防火墻的評(píng)測(cè)和管理
導(dǎo)語(yǔ):以下是學(xué)習(xí)啦OMG小編為大家整理的勞動(dòng)法規(guī)的知識(shí),希望你喜歡閱讀:
防火墻測(cè)評(píng)——買(mǎi)
第一條:不要誤信含糊實(shí)驗(yàn)條件的驚人數(shù)字
親閱過(guò)無(wú)數(shù)防火墻產(chǎn)品廣告,一個(gè)個(gè)白紙黑字標(biāo)稱(chēng)的4G吞吐量讓人炫目,但如果把“64字節(jié)小包”、“線速”、“堅(jiān)持幾分鐘”之類(lèi)字眼拋出來(lái),銷(xiāo)售人員就會(huì)對(duì)吞吐量自己先變的吞吞吐吐起來(lái)。所以不能輕信廠商提供的各項(xiàng)數(shù)據(jù),必須拿標(biāo)準(zhǔn)實(shí)驗(yàn)條件的測(cè)試結(jié)果來(lái)比對(duì),或者重新搭建環(huán)境親自來(lái)測(cè)試。
第二條:不要喜歡在數(shù)字,而不考慮可管理性
測(cè)評(píng)中,用戶往往過(guò)多地關(guān)注性能數(shù)字,但對(duì)于實(shí)際的網(wǎng)絡(luò)安全管理來(lái)講,兩種產(chǎn)品間2%的差異、5%的差異就算10%的差異,真的能帶來(lái)本質(zhì)的區(qū)別么?一臺(tái)防火墻配置界面操作是否方便?有否完備的日志管理功能?本墻能否存儲(chǔ)日志?有無(wú)月度CPU、內(nèi)存統(tǒng)計(jì)功能?可否方便查詢已配策略……比起性能數(shù)字來(lái),測(cè)評(píng)這些看似不切主題,但這種問(wèn)題可是“誰(shuí)用誰(shuí)知道”!
第三條:不要關(guān)注花哨功能,卻不了解性能的隱憂
這年頭的防火墻,功能都是多多的,訪問(wèn)控制、防病毒、入侵檢測(cè)/防御、,叫功能異構(gòu)也好,叫統(tǒng)一威脅管理也好,像個(gè)雜貨鋪一樣。說(shuō)這些功能“花哨”,是因?yàn)樗鼈儐?dòng)起來(lái),對(duì)硬件資源性能的吞噬能力超乎人的想象。所以,擬定測(cè)評(píng)方案時(shí)就輕易不要把這些列在功能項(xiàng)里了吧?
第四條:不要不科學(xué)看待高性能硬件架構(gòu)
硬件防火墻的性能高下離不開(kāi)硬件架構(gòu)種類(lèi)。所謂高性能硬件架構(gòu),是對(duì)應(yīng)于X86的傳統(tǒng)工控機(jī)架構(gòu)而言的,常見(jiàn)的有NP、ASIC等。對(duì)于高性能硬件架構(gòu),我們既不能不關(guān)注,也不能迷信。但關(guān)注的同時(shí),又不能過(guò)分推崇“NP”“ASIC”,因?yàn)?,最?qiáng)的不一定是最好的和最適合你的。
第五條:不要不結(jié)合自己網(wǎng)絡(luò)特點(diǎn)考慮,不結(jié)合自己的安全戰(zhàn)略考慮
脫離了用戶自身的網(wǎng)絡(luò)環(huán)境特點(diǎn)來(lái)測(cè)試防火墻是很不科學(xué)的,不基于自己安全戰(zhàn)略設(shè)計(jì)防火墻測(cè)試指標(biāo),更是背離了產(chǎn)品應(yīng)用的初衷。網(wǎng)絡(luò)特點(diǎn)告訴用戶自己的網(wǎng)里在跑什么樣的包,構(gòu)成成分、多大、什么協(xié)議。安全戰(zhàn)略告訴用戶防火墻買(mǎi)了是為了做什么,要怎么部、怎么配、怎么管。我們要為了“部”、“配”、“管”而“選”而“測(cè)”。
