提高管理與維護水平 企業網絡防火墻管理經驗談
防火墻在確保網絡的安全運行上發揮著重要作用,如何讓防火墻發揮最大的作用是IT人員思考的問題。本文和大家分享自己在防火墻管理方面的一些經驗,希望能夠幫助到大家。
1、建立防火墻的安全策略
安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內其他資源使用的種種規定。訪問控制包含了哪些資源可以被訪問,如讀取、刪除、下載等行為的規范,以及哪些人擁有這些權力等信息。
(1)防火墻的設計策略
防火墻的設計策略足具體地針對防火墻,負責制定相應的規章制度來實施網絡服務訪問策略。在制定這種策略之前,必須了解這種防火墻的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。防火墻一般執行一下兩種基本策略中的一種:1)除非叫確不允許,否則允許某種服務;2)除非明確允許,否則將禁止某項服務。
執行第一種策略的防火墻在默認情況下允許所有的服務,除非管理員對某種服務明確表示禁止。執行第二種策略的防火墻在默認情況下禁止所有的服務,除非管理員對某種服務明確表示允許。防火墻可以實施一種寬松的策略(第一種),也可以實施一種限制性策略(第二種),這就是制定防火墻策略的入手點。
(2)網絡服務訪問策略
網絡服務訪問策略足一種高層次的、具體到事件的策略,主要用于定義在網絡巾允許的或禁止的網絡服務,還包括對撥號訪問以及PPP(點對點協議)連接的限制。這是因為對一種網絡服務的限制可能會促使用戶使用其他的方法,所以其他的途徑也應受到保護。比如,如果一個防火墻阻止用戶使用Telnet服務訪問互聯網,一些人可能會使用撥號連接來獲得這些服務,這樣就可能會使網絡受到攻擊。網絡服務訪問策略不但應該足一個站點安全策略的延伸,而且對于機構內部資源的保護也起全局的作用。這種策略可能包括許多事情,從文件切碎條例到病毒掃描程序,從遠程訪問到移動介質的管理。
#p#
2、非常重要的日常管理
日常管理是經常性的瑣碎工作,以使防火墻保持清潔和安全。為此,需要經常去完成的主要工作:數據備份、賬號管理、磁盤空間管理等。
(1)數據備份
一定要備份防火墻的數據。使用一種定期的、自動的備份系統為一般用途的機器做備份。當這個系統正常做完備份之后,最好還能發送出一封確定信,而當它發現錯誤的時候,也最好能產生一個明顯不同的信息。
為什么只足在錯誤發生的時候送出一封信就好了呢?如果這個系統只在有錯誤的時候產生一封信,或許就有可能不會注意到,這個系統根本就沒有運作。那為什么需要明顯不同的信息呢?如果備份系統正常和執行失敗時產生的信息很類似。那么習慣于忽略成功信息的人,也有可能會忽略失敗信息。理想的情況足有一個程序檢查備份有沒有執行,并在備份沒有執行的時候產生一個信息。
(2)賬號管理
賬號的管理。包括增加新賬號、刪除舊賬號及檢查密碼期限等,是最常被忽略的日常管理工作。在防火墻上,正確地增加新賬號、迅速地刪除舊賬號以及適時地變更密碼,絕對是一項非常重要的工作。
建立一個增加賬號的程序,盡量使用一個程序增加賬號。即使防火墻系統上沒有多少用戶,但每一個用戶都可能足一個危險。一般人都有一個毛病,就足漏掉一些步驟,或在過程中暫停幾天。如果這個空檔正好碰到某個賬號沒有密碼,入侵者就很容易進來了。
賬號建立程序中一定要標明賬號日期,以及每隔一階段就自動檢查賬號。雖然不需要自動關閉賬號,但是需要自動通知那些賬號超過期限的人。可能的話,設置一個自動系統監控這些賬號。這可以在UNIX系統上產生賬號文件,然后傳送到其他的機器上,或者是在各臺機器上產生賬號,自動把這些賬號文件拷貝到UNIX上,再檢查它們。
(3)磁盤空間管理
數據總是會塞滿所有可用的空間,即使在幾乎沒有什么用戶的機器上也一樣。人們總是向文件系統的各個角落丟東西,把各種數據轉存劍文件系統的臨時地址中。這樣引起的問題可能常常會超出人們的想象。暫且不蛻可能需要使用那些磁盤空間,只是這種碎片就容易造成混亂,使事件的處理更復雜。有人可能會問:“那是上次安裝新版程序留下來的程序嗎?是入侵者放進來的程序嗎?那真的是一個普通的數據文件嗎?是一些對入侵者有特殊意義的東西?”等等,不幸的是,沒有能自動找出這種“垃圾”的方法,尤其是可以在磁盤上到處寫東西的系統管理者。因此,最好有一個人定期檢查磁盤,如果讓每一個新任的系統管理者部去遍歷磁盤會特別有效。他們將會發現管理員忽況的東西。
