部署防火墻的六大誤區(qū)
防火墻作為企業(yè)安全的重要保障已經(jīng)被各企業(yè)廣泛認(rèn)同,幾乎每時(shí)每刻都會有企業(yè)將部署防火墻提上網(wǎng)絡(luò)安全議程。那么,是不是部署了防火墻之后就可以毫無后顧之憂了呢?本篇文章將講述部署防火墻過程中的六大誤區(qū)。
部署防火墻誤區(qū)之一:部署了防火墻并不等于絕對安全
防火墻對于企業(yè)網(wǎng)絡(luò)的保護(hù)作用是每位企業(yè)網(wǎng)管所共知的,可是,企業(yè)網(wǎng)絡(luò)部署了防火墻,并不意味著企業(yè)網(wǎng)絡(luò)就不再有安全威脅。舉個(gè)最簡單的例子,防火墻的功能僅僅能夠?qū)碜酝獠烤W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過濾,如果有人在企業(yè)網(wǎng)絡(luò)內(nèi)部搞破壞,防火墻是沒有任何防范作用的。
另外,防火墻對來自外部數(shù)據(jù)的過濾檢查是按照過濾規(guī)則進(jìn)行的。如果一種網(wǎng)絡(luò)攻擊模式不在防火墻過濾規(guī)則之內(nèi),防火墻對于這種網(wǎng)絡(luò)攻擊也是沒有任何防范能力的。為此,企業(yè)網(wǎng)管不要認(rèn)為網(wǎng)絡(luò)中部署了防火墻,企業(yè)網(wǎng)絡(luò)就絕對安全,不再有任何安全隱患,部署了防火墻并不等于絕對安全。
部署防火墻誤區(qū)之二:長期不更新防火墻安全策略
防火墻可以阻擋來自外界的網(wǎng)絡(luò)攻擊,以及過濾一些網(wǎng)絡(luò)病毒,這都得益于防火墻設(shè)備的安全策略。如同殺毒軟件一樣,憑借防火墻自帶默認(rèn)的安全策略,防火墻設(shè)備能夠阻擋已知的網(wǎng)絡(luò)攻擊模式,以及一部分網(wǎng)絡(luò)病毒;對于新的網(wǎng)絡(luò)攻擊模式,以及新的網(wǎng)絡(luò)病毒,防火墻是沒有任何防范能力的。要想讓防火墻能夠具備非常強(qiáng)大的防范能力,企業(yè)網(wǎng)管必須定期的更新防火墻的安全策略。
在網(wǎng)絡(luò)安全漏洞呈爆炸式增長的今天,如果長期不更新防火墻的安全策略,防火墻無疑會成為一個(gè)擺設(shè)。每當(dāng)遇到新的網(wǎng)絡(luò)安全漏洞,企業(yè)網(wǎng)管必須及時(shí)的更新防火墻的安全策略,只有這樣,防火墻才能真正成為企業(yè)網(wǎng)絡(luò)的安全保護(hù)神。
部署防火墻誤區(qū)之三:安裝防火墻設(shè)備的所有組件
眾所周知,部署防火墻這款網(wǎng)絡(luò)安全設(shè)備時(shí),很多企業(yè)網(wǎng)管為了保障企業(yè)網(wǎng)絡(luò)的安全,通常會將防火墻所有的功能組件都安裝到防火墻設(shè)備中。從表面看,安裝了所有組件的防火墻,安全更有保障。可是,安裝了一些多余的防火墻組件之后,反而會降低防火墻的安全性能。
從技術(shù)角度來講,防火墻的工作過程與普通PC相似。對于一臺普通的PC來說,如果安裝了過多的功能組件,其系統(tǒng)響應(yīng)速度會變慢,尤其是PC開機(jī)時(shí)如果啟動了太多的項(xiàng)目,PC可能會因?yàn)椴豢爸刎?fù)而死機(jī)。防火墻亦是如此,防火墻中的組件都是隨防火墻啟動而啟動的,如果網(wǎng)管部署防火墻時(shí)安裝了所有組件,勢必會耗費(fèi)防火墻太多的資源,在網(wǎng)絡(luò)數(shù)據(jù)交換繁忙時(shí),防火墻設(shè)備可能會因?yàn)橄到y(tǒng)資源不足而當(dāng)機(jī)。一旦防火墻當(dāng)機(jī),防火墻將失去了作用,企業(yè)網(wǎng)絡(luò)也將失去防火墻的保護(hù),其后果不難想象。為此,部署防火墻時(shí),不要安裝防火墻設(shè)備的所有組件。
