怎样正确地测试和维护防火墙?

日期:2015-3-23作者:Eric Cole

【TechTarget中国原创】

本文中专家Eric Cole介绍了如何通过适当的维护和测试来解决防火墙性能低下和故障问题。

大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事。

然而,最近笔者注意到一种趋势:防火墙并没有提供它能提供的全部保护,因为它们没有得到升级或正确维护。笔者并不是说单靠防火墙可以阻止所有攻击,这不太可能,但笔者认为它们可以比现在更加有效。

在考虑维护和测试及检查防火墙规则时,企业应该提出以下问题:

1. 最后一次全面验证防火墙规则集是什么时候?
2. 防火墙规则集什么时候进行的更新?
3. 最后一次全面测试防火墙是什么时候?
4. 最后一次优化防火墙规则集是什么时候?

对于大多数企业而言,防火墙极有可能是在几年前部署的,并且,在这些年都没有进行过多的改进。笔者的很多客户就是这种情况,这也是笔者选择防火墙作为本文主题的原因。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Eric Cole
Eric Cole

Eric Cole是SANS研究所高级研究员,安全专家。

网络防火墙>更多

相关推荐

技术手册>更多

  • 云安全

    云计算的概念越来越流行,而且云计算被认为是一种强大的商业模式,使用云计算,可以根据需要购买计算能力、磁盘存储、协作应用开发资源、客户关系管理(CRM),而且它非常灵活。但是采用云计算会遇到与外包有关的敏感的公司数据所能遇到的所有风险。当你和第三方已知或未知的转包商交易时,特别是在全面范围内时,执行安全策略和遵从法规要求就很困难。再加上云模糊的特性以及非传统厂商进入这个市场,就更增加云的危险。

  • VPN应用指南

    虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。

  • 企业风险管理教程

    如今,云计算等技术改变了企业应用信息系统、以及如何达到安全风险管理和合规遵从的方式,企业需要重新计划并部署自己的风险管理。那么究竟该如何制定安全风险管理计划?

  • 服务器虚拟化安全

    从现在起,五年以后,几乎没有一家企业会使用“真正的”计算机。虚拟软件将会截取并模拟数据库、网络应用程序或者文件共享所能进行的一切工作,允许一个机架安装服务器起到10台服务器的作用。虚拟化是必然的;自IP网络以来,它是IT业最重要的新势力。对这一趋势带来的影响,安全专家如果有一种挥之不去的恐惧感,他们应该得到原谅。在内部网络中,虚拟化正重新绘制分布图;硬件以及网络过滤曾经将服务器和应用程序分离,虚拟化可以把它们集中到同一个刀片服务器上。影响深远的变化的到来不会没有安全挑战。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

本文中专家Eric Cole介绍了如何通过适当的维护和测试来解决防火墙性能低下和故障问题。

大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事。

然而,最近笔者注意到一种趋势:防火墙并没有提供它能提供的全部保护,因为它们没有得到升级或正确维护。笔者并不是说单靠防火墙可以阻止所有攻击,这不太可能,但笔者认为它们可以比现在更加有效。

在考虑维护和测试及检查防火墙规则时,企业应该提出以下问题:

1. 最后一次全面验证防火墙规则集是什么时候?
2. 防火墙规则集什么时候进行的更新?
3. 最后一次全面测试防火墙是什么时候?
4. 最后一次优化防火墙规则集是什么时候?

对于大多数企业而言,防火墙极有可能是在几年前部署的,并且,在这些年都没有进行过多的改进。笔者的很多客户就是这种情况,这也是笔者选择防火墙作为本文主题的原因。

防火墙设计和配置

对于防火墙,两个重要的事情是:它必须得到正确的设计和配置。而对于设计,黄金准则是“所有连接必须通过防火墙”。现在的问题是,究竟有多少百分比的流量通过防火墙呢?

也许有人会说,100%的网络流量必须通过防火墙,但实际情况是,加密链路、无线网络流量、调制解调器和外部网连接通常都会绕过防火墙。很多人声称100%的流量通过防火墙,但实际上这个比率可能非常低。随着网络变得更开放,现在很多防火墙只监控不到60%的流量,这极大地降低了防火墙的有效性。毕竟,防火墙无法保护它看不到的东西。

从配置方面来看,防火墙的有效性取决于规则集。在很多情况下,企业是让技术人员在控制台前面来配置规则集。而且,没有什么防火墙政策或要求文件来推动规则集的创建。如果没有文件,就没有办法验证它是否正确。

另一个根本问题时,企业很少执行适当的防火墙测试。在规则集创建或更新后,企业将测试和确保一切正常通过防火墙。虽然测试正常情况很重要,但问题是,一切都正常通过,应该被阻止的事物也会被允许通过。因此,企业应该利用要求文件,同时测试异常情况,这将确保应该被阻止的事物得以正确阻止。

测试防火墙的有效性以防止故障

最后的测试是测量防火墙的整体效能,而了解防火墙有效性的唯一方法是查看丢弃数据包的数量。毕竟,部署防火墙的原因是让它阻止应该被阻止的流量。基于这个评估,企业需要回答这个问题:“防火墙每天有多少丢弃数据包,如果出现异常情况,防火墙能否检测得到?”

笔者的一个客户非常满意其防火墙,因为其防火墙有237个独特的规则集。问题是当我们检查丢包的数量时,结果是0。这意味着237条规则相当于“完全允许通过”,该客户的防火墙只是昂贵的直通设备而已。通过检查丢包数量,企业可以更好地了解设备是否允许太多东西通过,最终阻碍防火墙的有效性。

最后,防火墙的成功基于它丢弃的数据包数量。测量防火墙有效性的关键是追踪丢包的数量以确保它符合企业所处的业务类型,同时寻求改变。每个企业都不同,但一般而言,每天应该有数千或更多丢弃包。有些企业可能每小时就有几千丢弃包,但如果企业每天只有一百个丢弃包,那么,要么是防火墙被插入到互联网的安全部分(这不太可能),或者防火墙规则集没有被正确配置。同样重要的是在对规则集做出更改后,检查丢弃包的数量,以确保企业了解规则对其安全的影响。

总而言之,防火墙存在于大多数企业中,但它们可能已经随着时间的推移而失去有效性,没有发挥它们应有的作用。检查通过防火墙的流量百分比以及检查丢包的数量可以帮助提高防火墙的价值。