網(wǎng)關(guān)，在企業(yè)網(wǎng)絡(luò)管理中，有著至關(guān)重要的地位。什么是網(wǎng)關(guān)呢?簡單的說，網(wǎng)關(guān)就好像房間里的進(jìn)戶門，是企業(yè)網(wǎng)路環(huán)境與外部網(wǎng)絡(luò)環(huán)境隔離的一道門。若我們網(wǎng)絡(luò)管理員能夠把這道門管理的好的話，那么企業(yè)網(wǎng)絡(luò)的問題就會(huì)少得多。像現(xiàn)在危害企業(yè)網(wǎng)絡(luò)的病毒、垃圾郵件等等，都可以在網(wǎng)關(guān)上進(jìn)行防治。所以，網(wǎng)關(guān)，這道企業(yè)網(wǎng)絡(luò)進(jìn)戶門，我們?nèi)籼幚淼暮玫脑挘梢员Ｕ掀髽I(yè)網(wǎng)絡(luò)的順暢運(yùn)行。

　　第一道防治措施：防火墻

　　若企業(yè)對于網(wǎng)絡(luò)順暢運(yùn)行要求比較高的企業(yè)，若在企業(yè)網(wǎng)絡(luò)上部署了大量對應(yīng)用服務(wù)器的企業(yè)，則最好在網(wǎng)關(guān)上部署防火墻。因?yàn)閷τ谶@些企業(yè)，若網(wǎng)絡(luò)發(fā)生故障，就好像企業(yè)停電了一樣，員工將無事可做。

　　筆者有個(gè)朋友的企業(yè)，他們部署了ERP系統(tǒng)，平時(shí)的日常辦公已經(jīng)都離不開ERP系統(tǒng)了。有一天，他們網(wǎng)絡(luò)受到了病毒的攻擊，全部網(wǎng)絡(luò)癱瘓。此時(shí)，他們員工就叫死了。以前還說ERP系統(tǒng)怎么怎么不好，但是，到了ERP系統(tǒng)真的不能用時(shí)，他們反而不知道該如何工作了。可見，對于部署了像ERP系統(tǒng)等類似的網(wǎng)絡(luò)應(yīng)用的話，當(dāng)網(wǎng)絡(luò)癱瘓的時(shí)候，對于他們來說，是一個(gè)很大的打擊。

　　故，對于這些企業(yè)的話，筆者的建議是在企業(yè)網(wǎng)絡(luò)的網(wǎng)關(guān)上，設(shè)置一道防火墻。把企業(yè)的內(nèi)部網(wǎng)絡(luò)跟外部網(wǎng)絡(luò)有效的隔離開來，并對進(jìn)出這道門戶的數(shù)據(jù)進(jìn)行檢測，看看是否存在可能危害企業(yè)網(wǎng)絡(luò)運(yùn)行的因素存在。防火墻能夠有效的阻斷未經(jīng)授權(quán)的信息在網(wǎng)關(guān)上隨意進(jìn)出。

　　筆者企業(yè)使用的是硬件防火墻，東方龍馬公司的產(chǎn)品。采用這個(gè)硬件防火墻，筆者利用其過濾規(guī)則，有效的對企業(yè)內(nèi)部的網(wǎng)絡(luò)行為進(jìn)行管理與監(jiān)控，如對于企業(yè)內(nèi)部大部分員工不允許其上QQ或者炒股、玩游戲等等;如利用其自帶的抗工具與自我保護(hù)功能，有效的防止了病毒對于企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊;還可以利用地址轉(zhuǎn)換功能，讓企業(yè)內(nèi)部的應(yīng)用服務(wù)器，如ERP與OA服務(wù)器，員工可以在家里或者出差的時(shí)候也可以訪問;利用防火墻的終端身份認(rèn)證功能，可以實(shí)現(xiàn)只有經(jīng)過授權(quán)的用戶才能夠從外部連接到企業(yè)的內(nèi)部網(wǎng)絡(luò)上，等等。筆者借助這款硬件產(chǎn)品，提高了對于企業(yè)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的把控能力;有了防火墻的幫助，筆者可以不需要使用網(wǎng)絡(luò)行為管理軟件，就可以對內(nèi)部員工的網(wǎng)絡(luò)行為進(jìn)行有效的限制。這些都是筆者使用防火墻的直接的感受。

