怎样正确地测试和维护防火墙?

日期:2015-3-23作者:Eric Cole

【TechTarget中国原创】

本文中专家Eric Cole介绍了如何通过适当的维护和测试来解决防火墙性能低下和故障问题。

大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事。

然而,最近笔者注意到一种趋势:防火墙并没有提供它能提供的全部保护,因为它们没有得到升级或正确维护。笔者并不是说单靠防火墙可以阻止所有攻击,这不太可能,但笔者认为它们可以比现在更加有效。

在考虑维护和测试及检查防火墙规则时,企业应该提出以下问题:

1. 最后一次全面验证防火墙规则集是什么时候?
2. 防火墙规则集什么时候进行的更新?
3. 最后一次全面测试防火墙是什么时候?
4. 最后一次优化防火墙规则集是什么时候?

对于大多数企业而言,防火墙极有可能是在几年前部署的,并且,在这些年都没有进行过多的改进。笔者的很多客户就是这种情况,这也是笔者选择防火墙作为本文主题的原因。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Eric Cole
Eric Cole

Eric Cole是SANS研究所高级研究员,安全专家。

网络防火墙>更多

相关推荐

技术手册>更多

  • 无线攻击和漏洞

    目前很多公司都已经配置了企业级别的802.11 (Wi-Fi)无线局域网。然而,虽然最近技术提高了,但是安全问题依然被认为是首要的挑战。没有充足的安全措施,无线就会为新的攻击开放企业网络。本专题将帮助您理解Wi-Fi的技术内在漏洞和对它攻击。

  • 云安全

    云计算的概念越来越流行,而且云计算被认为是一种强大的商业模式,使用云计算,可以根据需要购买计算能力、磁盘存储、协作应用开发资源、客户关系管理(CRM),而且它非常灵活。但是采用云计算会遇到与外包有关的敏感的公司数据所能遇到的所有风险。当你和第三方已知或未知的转包商交易时,特别是在全面范围内时,执行安全策略和遵从法规要求就很困难。再加上云模糊的特性以及非传统厂商进入这个市场,就更增加云的危险。

  • 移动设备安全

    随着技术的日新月异,移动设备正逐渐担当着越来越重要的角色,智能手机的功能越来越强大并且能够提供类似于台式电脑和笔记本电脑的功能,新的移动技术和像iPhone具有Wi-Fi功能产品的广泛使用可能为新的攻击类型敞开门户——网络犯罪正通过移动设备向人们靠近……

  • 无线访问安全

    在本专题中,你可以了解无线访问协议的好处与坏处、如何控制无线访问的预算、如何选择合适的802.1X、如何进行无线局域网认证以及如何防御典型的无线局域网攻击,这样你就可以选择控制、认证和对你的无线局域网的授权访问的最好方式。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

本文中专家Eric Cole介绍了如何通过适当的维护和测试来解决防火墙性能低下和故障问题。

大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事。

然而,最近笔者注意到一种趋势:防火墙并没有提供它能提供的全部保护,因为它们没有得到升级或正确维护。笔者并不是说单靠防火墙可以阻止所有攻击,这不太可能,但笔者认为它们可以比现在更加有效。

在考虑维护和测试及检查防火墙规则时,企业应该提出以下问题:

1. 最后一次全面验证防火墙规则集是什么时候?
2. 防火墙规则集什么时候进行的更新?
3. 最后一次全面测试防火墙是什么时候?
4. 最后一次优化防火墙规则集是什么时候?

对于大多数企业而言,防火墙极有可能是在几年前部署的,并且,在这些年都没有进行过多的改进。笔者的很多客户就是这种情况,这也是笔者选择防火墙作为本文主题的原因。

防火墙设计和配置

对于防火墙,两个重要的事情是:它必须得到正确的设计和配置。而对于设计,黄金准则是“所有连接必须通过防火墙”。现在的问题是,究竟有多少百分比的流量通过防火墙呢?

也许有人会说,100%的网络流量必须通过防火墙,但实际情况是,加密链路、无线网络流量、调制解调器和外部网连接通常都会绕过防火墙。很多人声称100%的流量通过防火墙,但实际上这个比率可能非常低。随着网络变得更开放,现在很多防火墙只监控不到60%的流量,这极大地降低了防火墙的有效性。毕竟,防火墙无法保护它看不到的东西。

从配置方面来看,防火墙的有效性取决于规则集。在很多情况下,企业是让技术人员在控制台前面来配置规则集。而且,没有什么防火墙政策或要求文件来推动规则集的创建。如果没有文件,就没有办法验证它是否正确。

另一个根本问题时,企业很少执行适当的防火墙测试。在规则集创建或更新后,企业将测试和确保一切正常通过防火墙。虽然测试正常情况很重要,但问题是,一切都正常通过,应该被阻止的事物也会被允许通过。因此,企业应该利用要求文件,同时测试异常情况,这将确保应该被阻止的事物得以正确阻止。

测试防火墙的有效性以防止故障

最后的测试是测量防火墙的整体效能,而了解防火墙有效性的唯一方法是查看丢弃数据包的数量。毕竟,部署防火墙的原因是让它阻止应该被阻止的流量。基于这个评估,企业需要回答这个问题:“防火墙每天有多少丢弃数据包,如果出现异常情况,防火墙能否检测得到?”

笔者的一个客户非常满意其防火墙,因为其防火墙有237个独特的规则集。问题是当我们检查丢包的数量时,结果是0。这意味着237条规则相当于“完全允许通过”,该客户的防火墙只是昂贵的直通设备而已。通过检查丢包数量,企业可以更好地了解设备是否允许太多东西通过,最终阻碍防火墙的有效性。

最后,防火墙的成功基于它丢弃的数据包数量。测量防火墙有效性的关键是追踪丢包的数量以确保它符合企业所处的业务类型,同时寻求改变。每个企业都不同,但一般而言,每天应该有数千或更多丢弃包。有些企业可能每小时就有几千丢弃包,但如果企业每天只有一百个丢弃包,那么,要么是防火墙被插入到互联网的安全部分(这不太可能),或者防火墙规则集没有被正确配置。同样重要的是在对规则集做出更改后,检查丢弃包的数量,以确保企业了解规则对其安全的影响。

总而言之,防火墙存在于大多数企业中,但它们可能已经随着时间的推移而失去有效性,没有发挥它们应有的作用。检查通过防火墙的流量百分比以及检查丢包的数量可以帮助提高防火墙的价值。