正確地測試和維護防火墻的方法

1、正確地測試和維護防火墻的方法大多數(shù)企業(yè)認為防火墻是一種成熟的技術，且通常安全專家 也不會過多考慮防火墻。在審計或評估防火墻時，企業(yè)通常只是簡單 地勾選表明防火墻在保護網絡的選項就完事。然而，最近筆者注意到一種趨勢：防火墻并沒有提供它能提 供的全部保護，因為它們沒有得到升級或正確維護。筆者并不是說單 靠防火墻可以阻止所有攻擊，這不太可能，但筆者認為它們可以比現(xiàn) 在更加有效。在考慮維護和測試及檢查防火墻規(guī)則時， 企業(yè)應該提出以下 問題：1. 最后一次全面驗證防火墻規(guī)則集是什么時候 ？2. 防火墻規(guī)則集什么時候進行的更新？3. 最后一次全面測試防火墻是什么時候？4. 最后一次優(yōu)化防火墻規(guī)則集是什么時

2、候 ？對于大多數(shù)企業(yè)而言，防火墻極有可能是在幾年前部署的,并且，在這些年都沒有進行過多的改進。 筆者的很多客戶就是這種情 況，這也是筆者選擇防火墻作為本文主題的原因。防火墻設計和配置對于防火墻，兩個重要的事情是：它必須得到正確的設計和 配置。而對于設計，黃金準則是“所有連接必須通過防火墻”?，F(xiàn)在的問題是，究竟有多少百分比的流量通過防火墻呢 ？也許有人會說，100%的網絡流量必須通過防火墻，但實際 情況是，加密鏈路、無線網絡流量、調制解調器和外部網連接通常都 會繞過防火墻。很多人聲稱100%的流量通過防火墻，但實際上這個 比率可能非常低。隨著網絡變得更開放，現(xiàn)在很多防火墻只監(jiān)控不到 60%的流量

3、，這極大地降低了防火墻的有效性。 畢竟，防火墻無法保 護它看不到的東西。從配置方面來看，防火墻的有效性取決于規(guī)則集。在很多情 況下，企業(yè)是讓技術人員在控制臺前面來配置規(guī)則集。而且，沒有什 么防火墻政策或要求文件來推動規(guī)則集的創(chuàng)建。 如果沒有文件，就沒 有辦法驗證它是否正確。另一個根本問題時，企業(yè)很少執(zhí)行適當?shù)姆阑饓y試。 在規(guī) 則集創(chuàng)建或更新后，企業(yè)將測試和確保一切正常通過防火墻。雖然測 試正常情況很重要，但問題是，一切都正常通過，應該被阻止的事物 也會被允許通過。因此，企業(yè)應該利用要求文件，同時測試異常情況， 這將確保應該被阻止的事物得以正確阻止。測試防火墻的有效性以防止故障最后的測試是測量

4、防火墻的整體效能，而了解防火墻有效性 的唯一方法是查看丟棄數(shù)據(jù)包的數(shù)量。 畢竟，部署防火墻的原因是讓 它阻止應該被阻止的流量?；谶@個評估，企業(yè)需要回答這個問題：“防火墻每天有多少丟棄數(shù)據(jù)包，如果出現(xiàn)異常情況，防火墻能否檢 測得到？”筆者的一個客戶非常滿意其防火墻，因為其防火墻有237個獨特的規(guī)則集。問題是當我們檢查丟包的數(shù)量時，結果是0。這意味著237條規(guī)則相當于“完全允許通過”，該客戶的防火墻只是昂貴 的直通設備而已。通過檢查丟包數(shù)量，企業(yè)可以更好地了解設備是否 允許太多東西通過，最終阻礙防火墻的有效性。最后，防火墻的成功基于它丟棄的數(shù)據(jù)包數(shù)量。 測量防火墻 有效性的關鍵是追蹤丟包的數(shù)量以確保它符合企業(yè)所處的業(yè)務類型， 同時尋求改變。每個企業(yè)都不同，但一般而言，每天應該有數(shù)千或更 多丟棄包。有些企業(yè)可能每小時就有幾千丟棄包， 但如果企業(yè)每天只 有一百個丟棄包，那么，要么是防火墻被插入到互聯(lián)網的安全部分（這 不太可能），或者防火墻規(guī)則集沒有被正確配置。同樣重要的是在對 規(guī)則集做出更改后，檢查丟棄包的數(shù)量，以確保企業(yè)了解規(guī)則對其安 全的影響?？偠灾阑饓Υ嬖谟诖蠖鄶?shù)企