【TechTarget中国原创】问:我听说有些防火墙规则基础的工具可以帮助巩固繁琐的规则策划.你使用过这样的工具吗?对Cisco Systems PIX或Check Point防火墙,你有什么推荐呢?
答:规则基础管理是很多防火墙管理员遇到的问题。防火墙规则基础很容易变成不正确的、重复的和没用的规则,即使在变化管理的系统上也是如此。在过去几年中有一些关于这个话题的学术研究,而且研究员们确认了一些异常,值得管理员去注意:
- 重叠或者有阴影的规则通常发生在当管理员创建一个高等级的包含低等级规则的规则的时候。例如,管理员可能在规则库中创建看起来高等的规则,例如可以允许所有的SMTP流量。一条比较老的规则,在库中的等级较低,可能特别允许SMTP流量流向邮件服务器。由于它的相似性和低优先级,这条更具体的规则永远不会被触发。这种情况可以在低等级规则要阻止到特别服务器的流量的时候更严重。由于整体规则首先出现,这种阻止永远不会生效。、孤立规则发生在当服务或者系统从网络上消失的时候,或者其他的其他变化呈现出独立规则的时候。通常,这些规则从来没有从防火墙上移除,这就创建了前在的安全漏洞,并增加了防火墙管理员的负担。
- 没用的规则和孤立规则很相似,除了这些规则从来不在第一个位置上使用。不再使用的规则可能是没有实现的项目的请求变化的结果,或者他们可能由于管理员在创建规则时候的错误而发生的。
有一些商业的工具可以解决这些问题,例如Secure Passage LLC的 FireMon和Algorithimic Security (AlgoSec) Inc的 Firewall Analyzer。但是,真正的解决方案是让规则库简单,把它限制在可管理的规模中,并进行定期的审计。