合理的配置防火墻
2020-10-30 18:15:21
供稿:網(wǎng)友
今天我們所處的信息時(shí)代,也可以說(shuō)也是病毒與黑客大行其道的時(shí)代,這樣說(shuō)確實(shí)有些悲觀但今天的網(wǎng)絡(luò)的確如此,從Internet到企業(yè)內(nèi)網(wǎng)、從個(gè)人電腦到可上網(wǎng)的手機(jī)平臺(tái),沒(méi)有地方是安全的。每一次網(wǎng)絡(luò)病毒的攻擊,都會(huì)讓家庭用戶(hù)、企業(yè)用戶(hù)、800熱線甚至是運(yùn)營(yíng)商頭痛腦熱。不過(guò)經(jīng)歷過(guò)了一次又一次的病毒危機(jī)后,人們已經(jīng)開(kāi)始思考網(wǎng)絡(luò)的安全了。現(xiàn)在任何一個(gè)企業(yè)組建網(wǎng)絡(luò)都會(huì)考慮到購(gòu)買(mǎi)防火墻,且有越來(lái)越多的家庭用戶(hù)在自己的電腦上甚至寬帶接入端也加上了防火墻,相信不久的將來(lái),我們可以看到在手機(jī)上也會(huì)出現(xiàn)防火墻。
但是防火墻不是一道用于心理安慰的屏障,只有會(huì)用防火墻才能夠真正將威脅擋在門(mén)外。就許多中小企業(yè)而言,防火墻的配置往往沒(méi)有反映出企業(yè)的業(yè)務(wù)需求。如果對(duì)防火墻的防護(hù)執(zhí)行設(shè)置沒(méi)有結(jié)合企業(yè)內(nèi)部的需求而進(jìn)行認(rèn)真充分的定義,添加到防火墻上的安全過(guò)濾規(guī)則就有可能允許不安全的服務(wù)和通信通過(guò),從而給企業(yè)網(wǎng)絡(luò)帶來(lái)不必要的危險(xiǎn)與麻煩。防火墻可以比做一道數(shù)據(jù)的過(guò)濾網(wǎng),如果事先制定了合理的過(guò)濾規(guī)則,它將可以截住不合規(guī)則的數(shù)據(jù)報(bào)文,從而起到過(guò)濾的作用。相反,如果規(guī)則不正確,將適得其反。
中小企業(yè)防火墻應(yīng)具有哪些功能:
如何合理實(shí)施防火墻的配置呢?首先,讓我們來(lái)看看中小企業(yè)防火墻一般都應(yīng)具有哪些功能:
1. 動(dòng)態(tài)包過(guò)濾技術(shù),動(dòng)態(tài)維護(hù)通過(guò)防火墻的所有通信的狀態(tài)(連接),基于連接的過(guò)濾;
2. 可以作為部署NAT(Network Address Translation,網(wǎng)絡(luò)地址變換)的地點(diǎn),利用NAT技術(shù),將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來(lái),用來(lái)緩解地址空間短缺的問(wèn)題;
3. 可以設(shè)置信任域與不信任域之間數(shù)據(jù)出入的策略;
4. 可以定義規(guī)則計(jì)劃,使得系統(tǒng)在某一時(shí)可以自動(dòng)啟用和關(guān)閉策略;
5. 具有詳細(xì)的日志功能,提供防火墻符合規(guī)則報(bào)文的信息、系統(tǒng)管理信息、系統(tǒng)故障信息的記錄,并支持日志服務(wù)器和日志導(dǎo)出;
6. 具有IPSec VPN功能,可以實(shí)現(xiàn)跨互聯(lián)網(wǎng)安全的遠(yuǎn)程訪問(wèn);
7. 具有郵件通知功能,可以將系統(tǒng)的告警通過(guò)發(fā)送郵件通知網(wǎng)絡(luò)管理員;
8. 具有攻擊防護(hù)功能對(duì)不規(guī)則的IP、TCP報(bào)或超過(guò)經(jīng)驗(yàn)閥值的TCP半連接、UDP報(bào)文以及ICMP報(bào)文采取丟棄;
9. Web中的Java, ActiveX, Cookie、URL關(guān)鍵字、Proxy進(jìn)行過(guò)濾。
以上是中小企業(yè)防火墻所應(yīng)具備的一些防護(hù)特性,當(dāng)然隨著技術(shù)的發(fā)展中小企業(yè)防火墻的功能會(huì)變得越來(lái)越豐富;但有再多功能的防火墻如果沒(méi)有合理的配置和管理,那么這只是一件IT擺設(shè).
