Windows網絡總是成為黑客及其他破壞者的攻擊目標。但是一旦管理員通過防火牆日志定期了解網絡狀態信息,破壞者就很難得逞了。
每周或每月查看一次防火牆日志,了解安全漏洞,浏覽器速度及網絡性能情況,能夠保障網絡安全。這些日志反應了攻擊者不斷攻擊網絡的記錄,顯示遭到惡意軟件影響的內部系統,並且能幫助你識別與你有生意往來的公司裡錯誤配置或遭破壞的系統。
從防火牆得到的信息與軟件活動或設備監視器的類型有關。在選擇防火牆時,要考慮使用能監控入站、出站連接和入侵企圖的類型。配置防火牆日志文件大小時,注意其大小要能保存幾周的有用數據;只有兩天追蹤信息的日志並不能提供足夠數據應對可能出現的安全問題。
注意不斷攻擊的入侵者
最近的研究表明,新連接上網的系統在連接的頭10分鐘內最容易被攻擊。你的防火牆也不例外。平均每20分鐘所有注冊的地址都會進行端口掃描。這時你會發現總有人企圖連接某個端口或一組端口。多數防火牆在默認情況下會阻止端口掃描。在潛在入侵者對10個或15個以上的端口依次進行掃描後,部分防火牆能在一段時間內鎖住某個特定地址。
來自不同地址的端口掃描不是警報的原因。但如果發現在幾周或幾個月內有同個地址企圖對端口依次進行掃描,你可能就要通過封包監聽器驗證源地址,確定它不是欺騙行為,並對注冊該地址的雇員,承包人或有商業往來的人進行調查。
監控內部系統中的惡意軟件
盡管努力阻止,但有時仍未將Trojans,蠕蟲及間諜軟件等下載到桌面系統裡。有些桌面惡意軟件會利用一些包沖擊防火牆。(我記得最近有一個端口80中的HTTP和端口7中的Echo結合)當發現內部網中系統與防火牆之間連接不恰當,就要立即查看計算機情況,確認是否安裝了惡意軟件,並即刻采取措施進行修復。
錯誤配置伙伴合作系統只會浪費空間
由於商業往來,許多公司要求通過第三方進行服務器對服務器或服務器對客戶端的交流。我其中一名客戶有獨立的承包人,改承包人通過外部代理處理公共關系。在承包人安裝了代理機構的軟件後,防火牆遭到來自代理服務器的非方驗證請求破壞--每天平均20分鐘就有15至20次試圖連接。對這種行為至少有兩種解釋,服務器配置錯誤,或者遭到破壞。無論哪種情況都需要解決該問題,因為阻止企圖的記錄無疑會占去日志文件一定的空間和帶寬,而這些空間和帶寬最好是能用到合法的商業行為中。
拒絕服務器攻擊
防火牆每天都記錄了成百或成千的阻止連接信息。除了你指定的端口,如果防火牆阻止所有輸入信息,這些企圖攻入你網絡的嘗試雖然惱人,但相對沒有什麼害處。在一定時期內,,惡意用戶每一百毫秒就企圖連接一個注冊地址。這就產生了大家熟知的拒絕服務器(DoS)攻擊的“lite”版本。這種類型的攻擊會間歇性減緩網絡訪問速度,尤其是容量周圍的鏈接。阻止記錄能確認出你是或曾是“lite”或DoS的攻擊對象。
網絡中有些網站可以實時監控網絡中存在的威脅。一個公認的權威網站是isc.sans.org的因特網風暴中心。該網頁顯示出全球的網絡數據地圖,這些數據都是基於對全球防火牆日志的分析--數據庫包括了每日3600萬條記錄及每月2.4億條記錄。
如想將你的網絡數據與當地網絡的實時狀態進行比較,就在ISC地圖上點擊你所在的國家,顯示有關統計數據。主頁中還有彩色地圖,顯出全球范圍中攻擊關聯引擎。
如果定期查看防火牆日志,你就能發現以上提到的一些問題,或者其他干擾網絡操作或性能的異常情況。除了保持對網絡威脅的警惕,你也能利用防火牆日志中的數據成功說服老板增加安全預算。