第六條:不要不警惕測(cè)試中的作弊行為
產(chǎn)品銷(xiāo)售與購(gòu)買(mǎi)屬于商業(yè)行為,商業(yè)就不得不提防欺騙,在測(cè)試中則是要警惕作弊行為。假設(shè)極個(gè)別廠商制作了專(zhuān)門(mén)用來(lái)測(cè)試的高性能“競(jìng)爭(zhēng)測(cè)試版”產(chǎn)品唬人,假設(shè)極個(gè)別廠商在設(shè)備內(nèi)作一些手腳(如用網(wǎng)線直接連通),那么整個(gè)測(cè)試結(jié)果就會(huì)對(duì)其他誠(chéng)信的廠商很不公平。
防火墻管理——用
第七條:不能對(duì)防火墻期望過(guò)高
防火墻,顧名思義,是旨在防范威脅之“火”的墻。不幸的是,這只是一廂情愿,管理員在防火墻上合理合法地為Web服務(wù)開(kāi)一個(gè)80端口,黑客就可以利用軟件漏洞來(lái)個(gè)SQL注入或者跨站攻擊。客觀地講,沒(méi)有防火墻是萬(wàn)萬(wàn)不能的,但有了防火墻不是萬(wàn)能的。
而用戶們常常認(rèn)識(shí)不到這點(diǎn),要么以為邊界上部署了防火墻就可以高枕無(wú)憂,要么把安全責(zé)任一股腦推到網(wǎng)管或防火墻管理員頭上,要么凡是想重點(diǎn)保護(hù)什么信息資產(chǎn)就一定用防火墻把它罩起來(lái)……這樣過(guò)高期望防火墻功效,會(huì)讓整個(gè)信息系統(tǒng)疏于防范,建設(shè)投入不當(dāng),最終導(dǎo)致信息系統(tǒng)在高風(fēng)險(xiǎn)層面運(yùn)轉(zhuǎn)——說(shuō)它為“傻”并不為過(guò)。
科學(xué)的做法是,對(duì)防火墻保持正確清醒的認(rèn)識(shí),理解它是網(wǎng)絡(luò)層通信行為控制的有力武器,能為訪問(wèn)控制提供強(qiáng)有力的支撐,但它在安全方面的作用也只限于此,安全世界里有更多更重要的工作要留給其他安全技術(shù)實(shí)現(xiàn),不要對(duì)防火墻有不切實(shí)際的期望。
第八條:不能對(duì)防火墻未以重任
把防火墻定位為“網(wǎng)絡(luò)層通信行為控制的有力武器”,有的讀者會(huì)說(shuō)這種觀念太陳舊,認(rèn)為現(xiàn)在應(yīng)用層防火墻遍地都是,為什么要忽視防火墻的應(yīng)用層控制能力?這就正應(yīng)了防火墻管理的第二傻,給防火墻分配了與其能力不相當(dāng)?shù)闹厝巍?/p>
我們固然可以在防火墻上開(kāi)啟反病毒、入侵檢測(cè)、抗DoS攻擊等諸多其實(shí)連廠家都不真心推薦的功能,但這樣的后果就是產(chǎn)品性能大受損耗,防火墻的CPU和內(nèi)存在高風(fēng)險(xiǎn)位運(yùn)轉(zhuǎn),甚至幫助入侵者實(shí)現(xiàn)他們夢(mèng)寐以求的“拒絕服務(wù)”。
這么做確實(shí)很傻,有不少用戶寄希望于外國(guó)的名墻、好墻能實(shí)現(xiàn)一墻多能,或者寄希望于ASIC把防火墻變得多才多藝,或者寄希望于小企業(yè)小環(huán)境使用。殊不知——外國(guó)墻也一樣有性能損耗,老外反入侵也仰仗IPS;ASIC尚無(wú)法完全賦予防火墻這么好的身手; 小企業(yè)首先未必有這么豐富的安全需求,就算有,防火墻性能不足也一樣會(huì)殃及小企業(yè)。
科學(xué)的做法是,讓防火墻做好本職工作,盡量避免讓它兼職或做第二職業(yè)。
第九條:不能對(duì)防火墻濫用異構(gòu)
