今天我們所處的信息時代,也可以說也是病毒與黑客大行其道的時代,這樣說確實有些悲觀但今天的網(wǎng)絡(luò)的確如此,從Internet到企業(yè)內(nèi)網(wǎng)、從個人電腦到可上網(wǎng)的手機平臺,沒有地方是安全的。每一次網(wǎng)絡(luò)病毒的攻擊,都會讓家庭用戶、企業(yè)用戶、800熱線甚至是運營商頭痛腦熱。
不過經(jīng)歷過了一次又一次的病毒危機后,人們已經(jīng)開始思考網(wǎng)絡(luò)的安全了。現(xiàn)在任何一個企業(yè)組建網(wǎng)絡(luò)都會考慮到購買防火墻,且有越來越多的家庭用戶在自己的電腦上甚至寬帶接入端也加上了防火墻,相信不久的將來,我們可以看到在手機上也會出現(xiàn)防火墻。
但是防火墻不是一道用于心理安慰的屏障,只有會用防火墻才能夠真正將威脅擋在門外。就許多中小企業(yè)而言,防火墻的配置往往沒有反映出企業(yè)的業(yè)務需求。如果對防火墻的防護執(zhí)行設(shè)置沒有結(jié)合企業(yè)內(nèi)部的需求而進行認真充分的定義,添加到防火墻上的安全過濾規(guī)則就有可能允許不安全的服務和通信通過,從而給企業(yè)網(wǎng)絡(luò)帶來不必要的危險與麻煩。防火墻可以比做一道數(shù)據(jù)的過濾網(wǎng),如果事先制定了合理的過濾規(guī)則,它將可以截住不合規(guī)則的數(shù)據(jù)報文,從而起到過濾的作用。相反,如果規(guī)則不正確,將適得其反。
中小企業(yè)防火墻應具有哪些功能:
如何合理實施防火墻的配置呢?首先,讓我們來看看中小企業(yè)防火墻一般都應具有哪些功能:
1. 動態(tài)包過濾技術(shù),動態(tài)維護通過防火墻的所有通信的狀態(tài)(連接),基于連接的過濾;
2. 可以作為部署NAT(Network Address Translation,網(wǎng)絡(luò)地址變換)的地點,利用NAT技術(shù),將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應起來,用來緩解地址空間短缺的問題;
3. 可以設(shè)置信任域與不信任域之間數(shù)據(jù)出入的策略;
4. 可以定義規(guī)則計劃,使得系統(tǒng)在某一時可以自動啟用和關(guān)閉策略;
5. 具有詳細的日志功能,提供防火墻符合規(guī)則報文的信息、系統(tǒng)管理信息、系統(tǒng)故障信息的記錄,并支持日志服務器和日志導出;
6. 具有IPSec VPN功能,可以實現(xiàn)跨互聯(lián)網(wǎng)安全的遠程訪問;
7. 具有郵件通知功能,可以將系統(tǒng)的告警通過發(fā)送郵件通知網(wǎng)絡(luò)管理員;
8. 具有攻擊防護功能對不規(guī)則的IP、TCP報或超過經(jīng)驗閥值的TCP半連接、UDP報文以及ICMP報文采取丟棄;
9. Web中的Java, ActiveX, Cookie、URL關(guān)鍵字、Proxy進行過濾。
以上是中小企業(yè)防火墻所應具備的一些防護特性,當然隨著技術(shù)的發(fā)展中小企業(yè)防火墻的功能會變得越來越豐富;但有再多功能的防火墻如果沒有合理的配置和管理,那么這只是一件IT擺設(shè).
如何實施防火墻配置
如何實施防火墻配置呢?我們分別從以下幾方面來討論:
規(guī)則實施
規(guī)則實施看似簡單,其實需要經(jīng)過詳盡的信息統(tǒng)計才可以得以實施。在過程中我們需要了解公司對內(nèi)對外的應用以及所對應的源地址、目的地址、TCP或UDP的端口,并根據(jù)不同應用的執(zhí)行頻繁程度對策率在規(guī)則表中的位置進行排序,然后才能實施配置。原因是防火墻進行規(guī)則查找時是順序執(zhí)行的,如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。另外,應該及時地從病毒監(jiān)控部門得到病毒警告,并對防火墻的策略進行更新也是制定策略所必要的手段。
規(guī)則啟用計劃
通常有些策略需要在特殊時刻被啟用和關(guān)閉,比如凌晨3:00。而對于網(wǎng)管員此時可能正在睡覺,為了保證策略的正常運作,可以通過規(guī)則啟用計劃來為該規(guī)則制定啟用時間。另外,在一些企業(yè)中為了避開上網(wǎng)高峰和攻擊高峰,往往將一些應用放到晚上或凌晨來實施,比如遠程數(shù)據(jù)庫的同步、遠程信息采集等等,遇到這些需求網(wǎng)管員可以通過制定詳細的規(guī)則和啟用計劃來自動維護系統(tǒng)的安全。
日志監(jiān)控
日志監(jiān)控是十分有效的安全管理手段,往往許多管理員認為只要可以做日志的信息,都去采集,比如說對所有的告警或所有與策略匹配或不匹配的流量等等,這樣的做法看似日志信息十分完善,但可以想一下每天進出防火墻的數(shù)據(jù)報文有上百萬甚至更多,你如何在這些密密麻麻的條目中分析你所需要的信息呢?雖然有一些軟件可以通過分析日志來獲得圖形或統(tǒng)計數(shù)據(jù),但這些軟件往往需要去二次開發(fā)或制定,而且價格不菲。所以只有采集到最關(guān)鍵的日志才是真正有用的日志。
一般而言,系統(tǒng)的告警信息是有必要記錄的,但對于流量信息是應該有選擇的。有時候為了檢查某個問題我們可以新建一條與該問題匹配的策略并對其進行觀測。比如:內(nèi)網(wǎng)發(fā)現(xiàn)蠕蟲病毒,該病毒可能會針對主機系統(tǒng)某UDP端口進行攻擊,網(wǎng)管員雖然已經(jīng)將該病毒清除,但為了監(jiān)控有沒有其他的主機受感染,我們可以為該端口增加一條策略并進行日志來檢測網(wǎng)內(nèi)的流量。
另外,企業(yè)防火墻可以針對超出經(jīng)驗閥值的報文做出響應,如丟棄、告警、日志等動作,但是所有的告警或日志是需要認真分析的,系統(tǒng)的告警支持根據(jù)經(jīng)驗值來確定的,比如對于工作站和服務器來說所產(chǎn)生的會話數(shù)是完全不同的,所以有時會發(fā)現(xiàn)系統(tǒng)告知一臺郵件服務器在某端口發(fā)出攻擊,而很有可能是這臺服務器在不斷的重發(fā)一些沒有響應的郵件造成的。
設(shè)備管理
對于企業(yè)防火墻而言,設(shè)備管理方面通常可以通過遠程Web管理界面的訪問以及Internet外網(wǎng)口被Ping來實現(xiàn),但這種方式是不太安全的,因為有可能防火墻的內(nèi)置Web服務器會成為攻擊的對象。所以建議遠程網(wǎng)管應該通過IPsec VPN的方式來實現(xiàn)對內(nèi)端口網(wǎng)管地址的管理。
責任編輯 趙毅 zhaoyi#51cto.com TEL:(010)68476636-8001
