企業管理員如何高效配置防火墻
眾所周知,網絡防火墻是保證企業網絡安全的重要設施。幾乎所有的企業都認識到了網絡防火墻的重要性,并且安裝了網絡防火墻。那么企業管理員在配置防火墻時是否正確呢?要知道設置了合理的防火墻規則可以起到安全防護的目的,如果相反那么效果也會適得其反。如何實施防火墻配置呢?我們分別從以下幾方面來討論:
配置防火墻規則實施
規則實施看似簡單,其實需要經過詳盡的信息統計才可以得以實施。在過程中我們需要了解公司對內對外的應用以及所對應的源地址、目的地址、TCP或UDP的端口,并根據不同應用的執行頻繁程度對策率在規則表中的位置進行排序,然后才能實施配置。原因是防火墻進行規則查找時是順序執行的,如果將常用的規則放在首位就可以提高防火墻的工作效率。另外,應該及時地從病毒監控部門得到病毒警告,并對防火墻的策略進行更新也是制定策略所必要的手段。
配置防火墻規則啟用計劃
通常有些策略需要在特殊時刻被啟用和關閉,比如凌晨3:00。而對于網管員此時可能正在睡覺,為了保證策略的正常運作,可以通過規則啟用計劃來為該規則制定啟用時間。另外,在一些企業中為了避開上網高峰和攻擊高峰,往往將一些應用放到晚上或凌晨來實施,比如遠程數據庫的同步、遠程信息采集等等,遇到這些需求網管員可以通過制定詳細的規則和啟用計劃來自動維護系統的安全。
配置防火墻日志監控
日志監控是十分有效的安全管理手段,往往許多管理員認為只要可以做日志的信息,都去采集,比如說對所有的告警或所有與策略匹配或不匹配的流量等等,這樣的做法看似日志信息十分完善,但可以想一下每天進出防火墻的數據報文有上百萬甚至更多,你如何在這些密密麻麻的條目中分析你所需要的信息呢?雖然有一些軟件可以通過分析日志來獲得圖形或統計數據,但這些軟件往往需要去二次開發或制定,而且價格不菲。所以只有采集到最關鍵的日志才是真正有用的日志。
一般而言,系統的告警信息是有必要記錄的,但對于流量信息是應該有選擇的。有時候為了檢查某個問題我們可以新建一條與該問題匹配的策略并對其進行觀測。比如:內網發現蠕蟲病毒,該病毒可能會針對主機系統某UDP端口進行攻擊,網管員雖然已經將該病毒清除,但為了監控有沒有其他的主機受感染,我們可以為該端口增加一條策略并進行日志來檢測網內的流量。
另外,企業防火墻可以針對超出經驗閥值的報文做出響應,如丟棄、告警、日志等動作,但是所有的告警或日志是需要認真分析的,系統的告警支持根據經驗值來確定的,比如對于工作站和服務器來說所產生的會話數是完全不同的,所以有時會發現系統告知一臺郵件服務器在某端口發出攻擊,而很有可能是這臺服務器在不斷的重發一些沒有響應的郵件造成的。
配置防火墻設備管理
對于企業防火墻而言,設備管理方面通常可以通過遠程Web管理界面的訪問以及Internet外網口被Ping來實現,但這種方式是不太安全的,因為有可能防火墻的內置Web服務器會成為攻擊的對象。所以建議遠程網管應該通過IPsec VPN的方式來實現對內端口網管地址的管理。
【編輯推薦】
