怎樣正確地測(cè)試和維護(hù)防火墻?
本文中專家Eric Cole介紹了如何通過適當(dāng)?shù)木S護(hù)和測(cè)試來解決防火墻性能低下和故障問題。
大多數(shù)企業(yè)認(rèn)為防火墻是一種成熟的技術(shù),且通常安全專家也不會(huì)過多考慮防火墻。在審計(jì)或評(píng)估防火墻時(shí),企業(yè)通常只是簡(jiǎn)單地勾選表明防火墻在保護(hù)網(wǎng)絡(luò)的選項(xiàng)就完事。
然而,最近筆者注意到一種趨勢(shì):防火墻并沒有提供它能提供的全部保護(hù),因?yàn)樗鼈儧]有得到升級(jí)或正確維護(hù)。筆者并不是說單靠防火墻可以阻止所有攻擊,這不太可能,但筆者認(rèn)為它們可以比現(xiàn)在更加有效。
在考慮維護(hù)和測(cè)試及檢查防火墻規(guī)則時(shí),企業(yè)應(yīng)該提出以下問題:
1. 最后一次全面驗(yàn)證防火墻規(guī)則集是什么時(shí)候?
2. 防火墻規(guī)則集什么時(shí)候進(jìn)行的更新?
3. 最后一次全面測(cè)試防火墻是什么時(shí)候?
4. 最后一次優(yōu)化防火墻規(guī)則集是什么時(shí)候?
對(duì)于大多數(shù)企業(yè)而言,防火墻極有可能是在幾年前部署的,并且,在這些年都沒有進(jìn)行過多的改進(jìn)。筆者的很多客戶就是這種情況,這也是筆者選擇防火墻作為本文主題的原因。
防火墻設(shè)計(jì)和配置
對(duì)于防火墻,兩個(gè)重要的事情是:它必須得到正確的設(shè)計(jì)和配置。而對(duì)于設(shè)計(jì),黃金準(zhǔn)則是“所有連接必須通過防火墻”。現(xiàn)在的問題是,究竟有多少百分比的流量通過防火墻呢?
也許有人會(huì)說,100%的網(wǎng)絡(luò)流量必須通過防火墻,但實(shí)際情況是,加密鏈路、無線網(wǎng)絡(luò)流量、調(diào)制解調(diào)器和外部網(wǎng)連接通常都會(huì)繞過防火墻。很多人聲稱100%的流量通過防火墻,但實(shí)際上這個(gè)比率可能非常低。隨著網(wǎng)絡(luò)變得更開放,現(xiàn)在很多防火墻只監(jiān)控不到60%的流量,這極大地降低了防火墻的有效性。畢竟,防火墻無法保護(hù)它看不到的東西。
從配置方面來看,防火墻的有效性取決于規(guī)則集。在很多情況下,企業(yè)是讓技術(shù)人員在控制臺(tái)前面來配置規(guī)則集。而且,沒有什么防火墻政策或要求文件來推動(dòng)規(guī)則集的創(chuàng)建。如果沒有文件,就沒有辦法驗(yàn)證它是否正確。
另一個(gè)根本問題時(shí),企業(yè)很少執(zhí)行適當(dāng)?shù)姆阑饓y(cè)試。在規(guī)則集創(chuàng)建或更新后,企業(yè)將測(cè)試和確保一切正常通過防火墻。雖然測(cè)試正常情況很重要,但問題是,一切都正常通過,應(yīng)該被阻止的事物也會(huì)被允許通過。因此,企業(yè)應(yīng)該利用要求文件,同時(shí)測(cè)試異常情況,這將確保應(yīng)該被阻止的事物得以正確阻止。
測(cè)試防火墻的有效性以防止故障
最后的測(cè)試是測(cè)量防火墻的整體效能,而了解防火墻有效性的唯一方法是查看丟棄數(shù)據(jù)包的數(shù)量。畢竟,部署防火墻的原因是讓它阻止應(yīng)該被阻止的流量。基于這個(gè)評(píng)估,企業(yè)需要回答這個(gè)問題:“防火墻每天有多少丟棄數(shù)據(jù)包,如果出現(xiàn)異常情況,防火墻能否檢測(cè)得到?”
筆者的一個(gè)客戶非常滿意其防火墻,因?yàn)槠浞阑饓τ?37個(gè)獨(dú)特的規(guī)則集。問題是當(dāng)我們檢查丟包的數(shù)量時(shí),結(jié)果是0。這意味著237條規(guī)則相當(dāng)于“完全允許通過”,該客戶的防火墻只是昂貴的直通設(shè)備而已。通過檢查丟包數(shù)量,企業(yè)可以更好地了解設(shè)備是否允許太多東西通過,最終阻礙防火墻的有效性。
最后,防火墻的成功基于它丟棄的數(shù)據(jù)包數(shù)量。測(cè)量防火墻有效性的關(guān)鍵是追蹤丟包的數(shù)量以確保它符合企業(yè)所處的業(yè)務(wù)類型,同時(shí)尋求改變。每個(gè)企業(yè)都不同,但一般而言,每天應(yīng)該有數(shù)千或更多丟棄包。有些企業(yè)可能每小時(shí)就有幾千丟棄包,但如果企業(yè)每天只有一百個(gè)丟棄包,那么,要么是防火墻被插入到互聯(lián)網(wǎng)的安全部分(這不太可能),或者防火墻規(guī)則集沒有被正確配置。同樣重要的是在對(duì)規(guī)則集做出更改后,檢查丟棄包的數(shù)量,以確保企業(yè)了解規(guī)則對(duì)其安全的影響。
總而言之,防火墻存在于大多數(shù)企業(yè)中,但它們可能已經(jīng)隨著時(shí)間的推移而失去有效性,沒有發(fā)揮它們應(yīng)有的作用。檢查通過防火墻的流量百分比以及檢查丟包的數(shù)量可以幫助提高防火墻的價(jià)值。
