电子政务安全保障综述.doc

电子政务安全保障综述 目 录一 前言 -2二 电子政务的概念和应用-2三 电子政务的安全的重要性和特殊性（一）电子政务中的三大安全隐患 -3（二）电子政务网络安全风险分析-3（三）电子政务对安全的特殊需求-4四 电子政务网络安全解决方案（一） 电子政务信息安全技术保障体系建设-5 （二） 构建电子政务安全技术保障体系-6五 防火墙在网络层安全的作用(一) 电子政务中的防火墙-9（二） 防火墙的优点以及缺陷-9(三) 选择防火墙应注意的问题-10致谢-13参考文献-13电子政务安全保障综述摘要：本文主要对电子政务的安全性作出探讨，将从运行系统的安全，网络上系统信息的安全以及信息传播后果的安全三个方面分别探讨研究，并简单的介绍电子政务的发展和在中国的现阶段的情况。关键字：电子政务，保障策略，防火墙，Abstract： this text makes the discussion to the security of the E-government mainly, from operating the systematic security, three respects of security of the security of systematic information and information dissemination consequence on the network are probed into and studied separately, and in the situation at the present stage of China in the development of and the simple introduction E-government. Key word: E-government, ensure the tactics , the fire wall ,一 前言存在于网络之中的虚拟网络空间为各个国家、地区、组织和个人提供了实实在在的信息和服务,并彻底改变了人类存储、传递、获取信息和服务的方式。作为管理国家事务和社会事务、为所有社会成员提供服务的政府组织，在这场变化中面临着巨大的冲击。电子政务正是在这种背景下应运而生。我国更是旗帜鲜明地提出“电子政务是信息化的龙头”，它不仅关系政府自身改革，更关系到国民经济和社会信息化建设能否健康快速发展。从容面对电子政务及其发展需要，加深对电子政务的全面理解，提高与电子政务相关的全体社会成员的基本素质，是电子政务健康快速发展的根本。二 电子政务的概念以及应用电子政务是政府机构运用现代信息与通讯技术，将管理与服务通过信息化集成，在网络上实现政府组织结构和工作流程的优化重组，超越时间、空间与部门分割的限制，全方位地向社会提供高效、优质、规范、透明的管理与服务。电子政务作为当代信息化最重要的领域之一，已经成为全球关注的焦点，是我国现代化进程中不可或缺的一环，也是我们全面提升政府机构管理与服务水平的重要技术手段。 目前在国内外关于电子政务的界定仍没有一个统一的说法。而在国外关于电子政务的说法分为如下两种：1） 联合国经济社会理事会将电子政务定义为，政府通过信息通信技术（ICTs）手段的密集性和战略性应用组织公共管理的方式，旨在提高效率、增强政府的透明度、改善财政约束、改进公共政策的质量和决策的科学性，建立良好的政府之间、政府与社会、社区的及政府与公民之间的关系，提高公共服务的质量，赢得广泛的社会参与。2） 世界银行则认为电子政府主要是关注的是政府机构使用信息技术（比如万维网、互联网和移动计算），赋予政府部门以独特的能力，转变其与公民、企业、政府部门之间的关系。这些技术可以服务与不同的目标：向公民提供更加有效的政府服务、改进政府与企业和产业界的关系、通过利用信息更好地履行公民权，以及增加政府管理服务更加便利化、增加政府收益或减少政府运行成本。可见，电子政务这个新兴事物随着时间的推移，将不断发展，而人们对电子政务的认识也在不断深化和提高。三 电子政务系统安全的重要性和特殊性电子政务的意义，在于突破了传统的工业时代“一站式”政府办公模式，建立了适应网络时代的“一网式”、“一表式”新模式开辟了推动社会信息化的新途径，创造了政府实施产业政策的新手段，管理水平实现跨越式发展，随着电子政务的不断发展和完善，电子政务的安全问题倍受人们关注，安全性问题是电子政务的首要问题，各国政府都在开展这方面的研究。在电子政务系统的技术选择过程中，应该首先考虑政务信息的安全问题。电子政务系统是供政府和公民使用的信息交流平台，在这之上流动的有可公知公用的信息，还有的是需要保密的非公开信息。即使说一个电子政务网络可以提供强大的功能，可以解决大部分电子政府信息交互的问题，但其本身使用不是本国的软件、硬件，而这些软件、硬件使用的技术不是本国所掌握的或者说这些软硬件并不能保证电子政府免受病毒侵害、黑客攻击，那幺，何谈电子政务的安全性，稳定性。