正確地測(cè)試和維護(hù)防火墻的方法_第1頁(yè)
正確地測(cè)試和維護(hù)防火墻的方法_第2頁(yè)
正確地測(cè)試和維護(hù)防火墻的方法_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、正確地測(cè)試和維護(hù)防火墻的方法大多數(shù)企業(yè)認(rèn)為防火墻是一種成熟的技術(shù),且通常安全專(zhuān)家 也不會(huì)過(guò)多考慮防火墻。在審計(jì)或評(píng)估防火墻時(shí),企業(yè)通常只是簡(jiǎn)單 地勾選表明防火墻在保護(hù)網(wǎng)絡(luò)的選項(xiàng)就完事。然而,最近筆者注意到一種趨勢(shì):防火墻并沒(méi)有提供它能提 供的全部保護(hù),因?yàn)樗鼈儧](méi)有得到升級(jí)或正確維護(hù)。筆者并不是說(shuō)單 靠防火墻可以阻止所有攻擊,這不太可能,但筆者認(rèn)為它們可以比現(xiàn) 在更加有效。在考慮維護(hù)和測(cè)試及檢查防火墻規(guī)則時(shí), 企業(yè)應(yīng)該提出以下 問(wèn)題:1. 最后一次全面驗(yàn)證防火墻規(guī)則集是什么時(shí)候 ?2. 防火墻規(guī)則集什么時(shí)候進(jìn)行的更新?3. 最后一次全面測(cè)試防火墻是什么時(shí)候?4. 最后一次優(yōu)化防火墻規(guī)則集是什么時(shí)

2、候 ?對(duì)于大多數(shù)企業(yè)而言,防火墻極有可能是在幾年前部署的,并且,在這些年都沒(méi)有進(jìn)行過(guò)多的改進(jìn)。 筆者的很多客戶(hù)就是這種情 況,這也是筆者選擇防火墻作為本文主題的原因。防火墻設(shè)計(jì)和配置對(duì)于防火墻,兩個(gè)重要的事情是:它必須得到正確的設(shè)計(jì)和 配置。而對(duì)于設(shè)計(jì),黃金準(zhǔn)則是“所有連接必須通過(guò)防火墻”?,F(xiàn)在的問(wèn)題是,究竟有多少百分比的流量通過(guò)防火墻呢 ?也許有人會(huì)說(shuō),100%的網(wǎng)絡(luò)流量必須通過(guò)防火墻,但實(shí)際 情況是,加密鏈路、無(wú)線(xiàn)網(wǎng)絡(luò)流量、調(diào)制解調(diào)器和外部網(wǎng)連接通常都 會(huì)繞過(guò)防火墻。很多人聲稱(chēng)100%的流量通過(guò)防火墻,但實(shí)際上這個(gè) 比率可能非常低。隨著網(wǎng)絡(luò)變得更開(kāi)放,現(xiàn)在很多防火墻只監(jiān)控不到 60%的流量

3、,這極大地降低了防火墻的有效性。 畢竟,防火墻無(wú)法保 護(hù)它看不到的東西。從配置方面來(lái)看,防火墻的有效性取決于規(guī)則集。在很多情 況下,企業(yè)是讓技術(shù)人員在控制臺(tái)前面來(lái)配置規(guī)則集。而且,沒(méi)有什 么防火墻政策或要求文件來(lái)推動(dòng)規(guī)則集的創(chuàng)建。 如果沒(méi)有文件,就沒(méi) 有辦法驗(yàn)證它是否正確。另一個(gè)根本問(wèn)題時(shí),企業(yè)很少執(zhí)行適當(dāng)?shù)姆阑饓y(cè)試。 在規(guī) 則集創(chuàng)建或更新后,企業(yè)將測(cè)試和確保一切正常通過(guò)防火墻。雖然測(cè) 試正常情況很重要,但問(wèn)題是,一切都正常通過(guò),應(yīng)該被阻止的事物 也會(huì)被允許通過(guò)。因此,企業(yè)應(yīng)該利用要求文件,同時(shí)測(cè)試異常情況, 這將確保應(yīng)該被阻止的事物得以正確阻止。測(cè)試防火墻的有效性以防止故障最后的測(cè)試是測(cè)量

4、防火墻的整體效能,而了解防火墻有效性 的唯一方法是查看丟棄數(shù)據(jù)包的數(shù)量。 畢竟,部署防火墻的原因是讓 它阻止應(yīng)該被阻止的流量?;谶@個(gè)評(píng)估,企業(yè)需要回答這個(gè)問(wèn)題:“防火墻每天有多少丟棄數(shù)據(jù)包,如果出現(xiàn)異常情況,防火墻能否檢 測(cè)得到?”筆者的一個(gè)客戶(hù)非常滿(mǎn)意其防火墻,因?yàn)槠浞阑饓τ?37個(gè)獨(dú)特的規(guī)則集。問(wèn)題是當(dāng)我們檢查丟包的數(shù)量時(shí),結(jié)果是0。這意味著237條規(guī)則相當(dāng)于“完全允許通過(guò)”,該客戶(hù)的防火墻只是昂貴 的直通設(shè)備而已。通過(guò)檢查丟包數(shù)量,企業(yè)可以更好地了解設(shè)備是否 允許太多東西通過(guò),最終阻礙防火墻的有效性。最后,防火墻的成功基于它丟棄的數(shù)據(jù)包數(shù)量。 測(cè)量防火墻 有效性的關(guān)鍵是追蹤丟包的數(shù)量以確保它符合企業(yè)所處的業(yè)務(wù)類(lèi)型, 同時(shí)尋求改變。每個(gè)企業(yè)都不同,但一般而言,每天應(yīng)該有數(shù)千或更 多丟棄包。有些企業(yè)可能每小時(shí)就有幾千丟棄包, 但如果企業(yè)每天只 有一百個(gè)丟棄包,那么,要么是防火墻被插入到互聯(lián)網(wǎng)的安全部分(這 不太可能),或者防火墻規(guī)則集沒(méi)有被正確配置。同樣重要的是在對(duì) 規(guī)則集做出更改后,檢查丟棄包的數(shù)量,以確保企業(yè)了解規(guī)則對(duì)其安 全的影響??偠灾?,防火墻存在于大多數(shù)企

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論