#p#
3、必不可少的監視系統
對防火墻的維護、監視系統是維護防火墻的重點,它可以告訴系統管理者以下的問題:(1).防火墻已經岌岌可危了嗎?(2).防火墻能提供用戶需求的服務嗎?(3).防火墻還在正常運作嗎?(4).嘗試攻擊防火墻的足哪些類型的攻擊?要回答這幾個問題,首先應該知道什么是防火墻的正常工作狀態。
(1)專用設備的監視
雖然大部分的監視工作部是利用防火墻上現成的工具或記錄數據,但是也可能會覺得如果有一些專用的監視設備會很方便。例如,可能需要在周圍網絡上放一個監視站,以便確定通過的都足預料中的數據包。可以使用有網絡窺視軟件包的一般計算機,也可以使用特殊用途的網絡檢測器。
如何確定達一臺監視機器不會被入侵者利用呢?事實上,最好根本不要讓入侵者知道它的存在。在某些網絡設備上,只要利用一些技術和一對斷線器(wire cutter)取消網絡接口的傳輸功能,就可以使這臺機器無法被檢測到,也很難被入侵者利用。如果有操作系統的原始程序,也可以從那里取淌傳輸功能,隨時停止傳輸。但是,在這種情況下,很難確認操作是否已經成功了。
(2)應該監視的內容
理想的情況是,應該知道通過防火墻的一切事情,包括每一條連接,以及每一個丟棄或接受的數據包。然而,實際的情況足很難做到的,折衷的辦法是,在不至于影響主機速度也不會太快填滿磁盤的情況下,盡量多做記錄,然后再為所產生的記錄整理出摘要。
在特殊情況下,要記錄好以下內容:一是所有拋棄的包和被拒絕的連接;二足每一個成功的連接通過堡壘主機的時間、協議和用戶名,三是所有從路由器中發現的錯誤,堡壘主機和一些代理程序。
(3)監視工作巾的一些經驗
應該把可疑的事件劃分為幾類:一是知道事件發生的原因,而且這不足一個安全方面的問題,二是不知道是什么原因,也許永遠不知道是什么原因引起的,但是無論它是什么,它從末再出現過,三是有人試圖侵入,但問題并不嚴重,只是試探一下;四是有人事實上已經侵入。
這些類別之間的界限比較含糊。要提供以上任何問題的詳細征兆是不可能的,但是下面這些歸納出的經驗可能會對網絡系統管理員有所幫助。如果發現以下情況,網絡系統管理員就有理由懷疑有人在探試站點:一是試圖訪問在不安全的端口上提供的服務(如企圖與端口映射或者調試連接);二是試圖利用普通賬戶登錄(如guest);三是請求FTP文件傳輸或傳輸NFS映射;四是給站點的SMTP發送debug命令。
如果網絡系統管理員見到以下任何情況,應該更加關注。因為侵襲可能正在進行之中:一是多次企圖登錄但多次失敗的合法賬戶,特別足互聯網上的通用賬戶,二是目的不明的數據包命令,三足向某個范圍內每個端口廣播的數據包;四是不明站點的成功登錄。
如果網絡系統管理員了發現以下情況,應該懷疑已有人成功地侵入站點:一是日志文件被刪除或者修改;二足程序突然忽略所期望的正常信息;三足新的日志文件包含有不能解釋的密碼信息或數據包痕跡;四是特權用戶的意外登錄(例如root用戶),或者突然成為特權用戶的意外用戶;五是來自本機的明顯的試探或者侵襲,名字與系統程序相近的應用程序;六是登錄提示信息發生了改變。
4、務必保持最新狀態
保持防火墻的最新狀態也是維護和管理防火墻的一個重點。在這個侵襲與反侵襲的領域中,每天都產生新的事物、發現新的毛病,以新的方式進行侵襲,同時,現有的工具也會不斷地被更新。因此,要使防火墑能同該領域的發展保持同步。
當防火墻需要修補、升級一些東西,或增加新功能時,就必須投入較多的時間。當然所花的時間長短視修補、升級、或增加新功能的復雜程度而定。如果開始時對站點需求估計得越準確,防火墻的設計和建造做得越好,防火墻適應這些改變所花的時間就越少。
綜合:防火墻能保護網絡的安全,但并不是絕對安全的,而足相對的。因此,我們要不斷地提高我們管理和維護的水平,去更好地保護我們的網絡。
【編輯推薦】