这样一来，我们的很多政务信息就不只是“公之于众”了，而且将会是“大白于天下”了！（一） 电子政务中的三大安全隐患： 1. 窃取信息 由于未采用加密措施，调制解调器之间的信息以明文形式传送，入侵者使用相同的调制解调器就可以截获传送的信息。同时，政府机关内部人员更是可以十分轻松的将一些机要信息泄漏出去，此谓“监守自盗”。 2. 篡改信息 当入侵者掌握了信息的格式和规律之后，通过各种方式，在原网络的调制解调器之间增加两个相同类型的调制解调器，将通过的数据在中间修改，然后发向另一端。这便严重的破坏了原信息的完整性与有效性。 3. 冒名顶替 由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户及送假冒的信息或者主动获取信息，而远端用户通常很难分辨。同时，由于内部权限分配不明或者滥用他人名义实施违法活动，极有可能造成“栽赃嫁祸”。（二） 电子政务网络安全风险分析对于电子政务专用网络内部而言，具有资源分类别、分级别、密级区别等特点，各个用户、各个部门拥有自主储存、使用和传递共享的资源。因此，电子政务专用网络内部也必须对各种信息的储存、传递和使用进行严格的权限管理。我们认为在指导思想上，首先应在对电子政务专用网络安全风险分析的基础上，做到统一规划，全面考虑；其次，应积极采用各种先进技术，如虚拟交换网络（VLAN）、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI技术等，并实现集中统一的配置、监控、管理；最后，应加强有关网络安全保密的各项制度和规范的制定，并予以严格实行。为了便于分析网络安全风险和设计网络安全解决方案，我们采取对网络分层的方法，并且在每个层面上进行细致的分析，根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。 （三） 电子政务对安全的特殊需求 电子政务对安全的特殊需求实际上就是要合理地解决网络开放性与安全性之间的矛盾。在电子政务系统信息畅通的基础上，有效阻止非法访问和攻击对系统的破坏。 具体到技术层面，除了传统的防病毒、防火墙等安全措施以外，电子政务特殊的安全需求主要表现在以下几个方面。 1内外网间安全的数据交换 电子政务应用中势必存在内网与专网、外网间的信息交换需求，然而基于内网数据保密性的考虑，我们又不希望内网暴露在对外环境中。解决该问题的有效方式是设置安全岛，通过安全岛来实现内外网间信息的过滤和两个网络间的物理隔离，从而在内外网间实现安全的数据交换。安全岛是独立于电子政务内、外网的一个特殊的过渡网络，它被置于内网、专网和外网相交的边界位置，一方面将内网与外网物理隔离断开防止外网中黑客利用漏洞等攻击手段进入内网，另一方面又完成数据的中转，在其安全策略的控制下安全地进行内外网间的数据交换。 2网络域的控制 电子政务的网络应该处于严格的控制之下，只有经过认证的设备可以访问网络，并且能明确地限定其访问范围，这对于电子政务的网络安全而言同样十分重要。然而目前绝大部分网络是基于TCP/IPV4网络协议的，它本身不具备这种控制能力。要加强电子政务网络的控制与管理能力，可以采用基于802.1x带网络接入认证功能的交换机来实现。802.1x协议能够对接入设备实现认证，从而控制网络的设备访问，它可以利用第三方的认证系统加强认证的安全强度，如Radius、TACACS以及CA等系统。802.1x协议使得电子政务网络处于中心可管理的状态，从而使得各种网络域管理策略得以实现。 3标准可信时间源的获取 时间在电子政务安全应用上具有其特定的重要意义。政务文件上的时间标记是重要的政策执行依据和凭证，政务信息传递过程中的时间标记又是防止网络欺诈行为的重要指标，同时，时间也是政府各部门协同办公的参照物，因此，电子政务系统需要建立全系统可信、统一的时间源，这是保证电子政务系统不致出现混乱的关键因素。建立可信统一的时间源可以通过在标准时间源（如本地天文台、电视台等）上附加数字签名的方法来获得，附加数字签名的目的是防止时间在传输途中被篡改情况的发生。 4信息传递过程中的加密 电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面。就政府内部办公而言，电子政务系统涉及到部门与部门之间、上下级之间、地区与地区间的公文流转，这些公文的信息往往涉及到机密等级的问题，应予以严格保密。因此，在信息传递过程中，必须采取适当的加密方法对信息进行加密。基于IPsec的加密方式正被广泛采用，其优点显而易见：IPSEC对应用系统透明且具有极强的安全性，这一点对于要开发庞大应用的电子政务来说，就显得极有好处了，应用系统开发商不必为数据传输过程中的加密做过多的考虑。IPsec有多种应用方式，采用IPsec网关是比较理想的选择，它同时也易于部署和维护。 5操作系统的安全性考虑 网络安全的重要基础之一是安全的操作系统，因为所有的政务应用和安全措施（包括防火墙、防病毒、入侵检测等）都依赖操作系统提供底层支持。