防火牆不是萬無一失的安全策略,對它們必須加以合理的管理。
說到保護網絡資產和業務關鍵基礎設施免受攻擊,大多數組織設立的第一道防線就是防火牆,但遺憾的是,防火牆往往又是最後一道防線。許多組織認為,防火牆就是保護基礎設施投資的護身盔甲。更貼切的說法應該是胸甲——它護得了要害部位,但護不住頭和腳。有鑒於此,防火牆應當仍然構成第一道防線,但必須同時得到其它深度防御安全策略的援助。
專業人員進行安全評估時,強http://.調從現場部件開始著手的必要性,即對每個網段的每個主機進行“在線式”攻擊測試。客戶的第一個反應往往是“我不要這樣,我只對網絡黑客會干什麼有興趣。我有防火牆來保護。”如果客戶覺得對防火牆不太放心,可能會添加IP地址作為遠程攻擊的一部分。遺憾的是,他們沒有領會到要義。既然明知防火牆對基礎設施的投資這麼重要,為什麼不進行檢查,確保防火牆提供理應提供的所有保護呢
盡管業界已盡了最大努力,但沒有哪個防火牆能保護主機避免針對網絡服務的“零時間”漏洞(zero-day exploit)。然而,如果配置及維護得當,就有助於約束攻擊者通過被入侵主機進行的破壞行為。控制離開被入侵網絡的網絡流量(譬如禁止HTTP或FTP出站),這往往能阻撓攻擊者獲得進一步獲取權限或者入侵其它內部主機所必要的工具。
防火牆往往是項目安全預算當中最大的單筆開支。防火牆安裝在環境內時備受關注,而且往往配置准確。然而,等到基礎設施運行了一年半載,防火牆卻通常再也無法提供過去的那種保護。
專業人員在評估及審查了眾多防火牆策略(有時含有成百上千條規則)之後,強http://.烈建議:應當對防火牆策略安排年度審查以及“徹底清理”。防火牆管理員和基礎設施的開發人員及維護人員都能夠出面評估所需的策略更改,這很重要。重點應當放在盡量降低策略的復雜性,同時確保進出網絡流量得到控制。
然後,利用各種端口掃描和確認方法,測試防火牆的安全性。對防火牆進行掃描本身作用有限,不過有助於發現通常應當禁止的任何服務或系統響應(譬如,對ICMP、路由協議和開放管理端口的響應)。不過,對與防火牆相連的所有網段的每個主機(包括防火牆)進行掃描,並且把發現結果同基於策略的預期結果進行對照,這極其重要。就長期而言,要確保防火牆管理員在使用最新的防火牆和主機操作系統方面接受全面培訓。
如果運行基於防火牆的VPN隧道服務,還要評估各種相關的策略及配置。
正如不該把防火牆視為萬無一失的安全防御機制那樣,還應確保這個重要部件得到妥善維護和管理。畢竟,護身盔甲上的胸甲的保護功效完全取決於鋼板和鐵匠。
防火牆保護的幾個主要漏洞
·防火牆應用系統和主機操作系統沒有打上安全補丁,予以更新。
·隨意向要求更改防火牆策略的受保護環境添加新主機。增添主機規則時,又往往是千篇一律的規則,從而影響了現有主機的安全性。
·從基礎設施移走主機時未對防火牆策略進行相應更改。萬一主機遭到遠程入侵,就會造成策略“漏洞百出”。
·增添“臨時的”策略更改,試圖解決一年到頭出現的一次性問題。獲取及安裝受保護主機的最新安全補丁或更新程序的系統管理員往往喜歡這樣。
·重新審查防火牆日志的次數越來越少。管理員用於監控防火牆日常運轉的時間不是很多,結果沒人注意攻擊。
·管理防火牆的任務交給了水平http://www.xsyzj.cn較差、更改防火牆策略能力較差的人(因為最初安裝防火牆的“技術人員”對此不再有興趣),尤其是增添的規則往往限制入站流量,卻對出站流量未加任何限制。
·許多人獲得了管理防火牆的權限,結果弄得誰也不知道為什麼要制訂某些規則,也不知道更改規則的重要性。
防火牆合理配置和管理的策略