如何實(shí)施防火墻配置
如何實(shí)施防火墻配置呢?我們分別從以下幾方面來(lái)討論:
規(guī)則實(shí)施
規(guī)則實(shí)施看似簡(jiǎn)單,其實(shí)需要經(jīng)過(guò)詳盡的信息統(tǒng)計(jì)才可以得以實(shí)施。在過(guò)程中我們需要了解公司對(duì)內(nèi)對(duì)外的應(yīng)用以及所對(duì)應(yīng)的源地址、目的地址、TCP或UDP的端口,并根據(jù)不同應(yīng)用的執(zhí)行頻繁程度對(duì)策率在規(guī)則表中的位置進(jìn)行排序,然后才能實(shí)施配置。原因是防火墻進(jìn)行規(guī)則查找時(shí)是順序執(zhí)行的,如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。另外,應(yīng)該及時(shí)地從病毒監(jiān)控部門(mén)得到病毒警告,并對(duì)防火墻的策略進(jìn)行更新也是制定策略所必要的手段。
規(guī)則啟用計(jì)劃
通常有些策略需要在特殊時(shí)刻被啟用和關(guān)閉,比如凌晨3:00。而對(duì)于網(wǎng)管員此時(shí)可能正在睡覺(jué),為了保證策略的正常運(yùn)作,可以通過(guò)規(guī)則啟用計(jì)劃來(lái)為該規(guī)則制定啟用時(shí)間。另外,在一些企業(yè)中為了避開(kāi)上網(wǎng)高峰和攻擊高峰,往往將一些應(yīng)用放到晚上或凌晨來(lái)實(shí)施,比如遠(yuǎn)程數(shù)據(jù)庫(kù)的同步、遠(yuǎn)程信息采集等等,遇到這些需求網(wǎng)管員可以通過(guò)制定詳細(xì)的規(guī)則和啟用計(jì)劃來(lái)自動(dòng)維護(hù)系統(tǒng)的安全。
日志監(jiān)控
日志監(jiān)控是十分有效的安全管理手段,往往許多管理員認(rèn)為只要可以做日志的信息,都去采集,比如說(shuō)對(duì)所有的告警或所有與策略匹配或不匹配的流量等等,這樣的做法看似日志信息十分完善,但可以想一下每天進(jìn)出防火墻的數(shù)據(jù)報(bào)文有上百萬(wàn)甚至更多,你如何在這些密密麻麻的條目中分析你所需要的信息呢?雖然有一些軟件可以通過(guò)分析日志來(lái)獲得圖形或統(tǒng)計(jì)數(shù)據(jù),但這些軟件往往需要去二次開(kāi)發(fā)或制定,而且價(jià)格不菲。所以只有采集到最關(guān)鍵的日志才是真正有用的日志。
一般而言,系統(tǒng)的告警信息是有必要記錄的,但對(duì)于流量信息是應(yīng)該有選擇的。有時(shí)候?yàn)榱藱z查某個(gè)問(wèn)題我們可以新建一條與該問(wèn)題匹配的策略并對(duì)其進(jìn)行觀測(cè)。比如:內(nèi)網(wǎng)發(fā)現(xiàn)蠕蟲(chóng)病毒,該病毒可能會(huì)針對(duì)主機(jī)系統(tǒng)某UDP端口進(jìn)行攻擊,網(wǎng)管員雖然已經(jīng)將該病毒清除,但為了監(jiān)控有沒(méi)有其他的主機(jī)受感染,我們可以為該端口增加一條策略并進(jìn)行日志來(lái)檢測(cè)網(wǎng)內(nèi)的流量。
另外,企業(yè)防火墻可以針對(duì)超出經(jīng)驗(yàn)閥值的報(bào)文做出響應(yīng),如丟棄、告警、日志等動(dòng)作,但是所有的告警或日志是需要認(rèn)真分析的,系統(tǒng)的告警支持根據(jù)經(jīng)驗(yàn)值來(lái)確定的,比如對(duì)于工作站和服務(wù)器來(lái)說(shuō)所產(chǎn)生的會(huì)話數(shù)是完全不同的,所以有時(shí)會(huì)發(fā)現(xiàn)系統(tǒng)告知一臺(tái)郵件服務(wù)器在某端口發(fā)出攻擊,而很有可能是這臺(tái)服務(wù)器在不斷的重發(fā)一些沒(méi)有響應(yīng)的郵件造成的。
設(shè)備管理
對(duì)于企業(yè)防火墻而言,設(shè)備管理方面通常可以通過(guò)遠(yuǎn)程Web管理界面的訪問(wèn)以及Internet外網(wǎng)口被Ping來(lái)實(shí)現(xiàn),但這種方式是不太安全的,因?yàn)橛锌赡芊阑饓Φ膬?nèi)置Web服務(wù)器會(huì)成為攻擊的對(duì)象。所以建議遠(yuǎn)程網(wǎng)管應(yīng)該通過(guò)IPsec VPN的方式來(lái)實(shí)現(xiàn)對(duì)內(nèi)端口網(wǎng)管地址的管理.