操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。更危险的是，我们无法保证国外厂家的操作系统产品不存在后门。在操作系统安全方面，有两点是值得考虑的：一是采用具有自主知识产权且源代码对政府公开的产品;二是利用漏洞扫描工具定期检查系统漏洞和配置更改情况，及时发现问题。 6数据备份与容灾 任何的安全措施都无法保证数据万无一失，硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此，在电子政务安全体系中必须包括数据的容灾与备份，并且最好是异地备份。 四 电子政务网络安全解决方案 （一） 电子政务信息安全技术保障体系建设电子政务建设中所面临的信息安全问题是由于政务内网、政务外网、公共服务网的网络环境，都是采用TCP/IP协议而建立的，该协议以开放和自由为基础，从协议规划、服务模式、网络管理等方面均缺乏安全性设计，所以电子政务信息系统就存在着先天的安全隐患。对电子政务的安全威胁，包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等，应引起足够警惕，采取措施应对。数据作为系统最终的元素是安全保障的根本，对电子政务而言尤其重要，它涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息，其主要安全隐患是窃取、篡改、假冒、抵赖、销毁。政府工作网络化本身与网络安全是一对实际的矛盾，网络化要求通畅交流，安全要求控制交流，而各种交流可能直接引起网络的连通，由于连通而引起安全事件。同时电子政务网络是涉密系统，黑客可能渗透到国家职能部门，内部人员很容易通过网络安全防护不严的特点直接攻击系统漏洞、利用漏洞窃取信息、假冒身份、阻塞服务等，这也是电子政务的重要安全问题。另外，操作系统存在来自Internet的黑客攻击和内部用户随意利用办公终端与Internet联接，再加上恶意病毒的无规律性的连续侵袭，同样是目前电子政务安全的主要隐患。（二） 构建电子政务安全技术保障体系电子政务的安全目标是：保护政务信息资源价值不受侵犯，保证信息资产的拥有者面临最小的风险和获取最大的安全利益，使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力。完整的安全体系结构应覆盖系统的各个层面，由“网络级安全、应用级安全、系统级安全和管理级安全”四大部分组成。 网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障政务网络的安全；应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制，在应用层保证对政务网络各种应用系统的信息访问合法性；系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控，防止不法分子利用操作系统的安全漏洞对政务网络构成安全威胁；管理级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障政务网的安全。因此作为一个完整的系统，政务网络必须对网络系统进行全方位的考虑。 网络的安全覆盖系统的各个层面，包括网络传送、网络服务、应用安全、安全识别、安全防御、安全监控、审计分析、集中管理等多个方面。这需要依靠安全保护和安全管理进行全面防护。 针对政府的现有网络和业务的现状，一个完整的网络安全方案应该由网络层安全策略和应用层安全策略来构成，网络层安全策略主要完成对非法使用网络资源的控制，而应用层安全策略主要是针对通过合法的渠道来非法使用业务资源的控制，只有两者的完美结合，才能构成一个安全的系统。 政务内网是政府部门的内部网络，和外界网络完全隔离，所以安全问题可能出现在局域网内部和政务内网的广域网上。 政务内网局域网安全解决方案 政务内网局域网安全解决方案图针对以太网存在的各种链路层和网络层安全隐患，以太网交换机采用多种网络安全机制，包括访问控制、用户验证、防地址假冒、入侵与防范、安全管理等技术，提供了一个有效的网络安全解决方案。 在这个方案中，局域网内的访问控制的原则是只允许授权的用户访问某个主机，通过网络设备来提供这种保障。政务内网的数据库、服务器等资源是受限访问的。一般一个部门内的用户的权限是相同的，可以将这些用户划分在一个VLAN内，只要设置基于VLAN的报文过滤策略就可以实现对这个VLAN内所有的用户的报文过滤。这样可以看出，基于VLAN 的报文过滤是最简单实用的某个用户群的访问控制策略。政务内网的局域网有可能受到入侵流量攻击，对于一些连接关键部门的端口，特别是连接广域网设备的端口和财务部门、领导部门的端口，可以将以太网交换机连接协议分析仪，通过报文镜象、报文统计来监控端口流量和统计某个应用流的流量。 