DIY编程器网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 931|回复: 0
打印 上一主题 下一主题

[待整理] 防火墙管理“四大傻”

[复制链接]
跳转到指定楼层
楼主
发表于 2014-10-13 14:47:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
第一傻:期望过高
防火墙,顾名思义,是旨在防范威胁之“火”的墙。不幸的是,这只是一厢情愿,管理员在防火墙上合理合法地为Web服务开一个80端口,黑客就可以利用软件漏洞来个SQL注入或者跨站攻击。客观地讲,没有防火墙是万万不能的,但有了防火墙不是万能的。
而用户们常常认识不到这点,要么以为边界上部署了防火墙就可以高枕无忧,要么把安全责任一股脑推到网管或防火墙管理员头上,要么凡是想重点保护什么信息资产就一定用防火墙把它罩起来……这样过高期望防火墙功效,会让整个信息系统疏于防范,建设投入不当,最终导致信息系统在高风险层面运转——说它为“傻”并不为过。
科学的做法是,对防火墙保持正确清醒的认识,理解它是网络层通信行为控制的有力武器,能为访问控制提供强有力的支撑,但它在安全方面的作用也只限于此,安全世界里有更多更重要的工作要留给其他安全技术实现,不要对防火墙有不切实际的期望。
第二傻:委以重任
把防火墙定位为“网络层通信行为控制的有力武器”,有的读者会说这种观念太陈旧,认为现在应用层防火墙遍地都是,为什么要忽视防火墙的应用层控制能力?这就正应了防火墙管理的第二傻,给防火墙分配了与其能力不相当的重任。
我们固然可以在防火墙上开启反病毒、入侵检测、抗DoS攻击等诸多其实连厂家都不真心推荐的功能,但这样的后果就是产品性能大受损耗,防火墙的CPU和内存在高风险位运转,甚至帮助入侵者实现他们梦寐以求的“拒绝服务”。
这么做确实很傻,有不少用户寄希望于外国的名墙、好墙能实现一墙多能,或者寄希望于ASIC把防火墙变得多才多艺,或者寄希望于小企业小环境使用。殊不知——外国墙也一样有性能损耗,老外反入侵也仰仗IPS;ASIC尚无法完全赋予防火墙这么好的身手; 小企业首先未必有这么丰富的安全需求,就算有,防火墙性能不足也一样会殃及小企业。
科学的做法是,让防火墙做好本职工作,尽量避免让它兼职或做第二职业。
第三傻:滥用异构
异构是体现安全管理中冗余思想的一种好方法,会增加安全保障系数。但什么事情都怕做过头了,我们可以适当采用异构,但如果迷信异构,滥用异构,就会成为防火墙管理的第三傻——不管有无实际需要,用两个品牌的防火墙串起来保护。
滥用异构经常会导致无用功。其实防火墙的访问控制,可以被比喻成保安在门口查验来客的身份证,不管设多少层岗,查的内容如果一样就毫无意义。即使你用中外保安各一个,他们也都是在看阿拉伯数字,没什么区别(当然,如果某些用户应国家法律或监管需要而进行中外防火墙异构,要另当别论)。滥用异构的另一个重大危害是带来管理的复杂性,不同品牌防火墙的协同管理会很辛苦。
科学的做法是,慎重考虑防火墙异构问题,按需部署,不要过分推崇异构,以免走上滥用之路。
第四傻:规则粗放
防火墙的看家本事是执行检查工作。一项检查工作是否有效,关键看检查依据定得如何,而防火墙的检查依据就是访问控制规则。
防火墙的访问控制规则有两个要素,一是控制服务(通信端口);二是控制访问源、目的地址(IP)。用户一般都知道严格控制前者,但对后者有时就粗放管理。如果用户使用了其他认证手段,在地址控制上粗放些倒无可厚非,否则就是第四傻。
其实网络访问控制中,控制地址的重要性大于控制服务。服务由系统提供,理论上讲,系统安全做好了,关闭了不必要的端口并除去同一安全域内互访的端口,剩下的端口或许都得对外开放,只是开放的源地址不同。这就凸显了控制地址的重要性。
而且要控制地址,就需要控制到具体的IP。除非诸如80端口之类确实要对任何应用提供服务的端口,否则不要轻易开放网段。另外,开放C类段未必比B类段安全很多,就像原本是要筛沙子的密格滤网,你开小窟窿和开大窟窿有多少本质区别呢?
有人可能会说,如此详细控制会让规则激增,防火墙不堪重负。这个问题要靠改善网络部署或采用其他认证手段为防火墙代劳,不能为了性能就不坚持访问控制的安全性原则。
科学的做法是,防火墙要对地址严格细致地控制,如果性能不济,通过综合规划来解决,不能因为“将就”而留下安全隐患。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|文字版|手机版|DIY编程器网 ( 桂ICP备14005565号-1 )

GMT+8, 2024-11-16 00:03 , 耗时 0.092083 秒, 18 个查询请求 , Gzip 开启.

各位嘉宾言论仅代表个人观点,非属DIY编程器网立场。

桂公网安备 45031202000115号

DIY编程器群(超员):41210778 DIY编程器

DIY编程器群1(满员):3044634 DIY编程器1

diy编程器群2:551025008 diy编程器群2

QQ:28000622;Email:libyoufer@sina.com

本站由桂林市临桂区技兴电子商务经营部独家赞助。旨在技术交流,请自觉遵守国家法律法规,一旦发现将做封号删号处理。

快速回复 返回顶部 返回列表