淺析防火墻部署誤區
部署網絡防火墻幾乎已經成為了企業網絡安全管理員潛意識里存在的東西,但是如果不能正確地對網絡防火墻進行部署。那么實際上企業網絡安全的收效甚微,本篇文章就主要介紹六個防火墻部署誤區,希望能夠對網絡安全管理員有所幫助。
防火墻部署誤區一:部署了防火墻并不等于絕對安全
防火墻對于企業網絡的保護作用是每位企業網管所共知的,可是,企業網絡部署了防火墻,并不意味著企業網絡就不再有安全威脅。舉個最簡單的例子,防火墻的功能僅僅能夠對來自外部網絡的數據進行過濾,如果有人在企業網絡內部搞破壞,防火墻是沒有任何防范作用的。
另外,防火墻對來自外部數據的過濾檢查是按照過濾規則進行的。如果一種網絡攻擊模式不在防火墻過濾規則之內,防火墻對于這種網絡攻擊也是沒有任何防范能力的。為此,企業網管不要認為網絡中部署了防火墻,企業網絡就絕對安全,不再有任何安全隱患,部署了防火墻并不等于絕對安全。
防火墻部署誤區二:長期不更新防火墻安全策略
防火墻可以阻擋來自外界的網絡攻擊,以及過濾一些網絡病毒,這都得益于防火墻設備的安全策略。如同殺毒軟件一樣,憑借防火墻自帶默認的安全策略,防火墻設備能夠阻擋已知的網絡攻擊模式,以及一部分網絡病毒;對于新的網絡攻擊模式,以及新的網絡病毒,防火墻是沒有任何防范能力的。要想讓防火墻能夠具備非常強大的防范能力,企業網管必須定期的更新防火墻的安全策略。
在網絡安全漏洞呈爆炸式增長的今天,如果長期不更新防火墻的安全策略,防火墻無疑會成為一個擺設。每當遇到新的網絡安全漏洞,企業網管必須及時的更新防火墻的安全策略,只有這樣,防火墻才能真正成為企業網絡的安全保護神。
防火墻部署誤區三:安裝防火墻設備的所有組件
眾所周知,部署防火墻這款網絡安全設備時,很多企業網管為了保障企業網絡的安全,通常會將防火墻所有的功能組件都安裝到防火墻設備中。從表面看,安裝了所有組件的防火墻,安全更有保障。可是,安裝了一些多余的防火墻組件之后,反而會降低防火墻的安全性能。
從技術角度來講,防火墻的工作過程與普通PC相似。對于一臺普通的PC來說,如果安裝了過多的功能組件,其系統響應速度會變慢,尤其是PC開機時如果啟動了太多的項目,PC可能會因為不堪重負而死機。防火墻亦是如此,防火墻中的組件都是隨防火墻啟動而啟動的,如果網管部署防火墻時安裝了所有組件,勢必會耗費防火墻太多的資源,在網絡數據交換繁忙時,防火墻設備可能會因為系統資源不足而當機。一旦防火墻當機,防火墻將失去了作用,企業網絡也將失去防火墻的保護,其后果不難想象。為此,部署防火墻時,不要安裝防火墻設備的所有組件。
防火墻部署誤區四:把防火墻當成防病毒的武器
從理論上說,防火墻當然可以防病毒,但防火墻只能防范通過網絡傳播的一部分病毒。道理很簡單,防火墻是位于網絡通路上的一道關卡,對于一切經過它的數據包,它都可以過濾出禁止傳輸的數據。可是,大多數病毒在傳播過程中是非常隱蔽的,防火墻的過濾規則很難有效的防范病毒入侵,看一下病毒傳播的過程就明白了。
病毒在隱蔽在網絡應用層中的,在通過防火墻時,病毒被分為若干個數據包。不可否認,防火墻雖然可以過濾一些數據包,但分割為多個數據包的病毒,防火墻是很難識別的,除非防火墻能夠將若干個數據包重新拼裝起來進行檢查,否則防火墻是不可能發現病毒的。防火墻對數據包的過濾,僅僅是決定轉發還是放棄,為此,防火墻的過濾規則很難防范通過網絡傳播的病毒。
不過,對于一些特征非常明顯的病毒,防火墻是可以過濾的。例如震蕩波病毒,在傳播過程中是占用TCP的某些端口,這時,只要企業網管將防火墻的端口封閉,震蕩波病毒將無法進入企業網絡中。在實際應用中,能夠像震蕩波這樣有如此明顯特征的病毒很少。總的來說,防火墻對于病毒有一定的防范能力,但防范能力是非常有限的,為此,不要把防火墻當成防病毒的有效武器。
防火墻部署誤區五:忽略防火墻日志文件的作用
與任何一款網絡設備一樣,防火墻工作過程中也會自動生成日志。在企業網絡的日常維護中,很多企業網管認識防火墻日志的存在,更沒有意識到防火墻工作日志的重要性。對于防火墻的日志,企業網管存在著諸多誤區。
由于防火墻每天在過濾數百萬甚至上千萬的報文數據包,其生成的日志也是數量眾多。面對密密麻麻的日志文件,企業網管該從何處入手呢?其實,對于正常過濾的數據包記錄,企業網管是無需理會的。諸如丟棄、告警、日志等動作,企業網管需要慎重的進行審核,并且進行分析,以確定是否有非法的網絡攻擊存在,切莫忽視防火墻日志文件的作用。
防火墻部署誤區六:過濾規則中有太多拒絕規則
對于防火墻的過濾規則,每位企業網管都非常熟悉。防火墻工作過程中,對于允許的數據包直接放行,而對于拒絕的規則,將直接拋棄。毫無疑問,如果防火墻的過濾規則中有太多的拒絕規則,將會浪費防火墻的系統資源,因為防火墻需要不斷的拒絕不符合規則的數據包,并且禁止其通過。為此,在配置防火墻的過濾規則時,要少用拒絕規則。
總結:防火墻有保護企業網絡安全的功能,可是,防火墻并不是萬能的,也會有漏洞。加之防火墻是一個機器,其保護功能需要人的設置才能提高。也就是說,要想讓防火墻的保護功能更加完善,部署防火墻時必須躲開上述誤區。
【編輯推薦】
