如何配置防火墻服務(wù)器網(wǎng)絡(luò)更安全

在這個網(wǎng)絡(luò)發(fā)達(dá)的時代存在著各種不安全，于是有人稱，我有防火墻服務(wù)器??！實(shí)話告訴您，防火墻也未必安全。一個防火墻管理員可能在超過半數(shù)的規(guī)則中都包含有一個特定的網(wǎng)絡(luò)對象，稍不細(xì)心便會受到黑客的攻擊。

建立毫無意義的防火墻組

我們假定這個對象名字叫"Joe_Montana".每次當(dāng)這個對象需要訪問網(wǎng)絡(luò)時，管理員就為這個對象在防火墻服務(wù)器上添加一個IP地址，而這個地址是很多許可規(guī)則里列出的被許可的地址。這看上去沒什么問題，因?yàn)闆]有任何一個規(guī)則里包含了ANY范圍，但實(shí)際上這是個大漏洞。它使得防火墻規(guī)則變得毫無意義，而徹底梳理防火墻規(guī)則庫來解決這個問題，可能需要耗時幾個月。

從不升級防火墻軟件

很多公司的防火墻設(shè)備所采用的軟件都是過時的。在問到為什么會出現(xiàn)這種情況時，大部分企業(yè)的防火墻管理員都會說是為了保證防火墻的穩(wěn)定，或者不允許防火墻因?yàn)樯壎霈F(xiàn)暫時關(guān)閉現(xiàn)象。而實(shí)際上，防火墻產(chǎn)品廠商決定升級防火墻軟件都是有一定原因的。即使企業(yè)不一定必須更新到最新版的軟件，但如果還是運(yùn)行著五六年前的舊版軟件，或者是距離最新版本老15-20個版本舊軟件，那么就應(yīng)該考慮立刻開始升級了。

使用錯誤的技術(shù)

之前，有個網(wǎng)絡(luò)安全管理員與監(jiān)管人員發(fā)生了爭執(zhí)，因?yàn)樵摴芾韱T在公司的安全web服務(wù)器前端放置了一個防火墻，作為第二層防護(hù)屏障。按照他的想法，這就構(gòu)成了一個雙重驗(yàn)證機(jī)制：一個用戶密碼加一個防火墻?？梢哉f這個管理員在創(chuàng)新性上可以得滿分，但是防火墻本身并不算是一個雙重驗(yàn)證的解決方案。雙重驗(yàn)證需要你的用戶擁有兩件可驗(yàn)證對象，即所知的和所擁有的兩個對象。比如知道密碼，并擁有令牌。

偶然停電

曾經(jīng)發(fā)生過這樣一件事，有個防火墻管理員為某個項(xiàng)目而在防火墻服務(wù)器上進(jìn)行數(shù)據(jù)收集。這個管理員在調(diào)整網(wǎng)線的時候不小心碰了幾下鼠標(biāo)，這時候鼠標(biāo)指針正好在"開始"的位置，然后，鬼使神差的鼠標(biāo)指針又指到了屏幕中央彈出來的關(guān)機(jī)確認(rèn)窗口，并且點(diǎn)到了中間的關(guān)機(jī)按鈕。于是這個財務(wù)公司的防火墻就在這種情況下突然關(guān)閉了。

不良的文檔

大家肯定經(jīng)常聽說防火墻管理員抱怨無法理解全部的防火墻規(guī)則。如果管理員在建立防火墻規(guī)則時圖省事，沒有進(jìn)行詳細(xì)的文檔說明，看似節(jié)省下來的時間和精力，以后必然會花費(fèi)到去理解這些規(guī)則上。因此肯定有人聽過這樣的話"恐怕我們要重新修改防火墻設(shè)置了，以前的管理員設(shè)置的那些防火墻規(guī)則沒有注釋，所以我們很難搞清楚它們的作用。"

過度使用丟棄Drop規(guī)則

一般來說，如果時間比較緊迫，我們都會建立一些屬于過度訪問的規(guī)則，然后再在這些規(guī)則的基礎(chǔ)上，建立丟棄規(guī)則，將不允許的數(shù)據(jù)連接丟棄。之所以這樣，是因?yàn)槲覀兒芏喙芾韱T都不愿意去設(shè)置一個精確的防火墻規(guī)則。比如："allow All DMZ devices to All Internal devices ACCEPT",然后在這個規(guī)則之上再建立一個"All DMZ devices to Secure Network device DROP".這兩個規(guī)則看上去沒什么問題，但是實(shí)際上卻包含了很多的后患，原因是我們沒有在第一條規(guī)則中表現(xiàn)出建立該規(guī)則的目的。

如果長此以往的話，我們的防火墻服務(wù)器規(guī)則庫就會出現(xiàn)很多"成對兒"的規(guī)則，而在記錄規(guī)則日志或修改規(guī)則時，也很容易出現(xiàn)更多的風(fēng)險，或者會導(dǎo)致必要的數(shù)據(jù)被攔截。最終，我們就不得不重新改寫整個防火墻規(guī)則庫中的全部規(guī)則。

使用路由作為安全策略

大家平時會遇到過很多類似的情況，當(dāng)防火墻規(guī)則庫需要修改時，路由規(guī)則也要跟著修改。當(dāng)然，如果涉及到新的網(wǎng)絡(luò)，那么這種現(xiàn)象是可以理解的。一般導(dǎo)致這種情況的錯誤有兩種。

