眾所周知，網(wǎng)絡(luò)防火墻是保證企業(yè)網(wǎng)絡(luò)安全的重要設(shè)施。幾乎所有的企業(yè)都認識到了網(wǎng)絡(luò)防火墻的重要性，并且安裝了網(wǎng)絡(luò)防火墻。那么企業(yè)管理員在配置防火墻時是否正確呢？要知道設(shè)置了合理的防火墻規(guī)則可以起到安全防護的目的，如果相反那么效果也會適得其反。如何實施防火墻配置呢?我們分別從以下幾方面來討論：

配置防火墻規(guī)則實施

規(guī)則實施看似簡單，其實需要經(jīng)過詳盡的信息統(tǒng)計才可以得以實施。在過程中我們需要了解公司對內(nèi)對外的應(yīng)用以及所對應(yīng)的源地址、目的地址、TCP或UDP的端口，并根據(jù)不同應(yīng)用的執(zhí)行頻繁程度對策率在規(guī)則表中的位置進行排序，然后才能實施配置。原因是防火墻進行規(guī)則查找時是順序執(zhí)行的，如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。另外，應(yīng)該及時地從病毒監(jiān)控部門得到病毒警告，并對防火墻的策略進行更新也是制定策略所必要的手段。

配置防火墻規(guī)則啟用計劃

通常有些策略需要在特殊時刻被啟用和關(guān)閉，比如凌晨3：00。而對于網(wǎng)管員此時可能正在睡覺，為了保證策略的正常運作，可以通過規(guī)則啟用計劃來為該規(guī)則制定啟用時間。另外，在一些企業(yè)中為了避開上網(wǎng)高峰和攻擊高峰，往往將一些應(yīng)用放到晚上或凌晨來實施，比如遠程數(shù)據(jù)庫的同步、遠程信息采集等等，遇到這些需求網(wǎng)管員可以通過制定詳細的規(guī)則和啟用計劃來自動維護系統(tǒng)的安全。

配置防火墻日志監(jiān)控

日志監(jiān)控是十分有效的安全管理手段，往往許多管理員認為只要可以做日志的信息，都去采集，比如說對所有的告警或所有與策略匹配或不匹配的流量等等，這樣的做法看似日志信息十分完善，但可以想一下每天進出防火墻的數(shù)據(jù)報文有上百萬甚至更多，你如何在這些密密麻麻的條目中分析你所需要的信息呢?雖然有一些軟件可以通過分析日志來獲得圖形或統(tǒng)計數(shù)據(jù)，但這些軟件往往需要去二次開發(fā)或制定，而且價格不菲。所以只有采集到最關(guān)鍵的日志才是真正有用的日志。

一般而言，系統(tǒng)的告警信息是有必要記錄的，但對于流量信息是應(yīng)該有選擇的。有時候為了檢查某個問題我們可以新建一條與該問題匹配的策略并對其進行觀測。比如：內(nèi)網(wǎng)發(fā)現(xiàn)蠕蟲病毒，該病毒可能會針對主機系統(tǒng)某UDP端口進行攻擊，網(wǎng)管員雖然已經(jīng)將該病毒清除，但為了監(jiān)控有沒有其他的主機受感染，我們可以為該端口增加一條策略并進行日志來檢測網(wǎng)內(nèi)的流量。

另外，企業(yè)防火墻可以針對超出經(jīng)驗閥值的報文做出響應(yīng)，如丟棄、告警、日志等動作，但是所有的告警或日志是需要認真分析的，系統(tǒng)的告警支持根據(jù)經(jīng)驗值來確定的，比如對于工作站和服務(wù)器來說所產(chǎn)生的會話數(shù)是完全不同的，所以有時會發(fā)現(xiàn)系統(tǒng)告知一臺郵件服務(wù)器在某端口發(fā)出攻擊,而很有可能是這臺服務(wù)器在不斷的重發(fā)一些沒有響應(yīng)的郵件造成的。

配置防火墻設(shè)備管理

對于企業(yè)防火墻而言，設(shè)備管理方面通?？梢酝ㄟ^遠程Web管理界面的訪問以及Internet外網(wǎng)口被Ping來實現(xiàn)，但這種方式是不太安全的，因為有可能防火墻的內(nèi)置Web服務(wù)器會成為攻擊的對象。所以建議遠程網(wǎng)管應(yīng)該通過IPsec VPN的方式來實現(xiàn)對內(nèi)端口網(wǎng)管地址的管理。
 

【編輯推薦】

1. 防火墻安全測試之漏洞掃描
2. 防火墻安全測試之?dāng)?shù)據(jù)包偵聽
3. 防火墻安全測試之規(guī)則分析工具
4. Web應(yīng)用防火墻的主要特性
5. 防止入侵從Web應(yīng)用安全漏洞做起