文章內容

防火墻測評與管理“十不”詳解

發布時間: 2012/7/4 14:44:39

防火墻測評——買

　　第一條：不要誤信含糊實驗條件的驚人數字

　　親閱過無數防火墻產品廣告，一個個白紙黑字標稱的4G吞吐量讓人炫目，但如果把“64字節小包”、“線速”、“堅持幾分鐘”之類字眼拋出來，銷售人員就會對吞吐量自己先變的吞吞吐吐起來。所以不能輕信廠商提供的各項數據，必須拿標準實驗條件的測試結果來比對，或者重新搭建環境親自來測試。

　　第二條：不要喜歡數字，而不考慮可管理性

　　在測評中，用戶往往過多地關注性能數字，但對于實際的網絡安全管理來講，兩種產品間2%的差異、5%的差異就算10%的差異，真的能帶來本質的區別么?一臺防火墻配置界面操作是否方便?有否完備的日志管理功能?本墻能否存儲日志?有無月度CPU、內存統計功能?可否方便查詢已配策略……比起性能數字來，測評這些看似不切主題，但這種問題可是“誰用誰知道”!

　　第三條：不要關注花哨功能，卻不了解性能的隱憂

　　這年頭的防火墻，功能都是多多的，訪問控制、防病毒、入侵檢測/防御、VPN，叫功能異構也好，叫統一威脅管理也好，像個雜貨鋪一樣。說這些功能“花哨”，是因為它們啟動起來，對硬件資源性能的吞噬能力超乎人的想象。所以，擬定測評方案時就輕易不要把這些列在功能項里了吧?

　　第四條：不要不科學看待高性能硬件架構

　　硬件防火墻的性能高下離不開硬件架構種類。所謂高性能硬件架構，是對應于X86的傳統工控機架構而言的，常見的有NP、ASIC等。對于高性能硬件架構，我們既不能不關注，也不能迷信。但關注的同時，又不能過分推崇“NP”“ASIC”，因為，最強的不一定是最好的和最適合你的。

　　第五條：不要不結合自己網絡特點考慮，不結合自己的安全戰略考慮

　　脫離了用戶自身的網絡環境特點來測試防火墻是很不科學的，不基于自己安全戰略設計防火墻測試指標，更是背離了產品應用的初衷。網絡特點告訴用戶自己的網里在跑什么樣的包，構成成分、多大、什么協議。安全戰略告訴用戶防火墻買了是為了做什么，要怎么部、怎么配、怎么管。我們要為了“部”、“配”、“管”而“選”而“測”。

　　第六條：不要不警惕測試中的作弊行為

　　產品銷售與購買屬于商業行為，商業就不得不提防欺騙，在測試中則是要警惕作弊行為。假設極個別廠商制作了專門用來測試的高性能“競爭測試版”產品唬人，假設極個別廠商在設備內作一些手腳(如用網線直接連通)，那么整個測試結果就會對其他誠信的廠商很不公平。

　　防火墻管理——用

　　第七條：不能對防火墻期望過高

　　防火墻，顧名思義，是旨在防范威脅之“火”的墻。不幸的是，這只是一廂情愿，管理員在防火墻上合理合法地為Web服務開一個80端口，黑客就可以利用軟件漏洞來個SQL注入或者跨站攻擊�？陀^地講，沒有防火墻是萬萬不能的，但有了防火墻不是萬能的。

　　而用戶們常常認識不到這點，要么以為邊界上部署了防火墻就可以高枕無憂，要么把安全責任一股腦推到網管或防火墻管理員頭上，要么凡是想重點保護什么信息資產就一定用防火墻把它罩起來……這樣過高期望防火墻功效，會讓整個信息系統疏于防范，建設投入不當，最終導致信息系統在高風險層面運轉——說它為“傻”并不為過。

　　科學的做法是，對防火墻保持正確清醒的認識，理解它是網絡層通信行為控制的有力武器，能為訪問控制提供強有力的支撐，但它在安全方面的作用也只限于此，安全世界里有更多更重要的工作要留給其他安全技術實現，不要對防火墻有不切實際的期望。

