我對防火墻很信任，因為那規(guī)則是我親手設置的，我只想說，防火墻，先關再開——先全關閉，用什么服務再開什么服務。

    這種管理模式可以用于邊界管理，但對于內(nèi)網(wǎng)不行，總不能讓所有業(yè)務都先停下來吧，內(nèi)網(wǎng)管理還是要用隔離、訪問控制、AAA（用戶認證和授權(quán)）等。邊界管理是面向限制的，而內(nèi)網(wǎng)管理是面向控制的，在不影響應用的情況下，逐漸將管理措施加上去。

    只要可以應用現(xiàn)有防火墻標準，就使用他們；只有當現(xiàn)有標準不夠時才制定新的防火墻規(guī)則；只要新標準可用并能提高等價功能，就要準備使用新防火墻規(guī)則。

    在防護方面，傳統(tǒng)防火墻的包過濾只是與規(guī)則表進行匹配，對符合規(guī)則的數(shù)據(jù)包進行處理，不符合規(guī)則的丟棄，我們也是采用這種方法，但我們的策略配置要更靈活，可以自己依據(jù)可管理的對象構(gòu)成各種隨意組合的配置，對攻擊、入侵行為，我們采用模式匹配的方式和預設閥值的方式來控制。

    大家都在忽略一件事情，現(xiàn)在的企業(yè)很多用防火墻并不是防黑客，而是在VLAN、VPN、地址轉(zhuǎn)換上的應用。一個好的防火墻如果真用來防黑客是最好能和IDS聯(lián)動的。

    國外熱門

    “企業(yè)網(wǎng)管人員在郵件服務器上需要隔離的16種文件”

    在企業(yè)郵件系統(tǒng)中，這些文件若攜帶了病毒或蠕蟲，都是招招致命的。因為只要有員工看了郵件，采用安全弱點攻擊的病毒就可以在短時間內(nèi)肆虐，極易導致用戶資料與網(wǎng)絡結(jié)構(gòu)失竊，對電子商務造成威脅。除了常見的腳本、EXE等文件，我一共總結(jié)了16種“隱患”文件。

    1.VBE-- VBScript Encoded File

    2.VBS-- VBScript Script File

    3.JS-- JScript File

    4.JSE-- JScript Encoded Script File

    5.BAT-- Batch File

    6.SHS-- Shell Script Object

    7.PIF-- Shortcut to MS-DOS Program

    8.CHM-- Compiled HTML Help File

    9.WSF-- Windows Script File

    10.WSH-- Windows Scripting Host File

    11.SCR-- Screen Saver

    12.LNK--Shortcut

    13.COM--MS-DOS Application

    14.EXE-- Application

    15.DLL-- Application Extension

    16.CPL--Control Panel

    不過很多時候病毒并不是直接以上述形式出現(xiàn)，而是壓縮成包，如zip、rar等，還需要增加過濾條件：

    1.附件為zip以及其他壓縮格式

    2.整封信件的size小于150KB

    3.壓縮包中含上述16種（可選）

    這些文件不單指企業(yè)應用，對每個人也都很有幫助，看到符合上面規(guī)則的郵件，咱們自己用腦過濾一下，別打開，直接刪就好。