众所周知,网络防火墙是保证企业网络安全的重要设施。几乎所有的企业都认识到了网络防火墙的重要性,并且安装了网络防火墙。那么企业管理员在配置防火墙时是否正确呢?要知道设置了合理的防火墙规则可以起到安全防护的目的,如果相反那么效果也会适得其反。如何实施防火墙配置呢?我们分别从以下几方面来讨论:
配置防火墙规则实施
规则实施看似简单,其实需要经过详尽的信息统计才可以得以实施。在过程中我们需要了解公司对内对外的应用以及所对应的源地址、目的地址、TCP或UDP的端口,并根据不同应用的执行频繁程度对策率在规则表中的位置进行排序,然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的,如果将常用的规则放在首位就可以提高防火墙的工作效率。另外,应该及时地从病毒监控部门得到病毒警告,并对防火墙的策略进行更新也是制定策略所必要的手段。
配置防火墙规则启用计划
通常有些策略需要在特殊时刻被启用和关闭,比如凌晨3:00。而对于网管员此时可能正在睡觉,为了保证策略的正常运作,可以通过规则启用计划来为该规则制定启用时间。另外,在一些企业中为了避开上网高峰和攻击高峰,往往将一些应用放到晚上或凌晨来实施,比如远程数据库的同步、远程信息采集等等,遇到这些需求网管员可以通过制定详细的规则和启用计划来自动维护系统的安全。
配置防火墙日志监控
日志监控是十分有效的安全管理手段,往往许多管理员认为只要可以做日志的信息,都去采集,比如说对所有的告警或所有与策略匹配或不匹配的流量等等,这样的做法看似日志信息十分完善,但可以想一下每天进出防火墙的数据报文有上百万甚至更多,你如何在这些密密麻麻的条目中分析你所需要的信息呢?虽然有一些软件可以通过分析日志来获得图形或统计数据,但这些软件往往需要去二次开发或制定,而且价格不菲。所以只有采集到最关键的日志才是真正有用的日志。
一般而言,系统的告警信息是有必要记录的,但对于流量信息是应该有选择的。有时候为了检查某个问题我们可以新建一条与该问题匹配的策略并对其进行观测。比如:内网发现蠕虫病毒,该病毒可能会针对主机系统某UDP端口进行攻击,网管员虽然已经将该病毒清除,但为了监控有没有其他的主机受感染,我们可以为该端口增加一条策略并进行日志来检测网内的流量。
另外,企业防火墙可以针对超出经验阀值的报文做出响应,如丢弃、告警、日志等动作,但是所有的告警或日志是需要认真分析的,系统的告警支持根据经验值来确定的,比如对于工作站和服务器来说所产生的会话数是完全不同的,所以有时会发现系统告知一台邮件服务器在某端口发出攻击,而很有可能是这台服务器在不断的重发一些没有响应的邮件造成的。
配置防火墙设备管理
对于企业防火墙而言,设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现,但这种方式是不太安全的,因为有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应该通过IPsec VPN的方式来实现对内端口网管地址的管理。
【编辑推荐】