　　當(dāng)然，硬件防火墻的投資是比較昂貴的。若中小企業(yè)的領(lǐng)導(dǎo)者在這方面不愿意過大投資的話，則網(wǎng)路管理員還有一個(gè)選擇，就是利用軟件防火墻，來實(shí)現(xiàn)對于網(wǎng)關(guān)進(jìn)行管理的需求。其實(shí)，現(xiàn)在也有一些針對終端的防火墻產(chǎn)品，如一些殺毒軟件，金山毒霸、瑞星等殺毒軟件，都有個(gè)人防火墻功能。當(dāng)一些未經(jīng)授權(quán)的程序試圖訪問網(wǎng)絡(luò)或者一些不良程序試圖在用戶不知情的情況下修改注冊表等信息的話，防火墻都回告訴我們，并讓我們判斷該如何處理這些程序。這就保證了未經(jīng)授權(quán)的程序不能更改我們的系統(tǒng)配置或者隨意訪問網(wǎng)絡(luò)。

　　網(wǎng)關(guān)級別的軟件防火墻跟這個(gè)防火墻類似，只是其功能要強(qiáng)大的多。現(xiàn)在好一些的軟件防火墻，基本上可以實(shí)現(xiàn)硬件防火墻90%左右的功能;但是，其價(jià)格卻比硬件防火墻要便宜的多。所以說，對于中小企業(yè)來說，是一個(gè)不錯(cuò)的選擇。只是其運(yùn)行效率，比硬件防火墻要差一點(diǎn)。不過，根據(jù)筆者的經(jīng)驗(yàn)，中小企業(yè)用戶相對比較少，進(jìn)出網(wǎng)關(guān)的數(shù)據(jù)也不會(huì)很多，所以，這個(gè)缺點(diǎn)對于中小企業(yè)來說，可能不會(huì)造成多大的影響。

　　第二道防治措施：對于郵件的保護(hù)措施

　　企業(yè)員工每天上班的時(shí)候，一打開企業(yè)內(nèi)部郵箱，是不是就有很多的垃圾郵件;網(wǎng)絡(luò)管理員是不是在為層出不窮的郵件病毒所困擾著。其實(shí)，這些問題，在網(wǎng)關(guān)上部署一些郵件相關(guān)的保護(hù)產(chǎn)品，就可以有效的防止這些現(xiàn)象的產(chǎn)生。

　　如利用內(nèi)容過濾軟件，我們就可以有效的防治令人討厭的垃圾郵件。雖然，可以在客戶端的級別上進(jìn)行防垃圾軟件的設(shè)置，但是，若讓對于這個(gè)不怎么專業(yè)的員工自己去配置防垃圾軟件設(shè)置的話，效果不一定好，還可能因?yàn)椴皇煜づ渲茫岩恍┎贿m垃圾郵件的地址都給過濾了，那就是搬起石頭砸自己的腳了。所以，我們網(wǎng)絡(luò)管理員，還是希望能夠統(tǒng)一對垃圾郵件進(jìn)行過濾。此時(shí)，我們就有兩個(gè)選擇，一個(gè)是直接在郵件服務(wù)器上進(jìn)行過濾;另外一個(gè)就是在網(wǎng)關(guān)上，部署內(nèi)容過濾軟件，對垃圾郵件進(jìn)行過濾。內(nèi)容過濾軟件的另外一個(gè)作用，就是我們網(wǎng)絡(luò)管理員可以利用這個(gè)產(chǎn)品，防止員工對一些不正當(dāng)?shù)木W(wǎng)絡(luò)進(jìn)行訪問，如一些交友網(wǎng)站、色情網(wǎng)站等等。因?yàn)檫@些網(wǎng)站往往都有病毒。所以，利用這個(gè)功能，可以給企業(yè)創(chuàng)造一個(gè)健康的網(wǎng)絡(luò)辦公環(huán)境。