政务内网网管中心安全解决方案政务内网接入层网络安全解决方案通过在局域网出口路由器与局域网相连的接口上或与骨干IP网相连的接口上配置ISPKeeper，可很好地抵御黑客对ISP进行的流量攻击，避免内部网络受到外部网络或骨干网的大流量访问和攻击而导致内网瘫痪。 政务内网广域网将省市县政务内网连接在一起，为政府的内部办公提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，政务内网广域网的网络安全成为必须面对的一个实际问题。政务内网广域网网络上存在着各种类型的攻击方式，包括网络层攻击、应用级攻击和系统级攻击。针对政务内网广域网存在以上各种安全隐患，建议采取如下的网络级、应用级和系统级安全措施来保证广域网的安全。 在这种解决方案中，只有网络管理员才有权访问政务内网广域网路由器，所以对访问路由器的用户需要进行身份认证。政务内网广域网由骨干路由器组成，路由器之间需要对对端路由器的身份进行认证，对端路由器不仅仅指物理上的直接点对点相连的路由器，同时还包括虚拟的点对点（如通过隧道协议）相连的路由器。如县政务内网广域网路由器和省政务内网广域网骨干路由器之间需要身份认证。 访问控制分为对路由器的访问控制、基于IP地址的访问控制、基于用户的访问控制。为了保护政务内网广域网路由器的配置，对路由器的访问权限需要进行口令的分级保护。一般情况下，各级政府部门的政务内网的网络用户是通过IP地址来区分的，不同的用户具有不同的权限。通过路由器的包过滤可以实现基于IP地址的访问控制，可以实现对政务内网的重要资源的保护。另外，路由器也可以提供接入服务功能。对于已接入的用户来说，他们之间的权限有可能是不一样的。通过对用户设置特定的过滤属性，可实现对接入用户的访问控制。为了避免政务内网广域网因为数据窃听而造成的信息泄漏，有必要对所传输的信息进行加密，只有与它通信的对端才能对此密文进行解密。通过对路由器所发送的报文进行加密，即使在广域网上进行传输，也能保证数据的私有性、完整性以及报文内容的真实性。对于利用公网构建VPN的情况，数据加密能够保证通过隧道传输的数据安全。MPLS VPN是实现VPN方案的技术之一，它使用基于标记的转发模式，MPLS VPN可以实现DDN的安全性能，但配置、管理、调度更方便，同时也降低了用户接入门槛。 五 防火墙在网络层安全的作用 在保障电子政务安全的各类方法中，防火墙的作用相当突出。下面将系统的讲叙防火墙的各个方面，使在选择安全策略方面能更加安全，可靠和经济。（一） 电子政务中的防火墙在电子政务中防火墙是用一个或一组网络设备，在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术。决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务以及内部的人员可以访问哪些资源。所有往来的信息都必须经过防火墙，只有被授权的数据才能够通过。在图中我们可以看见防火墙连接在外部路由器上，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。并且隔开网络中一个网段和另一个网段，这样能防止影响一个网段的问题通过网络传播。所以说防火墙是电子政务安全中一个重要环节，是网络层安全的核心。（二） 防火墙的优点以及缺陷 利用防火墙来保护内部网主要的优点为：（1） 允许网络管理员定义一个中心“扼制点”来防止非法用户进入内部网络。禁止存在安全性的服务进去网络。并且来自各种路线的攻击。（2） 保护网络中脆弱的服务，过滤存在安全缺陷的网络服务来降低内部网遭受攻击的威胁，因为只有经过选择的网络服务才能通过防火墙。（3） 通过防火墙，用户可以很方便的监视网络的安全性，并产生报警信息，网络管理员必须审计比记录所有通过防火墙的重要信息。如果管理员不能及时的响应警报并审查常规记录，防火墙就形同虚设。（4） 集中安全性。如果内部网络所有或大部分需要改动的程序以及附加的安全程序都能集中放在防火墙中，而不是分散在每个主机中，这样放火墙的保护范围就相对集中，安全成本也就相对便宜。（5） 增强保密性，强化私有权。对一些内部网络节点而言，保密性是很重要的。因为某些看似不重要的信息往往成为攻击者攻击的开始。使用防火墙可以阻塞finger以及DNS域名服务。其明显的局限性在于： （1） 防火墙难于防内 防火墙的安全控制只能作用于外对内或内对外，即：对外可屏蔽内部网的拓扑结构，封锁外部网上的用户连接内部网上的重要站点或某些端口，对内可屏蔽外部危险站点，但它很难解决内部网控制内部人员的安全问题。即防外不防内。而据权威部门统计结果表明，网络上的安全攻击事件有70%以上来自内部攻击。 （2） 防火墙难于管理和配置，易造成安全漏洞 防火墙的管理及配置相当复杂，要想成功的维护防火墙，要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说，由多个系统（路由器、过滤器、代理服务器、网关、堡垒主机）组成的防火墙，管理上有所疏忽是在所难免的。