　　第八條：不能對防火墻未以重任

　　把防火墻定位為“網絡層通信行為控制的有力武器”，有的讀者會說這種觀念太陳舊，認為現在應用層防火墻遍地都是，為什么要忽視防火墻的應用層控制能力?這就正應了防火墻管理的第二傻，給防火墻分配了與其能力不相當的重任。

　　我們固然可以在防火墻上開啟反病毒、入侵檢測、抗DoS攻擊等諸多其實連廠家都不真心推薦的功能，但這樣的后果就是產品性能大受損耗，防火墻的CPU和內存在高風險位運轉，甚至幫助入侵者實現他們夢寐以求的“拒絕服務”。

　　這么做確實很傻，有不少用戶寄希望于外國的名墻、好墻能實現一墻多能，或者寄希望于ASIC把防火墻變得多才多藝，或者寄希望于小企業小環境使用。殊不知——外國墻也一樣有性能損耗，老外反入侵也仰仗IPS;ASIC尚無法完全賦予防火墻這么好的身手; 小企業首先未必有這么豐富的安全需求，就算有，防火墻性能不足也一樣會殃及小企業。

　　科學的做法是，讓防火墻做好本職工作，盡量避免讓它兼職或做第二職業。

　　第九條：不能對防火墻濫用異構

　　異構是體現安全管理中冗余思想的一種好方法，會增加安全保障系數。但什么事情都怕做過頭了，我們可以適當采用異構，但如果迷信異構，濫用異構，就會成為防火墻管理的第三傻——不管有無實際需要，用兩個品牌的防火墻串起來保護。

　　濫用異構經常會導致無用功。其實防火墻的訪問控制，可以被比喻成保安在門口查驗來客的身份證，不管設多少層崗，查的內容如果一樣就毫無意義。即使你用中外保安各一個，他們也都是在看阿拉伯數字，沒什么區別(當然，如果某些用戶應國家法律或監管需要而進行中外防火墻異構，要另當別論)。濫用異構的另一個重大危害是帶來管理的復雜性，不同品牌防火墻的協同管理會很辛苦。

　　科學的做法是，慎重考慮防火墻異構問題，按需部署，不要過分推崇異構，以免走上濫用之路。

　　第十條：不能讓防火墻規則粗放

　　防火墻的看家本事是執行檢查工作。一項檢查工作是否有效，關鍵看檢查依據定得如何，而防火墻的檢查依據就是訪問控制規則。

　　防火墻的訪問控制規則有兩個要素，一是控制服務(通信端口);二是控制訪問源、目的地址(IP)。用戶一般都知道嚴格控制前者，但對后者有時就粗放管理。如果用戶使用了其他認證手段，在地址控制上粗放些倒無可厚非，否則就是第四傻。

　　其實網絡訪問控制中，控制地址的重要性大于控制服務。服務由系統提供，理論上講，系統安全做好了，關閉了不必要的端口并除去同一安全域內互訪的端口，剩下的端口或許都得對外開放，只是開放的源地址不同。這就凸顯了控制地址的重要性。

　　而且要控制地址，就需要控制到具體的IP。除非諸如80端口之類確實要對任何應用提供服務的端口，否則不要輕易開放網段。另外，開放C類段未必比B類段安全很多，就像原本是要篩沙子的密格濾網，你開小窟窿和開大窟窿有多少本質區別呢?

　　有人可能會說，如此詳細控制會讓規則激增，防火墻不堪重負。這個問題要靠改善網絡部署或采用其他認證手段為防火墻代勞，不能為了性能就不堅持訪問控制的安全性原則。

　　科學的做法是，防火墻要對地址嚴格細致地控制，如果性能不濟，通過綜合規劃來解決，不能因為“將就”而留下安全隱患。

　　以上是筆者總結的防火墻管理中的幾個誤區，值得用戶和工程實施人員關注。雖然“傻”這個字顯得很絕對，但為了不被惡意入侵者事后同樣用這個字嘲笑我們，大家還是事前把自己看得傻一點好。

本文出自：億恩科技【www.endtimedelusion.com】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]

上一篇 >> 認識無線網絡八大常見攻擊方式
下一篇 >> 巧用路由器設置防范漏洞攻擊

服務器租用

服務器托管

機柜批發

云服務器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內容

防火墻測評與管理“十不”詳解

同類文章

億恩公告

在線客服