部署防火墻誤區(qū)之四:把防火墻當(dāng)成防病毒的武器
從理論上說,防火墻當(dāng)然可以防病毒,但防火墻只能防范通過網(wǎng)絡(luò)傳播的一部分病毒。道理很簡單,防火墻是位于網(wǎng)絡(luò)通路上的一道關(guān)卡,對于一切經(jīng)過它的數(shù)據(jù)包,它都可以過濾出禁止傳輸?shù)臄?shù)據(jù)。可是,大多數(shù)病毒在傳播過程中是非常隱蔽的,防火墻的過濾規(guī)則很難有效的防范病毒入侵,看一下病毒傳播的過程就明白了。
病毒在隱蔽在網(wǎng)絡(luò)應(yīng)用層中的,在通過防火墻時(shí),病毒被分為若干個(gè)數(shù)據(jù)包。不可否認(rèn),防火墻雖然可以過濾一些數(shù)據(jù)包,但分割為多個(gè)數(shù)據(jù)包的病毒,防火墻是很難識別的,除非防火墻能夠?qū)⑷舾蓚€(gè)數(shù)據(jù)包重新拼裝起來進(jìn)行檢查,否則防火墻是不可能發(fā)現(xiàn)病毒的。防火墻對數(shù)據(jù)包的過濾,僅僅是決定轉(zhuǎn)發(fā)還是放棄,為此,防火墻的過濾規(guī)則很難防范通過網(wǎng)絡(luò)傳播的病毒。
不過,對于一些特征非常明顯的病毒,防火墻是可以過濾的。例如震蕩波病毒,在傳播過程中是占用TCP的某些端口,這時(shí),只要企業(yè)網(wǎng)管將防火墻的端口封閉,震蕩波病毒將無法進(jìn)入企業(yè)網(wǎng)絡(luò)中。在實(shí)際應(yīng)用中,能夠像震蕩波這樣有如此明顯特征的病毒很少。總的來說,防火墻對于病毒有一定的防范能力,但防范能力是非常有限的,為此,不要把防火墻當(dāng)成防病毒的有效武器。
部署防火墻誤區(qū)之五:忽略防火墻日志文件的作用
與任何一款網(wǎng)絡(luò)設(shè)備一樣,防火墻工作過程中也會自動生成日志。在企業(yè)網(wǎng)絡(luò)的日常維護(hù)中,很多企業(yè)網(wǎng)管認(rèn)識防火墻日志的存在,更沒有意識到防火墻工作日志的重要性。對于防火墻的日志,企業(yè)網(wǎng)管存在著諸多誤區(qū)。
由于防火墻每天在過濾數(shù)百萬甚至上千萬的報(bào)文數(shù)據(jù)包,其生成的日志也是數(shù)量眾多。面對密密麻麻的日志文件,企業(yè)網(wǎng)管該從何處入手呢?其實(shí),對于正常過濾的數(shù)據(jù)包記錄,企業(yè)網(wǎng)管是無需理會的。諸如丟棄、告警、日志等動作,企業(yè)網(wǎng)管需要慎重的進(jìn)行審核,并且進(jìn)行分析,以確定是否有非法的網(wǎng)絡(luò)攻擊存在,切莫忽視防火墻日志文件的作用。
部署防火墻誤區(qū)之六:過濾規(guī)則中有太多拒絕規(guī)則
對于防火墻的過濾規(guī)則,每位企業(yè)網(wǎng)管都非常熟悉。防火墻工作過程中,對于允許的數(shù)據(jù)包直接放行,而對于拒絕的規(guī)則,將直接拋棄。毫無疑問,如果防火墻的過濾規(guī)則中有太多的拒絕規(guī)則,將會浪費(fèi)防火墻的系統(tǒng)資源,因?yàn)榉阑饓π枰粩嗟木芙^不符合規(guī)則的數(shù)據(jù)包,并且禁止其通過。為此,在配置防火墻的過濾規(guī)則時(shí),要少用拒絕規(guī)則。
總結(jié):防火墻有保護(hù)企業(yè)網(wǎng)絡(luò)安全的功能,可是,防火墻并不是萬能的,也會有漏洞。加之防火墻是一個(gè)機(jī)器,其保護(hù)功能需要人的設(shè)置才能提高。也就是說,要想讓防火墻的保護(hù)功能更加完善,部署防火墻時(shí)必須躲開上述誤區(qū)。
【編輯推薦】
