兴宁A8 兴宁论坛 兴宁新闻 兴宁人的网络社区
标题:
防火墙:合理配置和管理的策略
[打印本页]
作者:
兴宁528
时间:
2012/3/3 11:30
标题:
防火墙:合理配置和管理的策略
防火墙不是万无一失的安全策略,对它们必须加以合理的管理。 <BR>说到保护网络资产和业务关键基础设施免受攻击,大多数组织设立的第一道防线就是防火墙,但遗憾的是,防火墙往往又是最后一道防线。许多组织认为,防火墙就是保护基础设施投资的护身盔甲。更贴切的说法应该是胸甲——它护得了要害部位,但护不住头和脚。有鉴于此,防火墙应当仍然构成第一道防线,但必须同时得到其它深度防御安全策略的援助。 <BR>专业人员进行安全评估时,强调从现场部件开始着手的必要性,即对每个网段的每个主机进行“在线式”攻击测试。客户的第一个反应往往是“我不要这样,我只对网络黑客会干什么有兴趣。我有防火墙来保护。”如果客户觉得对防火墙不太放心,可能会添加IP地址作为远程攻击的一部分。遗憾的是,他们没有领会到要义。既然明知防火墙对基础设施的投资这么重要,为什么不进行检查,确保防火墙提供理应提供的所有保护呢? <BR>尽管业界已尽了最大努力,但没有哪个防火墙能保护主机避免针对网络服务的“零时间”漏洞(zero-day exploit)。然而,如果配置及维护得当,就有助于约束攻击者通过被入侵主机进行的破坏行为。控制离开被入侵网络的网络流量(譬如禁止HTTP或FTP出站),这往往能阻挠攻击者获得进一步获取权限或者入侵其它内部主机所必要的工具。 <BR>防火墙往往是项目安全预算当中最大的单笔开支。防火墙安装在环境内时备受关注,而且往往配置准确。然而,等到基础设施运行了一年半载,防火墙却通常再也无法提供过去的那种保护。 <BR>专业人员在评估及审查了众多防火墙策略(有时含有成百上千条规则)之后,强烈建议:应当对防火墙策略安排年度审查以及“彻底清理”。防火墙管理员和基础设施的开发人员及维护人员都能够出面评估所需的策略更改,这很重要。重点应当放在尽量降低策略的复杂性,同时确保进出网络流量得到控制。 <BR>然后,利用各种端口扫描和确认方法,测试防火墙的安全性。对防火墙进行扫描本身作用有限,不过有助于发现通常应当禁止的任何服务或系统响应(譬如,对ICMP、路由协议和开放管理端口的响应)。不过,对与防火墙相连的所有网段的每个主机(包括防火墙)进行扫描,并且把发现结果同基于策略的预期结果进行对照,这极其重要。就长期而言,要确保防火墙管理员在使用最新的防火墙和主机操作系统方面接受全面培训。 <BR>如果运行基于防火墙的VPN隧道服务,还要评估各种相关的策略及配置。 <BR>正如不该把防火墙视为万无一失的安全防御机制那样,还应确保这个重要部件得到妥善维护和管理。毕竟,护身盔甲上的胸甲的保护功效完全取决于钢板和铁匠。 <BR>防火墙保护的几个主要漏洞 <BR>·防火墙应用系统和主机操作系统没有打上安全补丁,予以更新。 <BR>·随意向要求更改防火墙策略的受保护环境添加新主机。增添主机规则时,又往往是千篇一律的规则,从而影响了现有主机的安全性。 <BR>·从基础设施移走主机时未对防火墙策略进行相应更改。万一主机遭到远程入侵,就会造成策略“漏洞百出”。 <BR>·增添“临时的”策略更改,试图解决一年到头出现的一次性问题。获取及安装受保护主机的最新安全补丁或更新程序的系统管理员往往喜欢这样。 <BR>·重新审查防火墙日志的次数越来越少。管理员用于监控防火墙日常运转的时间不是很多,结果没人注意攻击。 <BR>·管理防火墙的任务交给了水平较差、更改防火墙策略能力较差的人(因为最初安装防火墙的“技术人员”对此不再有兴趣),尤其是增添的规则往往限制入站流量,却对出站流量未加任何限制。 <BR>·许多人获得了管理防火墙的权限,结果弄得谁也不知道为什么要制订某些规则,也不知道更改规则的重要性。<BR> <BR>
欢迎光临 兴宁A8 兴宁论坛 兴宁新闻 兴宁人的网络社区 (http://bbs.xna8.com/)
Powered by Discuz! X3.1