　　同時(shí)，在網(wǎng)關(guān)上部署反病毒軟件，特別是在企業(yè)郵箱的網(wǎng)關(guān)上部署反病毒軟件，那效果，比起在用戶終端部署殺毒軟件，要有效的多。因?yàn)槌鲇诜N種原因，有時(shí)候員工在收到帶有病毒的郵件時(shí)，殺毒軟件常常會(huì)不起作用。如員工在收到一個(gè)帶有附件的郵件時(shí)，殺毒軟件是提醒員工需要對郵件附件進(jìn)行掃描，但是，員工可能是出于麻煩，或者對發(fā)件人太過于信任，所以，往往不會(huì)對附件進(jìn)行病毒掃描，這就給了病毒可乘之機(jī)。一些病毒會(huì)模仿用戶的好友的發(fā)件人地址來欺騙用戶。所以，網(wǎng)絡(luò)管理員若能夠在企業(yè)郵箱網(wǎng)關(guān)上部署反病毒郵件的話，就可以強(qiáng)制的對于進(jìn)出網(wǎng)關(guān)所有郵件，包括帶有附件的郵件，進(jìn)行病毒掃描，最大程度的保障企業(yè)郵件的安全運(yùn)行。

　　第三道防治措施：針對VPN的管理

　　現(xiàn)在大部分企業(yè)，為了便于出差的員工訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)，都會(huì)部署VPN應(yīng)用。筆者的企業(yè)，現(xiàn)在也部署了VPN服務(wù)器。但是，如果保障VPN服務(wù)器的安全，曾經(jīng)帶給我不少的煩惱。要知道，若企業(yè)使用了VPN服務(wù)器的話，就好像在企業(yè)的內(nèi)部網(wǎng)絡(luò)上，又開了一扇門，如此的話，只要不法之人，非法取得了這扇門的鑰匙的話，那么他們就可以暢通無阻的訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)，甚至進(jìn)行任何的修改與破壞動(dòng)作。

　　筆者為了提高VPN服務(wù)器的安全，把VPN服務(wù)器部署在硬件防火墻內(nèi)部，在網(wǎng)關(guān)處，采用安全產(chǎn)品來保障VPN服務(wù)器的安全。如我們?nèi)粽J(rèn)為VPN服務(wù)器自帶的身份認(rèn)證功能不夠強(qiáng)大的話，我們還可以利用防火墻的身份認(rèn)證功能與日志功能，來幫助VPN服務(wù)器對于VPN客戶端身份合法性進(jìn)行認(rèn)證，來提高VPN服務(wù)器的安全性。對于VPN服務(wù)器來說，有過這方面管理經(jīng)驗(yàn)的IT人才都知道，其最大的威脅就是外部非法用戶的訪問。而在VPN服務(wù)器的網(wǎng)關(guān)上，部署防火墻，無論是硬件防火墻還是軟件防火墻，都可以幫助網(wǎng)絡(luò)管理員，提高VPN身份認(rèn)證的效率與準(zhǔn)確性。可見，在網(wǎng)關(guān)上部署針對VPN服務(wù)器的安全應(yīng)用產(chǎn)品，可以提高我們對于VPN服務(wù)器管理的效果，保障企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。在使用VPN服務(wù)器的便利性的同時(shí)，不被其安全性所困擾。

　　網(wǎng)關(guān)產(chǎn)品是保護(hù)公司的網(wǎng)絡(luò)免受外部入侵的第一道安全防線，可以防止網(wǎng)絡(luò)病毒或者其他未經(jīng)授權(quán)的用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò);也是對用戶的上網(wǎng)行為進(jìn)行控制的比較好的實(shí)現(xiàn)方式，可以規(guī)范員工的上網(wǎng)行為，不讓他們在辦公時(shí)間訪問未經(jīng)允許的網(wǎng)站，創(chuàng)造一個(gè)健康的網(wǎng)絡(luò)辦公環(huán)境。