首先，防火墻服務(wù)器沒有默認(rèn)路由。所有路由都是手工輸入防火墻的，同時如果防火墻沒有策略，會使用最小子網(wǎng)掩碼，防止數(shù)據(jù)流向無關(guān)設(shè)備。這聽起來很不錯，但卻是完全沒必要的，因?yàn)槿绻麖默F(xiàn)代的防火墻上刪除策略，防火墻會恢復(fù)為DENY ANY.這個設(shè)計(jì)會因此變得難以管理，最終使整個IT團(tuán)隊(duì)都不敢去修改防火墻設(shè)置了。如果每個改變都需要工程師檢查路由設(shè)置，那么會導(dǎo)致耗費(fèi)過多的時間，影響企業(yè)正常業(yè)務(wù)的運(yùn)轉(zhuǎn)，這對企業(yè)來說很不值得。

第二種情況最常出現(xiàn)在Cisco設(shè)備中，管理員通過訪問控制列表管理兩個源或目標(biāo)均為ANY的接口。實(shí)際上這個規(guī)則里的ANY并不是所有地址，而是指端口后的所有地址。只有在知道路由表與防火墻關(guān)聯(lián)的前提下，管理員才可能理解防火墻規(guī)則庫中的規(guī)則，這對于管理員來說太復(fù)雜了。

在規(guī)則中使用DNS對象

作為一個選項(xiàng)，很多防火墻都會嵌入一個源地址或目的地址作為DNS對象，如google.com.這么做看似錯，因?yàn)間oogle.com 使用了相當(dāng)多的IP地址，就算google.com 改變了IP地址，防火墻也會放行g(shù)oogle.com的數(shù)據(jù)流。但是這種做法會導(dǎo)致相當(dāng)嚴(yán)重的安全隱患，相信任何企業(yè)都無法接受。

首先，這么做會使你的防火墻更容易遭受DoS攻擊。如果連google.com都無法解析會怎么樣呢？

其次，你的防火墻會浪費(fèi)CPU,內(nèi)存以及網(wǎng)絡(luò)IO來判斷每一個數(shù)據(jù)包是否屬于google.com這個域名。

第三，如果你設(shè)置的DNS被黑客攻擊，包含有惡意地址的命令和控制數(shù)據(jù)中帶有g(shù)oogle.com的地址，會怎么樣呢？在這種情況下，你的防火墻會允許僵尸網(wǎng)絡(luò)發(fā)送的命令和控制數(shù)據(jù)，并作為google.com記錄在防火墻日志中。

危急時刻所作的改動

可以想象一下，如果防火墻服務(wù)器上的RAID陣列壞了，一塊硬盤報廢。你換了一塊硬盤，在重建RAID的過程中，服務(wù)器無法提供正常的服務(wù)，但是你沒有意識到這個問題。此時，你的客戶已經(jīng)被拒絕服務(wù)長達(dá)40小時了，每一分鐘你都在遭受損失。而且不斷有客戶放棄你的服務(wù)，卻選擇了競爭對手。

當(dāng)情況陷入危急時，我們往往會開始改變各種設(shè)備的配置：交換機(jī)，路由器，負(fù)載平衡服務(wù)器和防火墻，任何你懷疑導(dǎo)致服務(wù)不正常的環(huán)節(jié)都被調(diào)整了一翻?？赡苡诌^了很長一段時間后，團(tuán)隊(duì)中終于有人發(fā)現(xiàn)了問題所在。因此你又需要把所有一改過的配置從新恢復(fù)回來，但問題是沒有人會記得之前的配置，原因是之前的情況太過緊張，導(dǎo)致沒人去做修改配置的文檔。最終的結(jié)果是，你不得不再花上三天時間將各個設(shè)備的配置調(diào)試到以前的狀態(tài)。

相信所有的企業(yè)都不希望以上這種情況發(fā)生。但是事實(shí)證明這種情況卻時有發(fā)生。即使那些運(yùn)轉(zhuǎn)最好的企業(yè)也會出現(xiàn)類似問題，尤其是在防火墻服務(wù)器配置上。不過通過自動化恢復(fù)機(jī)制，這些依靠經(jīng)驗(yàn)很難實(shí)現(xiàn)的工作變得越來越容易實(shí)現(xiàn)了。而要想知道你的企業(yè)是否具有這種針對網(wǎng)絡(luò)安全設(shè)置或其它安全設(shè)置的自動恢復(fù)功能，就要看企業(yè)是否對投資回報率進(jìn)行過明確且詳細(xì)的量化設(shè)計(jì)。畢竟，如果對于安全投入沒有明確的投資回報量化統(tǒng)計(jì)，誰能相信這個企業(yè)在安全性上是值得信賴的呢？

防火墻安全管理是保證網(wǎng)絡(luò)正常安全運(yùn)行的關(guān)鍵關(guān)卡，所以每一個管理員都應(yīng)該拿出負(fù)責(zé)認(rèn)真的態(tài)度對待，否則也許一個小小的失誤就會釀成大錯。

【編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡(luò)管理者最易犯的十大低級錯誤

◆網(wǎng)絡(luò)管理基礎(chǔ)知識：網(wǎng)路管理模式

◆學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

◆IT運(yùn)維管理專區(qū)