重置防火墻的七個要訣
和路由器,交換機等網絡設備相比,硬件防火墻并沒有什么不同。它們同樣具有不長的生命周期,過不了幾年就要更新換代。但是和其它設備相比,更換防火墻做的好的話是挺麻煩的一件事,做不好還會給網絡帶來安全隱患。
對于中小企業來說,管理防火墻時網絡管理員或系統管理員所承擔的眾多職責中的一項。因此,作為一個IT技術人員,至少也要知道防火墻的內部結構。一般來說,對防火墻的操作都是間歇性的,比如企業網絡上添加了新的應用程序,或者添加了新的服務器,才需要對防火墻進行適當配置。對于日常工作來說,這種偶爾的工作不會有什么問題,但是對于一些更復雜深入的工作,比如將一個廠商的防火墻更換為另一個廠商的產品,或者從低端產品升級到高端產品,這個過程對于IT技術人員來說會有更多的要求。
升級防火墻所涉及到的問題包括很多,有的問題比較簡單直接,有些則很復雜,但不論怎樣,該考慮的方面非常多。
圖A
比如 Cisco ASA 5505 (圖A)的操作手冊有114頁。這種情況不止是Cisco產品獨有的, Welch-Abernathy的長達 656頁的Essential Checkpoint Firewall (2004) 手冊被Amazon 的評測人員評為“最適合新手學習”的手冊。
近日我采訪了Rich Gallo ,作為一家小型技術企業的系統管理員,他剛剛升級了公司一臺防火墻。在采訪中,他提供了一個很長的升級防火注意事項列表。粗略來看分為七大類,如圖B所示。
圖 B
Gallo在工作中遇到的主要問題包括處理之前由ISP Verizon設置的未使用過的外部Ip地址,以及與遠程辦公室子網進行協調。兩個技術人員協同工作無疑可以極大的降低防火墻手工遷移過程中出錯的概率。
防火墻升級的同時,也是路由器線纜重排,交換機移動位置,調整帶寬分配或重新整理機柜的好時機。
好的測試是必要的一個環境,而測試不僅包括連接性的測試,還包括應用程序的測試。比如,面向公眾的網絡應用就必須從內網和外網兩個環境進行測試,必要時還要使用特殊測試工具或軟件。還應該審慎的檢查故障應急計劃以及恢復計劃,以防萬一。
VPN是一個特殊的情況,可能會影響到防火墻規則設置。在Gallo的公司,有站點到站點的VPN連接需要格外注意。另外,在設定VPN時,還要注意特定客戶的問題,因為要同時支持x32 和x64 位系統, Mac系統, Windows和 Linux系統平臺的客戶,以及其它各種環境下的用戶。比如在設置過程中發現一個 Snow Leopard系統無法進行正確的VPN連接。管理員通過收集各方面信息以及DNS記錄,最終解決了問題。
防火墻規則是防火墻的核心能力的體現,但是新舊防火墻可能在規則設置上存在很大的差別。此時正好可以將這些差別通過文檔形式記錄下來,刪除無用的規則,并通過程序管理器運行新規則。防火墻規則應該同時采用機器可讀的防火墻特定格式,以及明文可閱讀格式書寫。
新的防火墻會影響到日志以及警告進程。因此應該計劃升級警告和日志閱讀程序,以便能夠對新的警告做出響應,并能讓安全分析程序以及其它類似的程序正常工作。
在升級防火墻時,有很多工作要做。有可能出現防火墻許可證支持DMZ問題,處理電子郵件服務器的特殊問題,或者為了支持遠端辦公室而設置額外邏輯規則等。而這個列表基本上能夠模擬你在面對防火墻升級時所考慮的問題以及問題的順序。
【編輯推薦】