（3） 防火墙的安全控制主要是基于IP地址的，难于为用户在防火墙内外提供一致的安全策略 许多防火墙对用户的安全控制主要是基于用户所用机器的IP地址而不是用户身份，这样就很难为同一用户在防火墙内外提供一致的安全控制策略，限制了企业网的物理范围。 （4） 防火墙只实现了粗粒度的访问控制 防火墙只实现了粗粒度的访问控制，且不能与企业内部使用的其它安全机制（如访问控制）集成使用，这样，企业就必须为内部的身份验证和访问控制管理维护单独的数据库。（三）选择防火墙应注意的问题 网络的安全不仅表现在网络的病毒防治方面，而且还表现在系统抵抗外来非法黑客入侵的能力方面。目前市场上的防火墙产品可以说是琳琅满目，如何选择合适的防火墙就成为用户非常关心的话题，笔者的下述浅见，将对这方面的问题作出详细的回答。 1、产品功能要实用 大家知道，不同功能的防火墙产品，在价格上，差别是很大的，从几万元到数十万元，甚至到百万元，那么我们到底是应该购买价格高的产品呢，还是价格低的产品呢？这时，我们就应该根据各企业用户使用的安全程度的不同来选择，如果用户需要的安全程度很高，也就是说企业对系统的安全要求非常高的话，那么我们就应该选择价格高的、功能强的防火墙产品，以便利用这些强大的功能为系统的安全建立一个坚固的屏障，反之我们就应该选择一个价格便宜、功能稍差的产品。如果我们在选购防火墙产品时，一味地追求高价格、强功能的产品，就有可能造成很大的资源浪费。一句话，我们应该首先根据系统的要求，然后选择一个与系统要求相符合的产品，以确保能充分防火墙的应有功能。 2、设计策略要符合原则 防火墙本身支持安全策略，而不是添加上去的；如果组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。 3、产品适应力要强 Internet每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的。如果用户需要NNTP（网络消息传输协议）、XWindow、HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问，应把信息服务器和其他内部服务器分开。防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证，设计尽量简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。 4、要考虑潜在威胁 潜在威胁是我们在选购防火墙时，也应该认真考虑的因素：网络受威胁的程度；若入侵者闯入网络，将要受到的潜在的损失；其他已经用来保护网络及其资源的安全措施；由于硬件或软件失效，或防火墙遭到“拒绝服务攻击”，而导致用户不能访问Internet，造成的整个机构的损失；机构所希望提供给Internet的服务，希望能从Internet得到的服务以及可以同时通过防火墙的用户数目；站点是否有经验丰富的管理员；今后可能的要求，如要求增加通过防火墙的网络活动或要求新的Internet服务。 5、要能满足特殊要求 企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一。常见的需求如下： A、双重DNS。当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换，因为，同样的一个主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS。 B、网络地址转换功能(NAT)。进行地址转换有两个好处：其一是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，这也是笔者之所以要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部使用保留的IP，这对许多IP不足的企业是有益的。 C、虚拟专用网络(VPN)。VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。 D、扫毒功能。大部分防火墙都可以与防病毒软件搭配实现扫毒功能，有的防火墙则可以直接集成扫毒功能，差别只是扫毒工作是由防火墙完成，或是由另一台专用的计算机完成。 E、特殊控制需求。有时候企业会有特别的控制需求，如限制特定使用者才能发送Email，FTP只能下载文件不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、ActiveX控件等，依需求不同而定。6、产品自身是否安全 大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。大部分防火墙都安装在一般的操作系统上，如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。 7、工作方式要正