企業(yè)管理員如何高效配置防火墻
眾所周知,網(wǎng)絡(luò)防火墻是保證企業(yè)網(wǎng)絡(luò)安全的重要設(shè)施。幾乎所有的企業(yè)都認(rèn)識(shí)到了網(wǎng)絡(luò)防火墻的重要性,并且安裝了網(wǎng)絡(luò)防火墻。那么企業(yè)管理員在配置防火墻時(shí)是否正確呢?要知道設(shè)置了合理的防火墻規(guī)則可以起到安全防護(hù)的目的,如果相反那么效果也會(huì)適得其反。如何實(shí)施防火墻配置呢?我們分別從以下幾方面來(lái)討論:
配置防火墻規(guī)則實(shí)施
規(guī)則實(shí)施看似簡(jiǎn)單,其實(shí)需要經(jīng)過(guò)詳盡的信息統(tǒng)計(jì)才可以得以實(shí)施。在過(guò)程中我們需要了解公司對(duì)內(nèi)對(duì)外的應(yīng)用以及所對(duì)應(yīng)的源地址、目的地址、TCP或UDP的端口,并根據(jù)不同應(yīng)用的執(zhí)行頻繁程度對(duì)策率在規(guī)則表中的位置進(jìn)行排序,然后才能實(shí)施配置。原因是防火墻進(jìn)行規(guī)則查找時(shí)是順序執(zhí)行的,如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。另外,應(yīng)該及時(shí)地從病毒監(jiān)控部門得到病毒警告,并對(duì)防火墻的策略進(jìn)行更新也是制定策略所必要的手段。
配置防火墻規(guī)則啟用計(jì)劃
通常有些策略需要在特殊時(shí)刻被啟用和關(guān)閉,比如凌晨3:00。而對(duì)于網(wǎng)管員此時(shí)可能正在睡覺(jué),為了保證策略的正常運(yùn)作,可以通過(guò)規(guī)則啟用計(jì)劃來(lái)為該規(guī)則制定啟用時(shí)間。另外,在一些企業(yè)中為了避開(kāi)上網(wǎng)高峰和攻擊高峰,往往將一些應(yīng)用放到晚上或凌晨來(lái)實(shí)施,比如遠(yuǎn)程數(shù)據(jù)庫(kù)的同步、遠(yuǎn)程信息采集等等,遇到這些需求網(wǎng)管員可以通過(guò)制定詳細(xì)的規(guī)則和啟用計(jì)劃來(lái)自動(dòng)維護(hù)系統(tǒng)的安全。
配置防火墻日志監(jiān)控
日志監(jiān)控是十分有效的安全管理手段,往往許多管理員認(rèn)為只要可以做日志的信息,都去采集,比如說(shuō)對(duì)所有的告警或所有與策略匹配或不匹配的流量等等,這樣的做法看似日志信息十分完善,但可以想一下每天進(jìn)出防火墻的數(shù)據(jù)報(bào)文有上百萬(wàn)甚至更多,你如何在這些密密麻麻的條目中分析你所需要的信息呢?雖然有一些軟件可以通過(guò)分析日志來(lái)獲得圖形或統(tǒng)計(jì)數(shù)據(jù),但這些軟件往往需要去二次開(kāi)發(fā)或制定,而且價(jià)格不菲。所以只有采集到最關(guān)鍵的日志才是真正有用的日志。
一般而言,系統(tǒng)的告警信息是有必要記錄的,但對(duì)于流量信息是應(yīng)該有選擇的。有時(shí)候?yàn)榱藱z查某個(gè)問(wèn)題我們可以新建一條與該問(wèn)題匹配的策略并對(duì)其進(jìn)行觀測(cè)。比如:內(nèi)網(wǎng)發(fā)現(xiàn)蠕蟲(chóng)病毒,該病毒可能會(huì)針對(duì)主機(jī)系統(tǒng)某UDP端口進(jìn)行攻擊,網(wǎng)管員雖然已經(jīng)將該病毒清除,但為了監(jiān)控有沒(méi)有其他的主機(jī)受感染,我們可以為該端口增加一條策略并進(jìn)行日志來(lái)檢測(cè)網(wǎng)內(nèi)的流量。
另外,企業(yè)防火墻可以針對(duì)超出經(jīng)驗(yàn)閥值的報(bào)文做出響應(yīng),如丟棄、告警、日志等動(dòng)作,但是所有的告警或日志是需要認(rèn)真分析的,系統(tǒng)的告警支持根據(jù)經(jīng)驗(yàn)值來(lái)確定的,比如對(duì)于工作站和服務(wù)器來(lái)說(shuō)所產(chǎn)生的會(huì)話數(shù)是完全不同的,所以有時(shí)會(huì)發(fā)現(xiàn)系統(tǒng)告知一臺(tái)郵件服務(wù)器在某端口發(fā)出攻擊,而很有可能是這臺(tái)服務(wù)器在不斷的重發(fā)一些沒(méi)有響應(yīng)的郵件造成的。
配置防火墻設(shè)備管理
對(duì)于企業(yè)防火墻而言,設(shè)備管理方面通常可以通過(guò)遠(yuǎn)程Web管理界面的訪問(wèn)以及Internet外網(wǎng)口被Ping來(lái)實(shí)現(xiàn),但這種方式是不太安全的,因?yàn)橛锌赡芊阑饓Φ膬?nèi)置Web服務(wù)器會(huì)成為攻擊的對(duì)象。所以建議遠(yuǎn)程網(wǎng)管應(yīng)該通過(guò)IPsec VPN的方式來(lái)實(shí)現(xiàn)對(duì)內(nèi)端口網(wǎng)管地址的管理。
【編輯推薦】
