽名或應用名稱

    為SAP應用分配更高的帶寬優先級

第九件事：攔截機密文件

    在一些公司內，外發電子郵件無法穿越電子郵件安全系統或系統無法檢查電子郵件附件的內容。不管是以上哪種情況，作為電子郵件附件的“公司機密”文件可被輕松地帶出公司外。

    一旦外發網絡流量穿越公司防火墻，您可以檢測并攔截“移動中的數據”。

    創建策略來攔截包含加蓋了“公司機密”水印的電子郵件附件

    使用深度包檢測(DPI)引擎搜索：電子郵件內容=“公司機密”和“公司專有”和“私有”……

第十件事：攔截被禁止文件并發出通知

    貴公司防火墻可以攔截以下內容嗎？

    從網頁中下載的EXE文件。

    作為電子郵件附件的EXE文件。

    經由FTP傳輸的EXE文件。

    那么，PIF、SRC或VBS文件呢？

    創建被禁止文件擴展名列表。

    創建策略來攔截被禁止文件擴展名。

    使用深度包檢測(DPI)引擎搜索HTTP、電子郵件附件或FTP的文件擴展名=被禁止文件擴展名。

    如果文件被攔截，對發件人發出通知。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：企業級防火墻應做到的十件事

本文網址：http://www.guhuozai8.cn/html/support/1112153747.html