異構(gòu)是體現(xiàn)安全管理中冗余思想的一種好方法,會(huì)增加安全保障系數(shù)。但什么事情都怕做過(guò)頭了,我們可以適當(dāng)采用異構(gòu),但如果迷信異構(gòu),濫用異構(gòu),就會(huì)成為防火墻管理的第三傻——不管有無(wú)實(shí)際需要,用兩個(gè)品牌的防火墻串起來(lái)保護(hù)。
濫用異構(gòu)經(jīng)常會(huì)導(dǎo)致無(wú)用功。其實(shí)防火墻的訪問(wèn)控制,可以被比喻成保安在門(mén)口查驗(yàn)來(lái)客的身份證,不管設(shè)多少層崗,查的內(nèi)容如果一樣就毫無(wú)意義。即使你用中外保安各一個(gè),他們也都是在看阿拉伯?dāng)?shù)字,沒(méi)什么區(qū)別(當(dāng)然,如果某些用戶應(yīng)國(guó)家法律或監(jiān)管需要而進(jìn)行中外防火墻異構(gòu),要另當(dāng)別論)。濫用異構(gòu)的另一個(gè)重大危害是帶來(lái)管理的復(fù)雜性,不同品牌防火墻的協(xié)同管理會(huì)很辛苦。
科學(xué)的做法是,慎重考慮防火墻異構(gòu)問(wèn)題,按需部署,不要過(guò)分推崇異構(gòu),以免走上濫用之路。
第十條:不能讓防火墻規(guī)則粗放
防火墻的看家本事是執(zhí)行檢查工作。一項(xiàng)檢查工作是否有效,關(guān)鍵看檢查依據(jù)定得如何,而防火墻的檢查依據(jù)就是訪問(wèn)控制規(guī)則。
防火墻的訪問(wèn)控制規(guī)則有兩個(gè)要素,一是控制服務(wù)(通信端口);二是控制訪問(wèn)源、目的地址(IP)。用戶一般都知道嚴(yán)格控制前者,但對(duì)后者有時(shí)就粗放管理。如果用戶使用了其他認(rèn)證手段,在地址控制上粗放些倒無(wú)可厚非,否則就是第四傻。
其實(shí)網(wǎng)絡(luò)訪問(wèn)控制中,控制地址的重要性大于控制服務(wù)。服務(wù)由系統(tǒng)提供,理論上講,系統(tǒng)安全做好了,關(guān)閉了不必要的端口并除去同一安全域內(nèi)互訪的端口,剩下的端口或許都得對(duì)外開(kāi)放,只是開(kāi)放的源地址不同。這就凸顯了控制地址的重要性。
而且要控制地址,就需要控制到具體的IP。除非諸如80端口之類(lèi)確實(shí)要對(duì)任何應(yīng)用提供服務(wù)的端口,否則不要輕易開(kāi)放網(wǎng)段。另外,開(kāi)放C類(lèi)段未必比B類(lèi)段安全很多,就像原本是要篩沙子的密格濾網(wǎng),你開(kāi)小窟窿和開(kāi)大窟窿有多少本質(zhì)區(qū)別呢?
有人可能會(huì)說(shuō),如此詳細(xì)控制會(huì)讓規(guī)則激增,防火墻不堪重負(fù)。這個(gè)問(wèn)題要靠改善網(wǎng)絡(luò)部署或采用其他認(rèn)證手段為防火墻代勞,不能為了性能就不堅(jiān)持訪問(wèn)控制的安全性原則。
科學(xué)的做法是,防火墻要對(duì)地址嚴(yán)格細(xì)致地控制,如果性能不濟(jì),通過(guò)綜合規(guī)劃來(lái)解決,不能因?yàn)?ldquo;將就”而留下安全隱患。
以上是筆者總結(jié)的防火墻管理中的幾個(gè)誤區(qū),值得用戶和工程實(shí)施人員關(guān)注。雖然“傻”這個(gè)字顯得很絕對(duì),但為了不被惡意入侵者事后同樣用這個(gè)字嘲笑我們,大家還是事前把自己看得傻一點(diǎn)好。
謝謝觀賞