隨著互聯網和電子商務應用的不斷普及,網絡安全日益成為大家關注的問題,導致防火墻等安全設備應運而生,防火墻的應用成為用戶實現網絡安全的一個基本手段。防火墻本身的主要功能除了對網絡訪問進行有效控制以外,還有一個很重要的功能就是對網絡上的訪問進行記錄和審計,防火墻日志審計服務器就是完成這一功能的主要工具。
雖然目前所有廠商的防火墻都提供日志功能,但各廠商對于防火墻日志的記錄和管理策略卻各各不同。有的廠商采用防火墻內置硬盤作為防火墻的整體存儲介質,其目的就是利用硬盤這一較為廉價的存儲介質來放置相對較為龐大的防火墻日志;而另一些廠商則使用電子盤存貯防火墻的核心系統和臨時日志,同時,通過架設一臺遠程的防火墻日志審計服務器來實現對防火墻日志的存放和審計。
防火墻日志審計服務是輔助網絡安全管理人員全面掌握網絡安全狀況,并衡量防火墻性能和作用的重要手段。令人遺憾的是許多用戶在選擇防火墻產品的時候,往往會忽略防火墻的日志審計這一環節。
那么用戶在選擇防火墻日志審計服務的時候,應該選擇哪種模式呢?下面我們從常見黑客入侵方法來幫助用戶作一個整體的分析。
作為一個黑客,他入侵一個網絡系統的目的是要攻擊網絡系統內部的關鍵主機,如果一個網絡系統有防火墻這樣的安全設備負責網絡通信的監控,那么黑客首先要做的事情是利用網絡的安全缺陷攻擊或避繞防火墻,然后進行關鍵主機攻擊。而無論黑客采用什么樣的手段,他在被攻擊網絡系統內的通信行為是物理存在的,所以黑客在完成攻擊后,最后做的工作就是將防火墻上記錄的通信日志進行破壞或刪改。如果將所有的防火墻日志存儲在防火墻本地,這樣,黑客就有機會完全破壞通訊日志,以降低后續被跟蹤的可能性。
那么怎樣才能最大程度地保護防火墻的日志,以做為被攻擊后的審計資料呢?最好的辦法就是使用遠程的日志審計服務器來存儲防火墻的監控日志,因為遠程日志審計服務器的位置對于黑客來說是不透明的,在防火墻上有大量的設置地址,黑客在短時間內是無法從防火墻上分析出日志服務器的網絡位置,黑客在完成網絡攻擊后,為了在最短時間內離開被攻擊的網絡,基本上會刪除被攻擊主機的日志和攻擊路徑上網絡設備的日志,根本沒有時間分析和查找防火墻遠程日志服務器的位置和攻擊修改遠程日志服務器上的防火墻日志,這樣,防火墻的遠程日志服務器就有效地記錄了黑客的攻擊行為,可以為日后跟蹤和找到發動攻擊行為的黑客提供有力的數據。 從上面的分析不難看出,防火墻的遠程日志審計服務器對于用戶網絡的安全同樣是十分重要的。另外,用戶在選擇防火墻產品的時候,關注廠商在日志服務器上面所作的工作(防火墻日志服務器的功能)是十分重要的。如果某一防火墻產品只使用本地硬盤作為日志存儲器,那么對于用戶的網絡安全性的保護將是不全面的。所以,即便用戶選擇使用本地硬盤存儲日志的防火墻產品,也要選擇同時提供遠程日志服務器的防火墻產品,以便安裝遠程的日志服務器來對防火墻的監控日志進行備份。
另外,防火墻是網絡設備,為了不影響其性能,故防火墻本地的日志查詢都做得比較簡單,處理的數據量也不是很大,而使用單獨的日志服務器,日志查詢和審計的功能就可以做得非常強大和細致,處理的數據量也大。
聯想網御2000防火墻為用戶提供了基于Windows平臺的功能強大的遠程日志服務器,日志類型全面,審計內容豐富。該日志審計服務器可以輔助管理人員監控網絡應用的各種情況,并提供多種輔助功能,包括管理員分級、日志信息導入導出、面向對象的安全策略執行狀況審計以及日志數據庫管理等功能,還有在磁盤空間耗盡時的行之有效的處理策略。網絡管理員可以根據日志審計服務器提供的日志信息實時地監控網絡的運行狀況并處理異常情況,能夠以強大的日志審計服務功能確保防火墻安全策略的準確執行和適時調整。