如今网络防火墙已经成为了各位网友上网, 但是又有对少人能让他的网络防火墙真正发挥他的作用呢?
CIO频道每周热"点"文章
CIO如何化解IT团队人际冲突?抱守与放弃:CIO该如何抉择
如何重塑政府CIO职能?2009年CIO面临的挑战以及应对策略
三个教训 我亲历的战略转型故事远离CEO“直觉决策” CIO如何把握时机?
许多人对于网络防火墙的功能不加以设置, 对网络防火墙的规则不加以设置——这样, 网络防火墙作用就会大大减弱……
网络防火墙的默认设置一般都只能是普遍的设置, 也就是说这样的设置要大致适合成千上百用户。 试问, 这样的设置就一定会100%适合你吗?肯定不可能。 下面, 我就以我自己实践的经验, 谈谈我自己的看法。
功能设置篇
功能设置属于外部设置。 为什么这样说呢?主要因为, 这些设置不会改变规则中要求拦截和放行对象。
对于我这个经常上网的宽带用户来说, 随机启动是绝对不可少的。 如果是拨号用户或不常上网的用户来说, 防火墙的启动有两种方案:
方案一:上网前手动开启防火墙(一般用户)
方案二:用一个文件使防火墙和网络连接一起启动(高级用户)
通常, 网络防火墙都会有一个安全等级选项。 对于这个选择, 绝对不可以随便选。 因为, 有不少用户就是因为不根据实际情况选择, 而导致无法使用某些网络资源或被黑客有机可乘。
像我这样的固定ip的技术性局域网用户来说, 我认为设置为中等即可。 因为, 我们不像某些用户那样可以随意改变自己的ip, 所以我们的防御必须比动态ip用户要高一些。
但是, 是不是越高越好呢?不是。 某些用户, 因为不切实际的把安全等级设置为高级, 而又不会在规则中设置相应网络规则, 而导致无法使用某些网络资源, 如在线直播等。
因此, 我建议一般用户将规则设置为中低即可。
至于其他报警设置等, 我也不想多说了。 但是, 我还是要提醒一句, 拦截一定要记录在日志里。 这样才以便我们复查。
规则设置篇
ICMP IGMP炸弹都让一些用户感到心惊胆战。 所以, 某些用户索性禁止所有ICMP和IGMP。
这样, 显然是不大好的设置。 为什么呢?因为ICMPIGMP固然被人利用来做炸弹, 但是总不能“宁可杀错一万, 不能放走一个”的全部拦截。 且不说别的, 就说因为全部拦截ICMPIGMP所耗费的系统资源就数不胜数……
我建议, 拦截的只需是ICMP的1型(即echorequset)就已经足够了。 为什么呢?拦截ICMP的1型主要是为了防黑客用ping命令查询你是否在线, 所以此类ICMP必须拦截。
如果你还是担心ICMP IGMP炸弹, 不妨去微软那打个补丁。
网络防火墙的一大功能就是防木马和防黑客, 所以自己设置规则拦截木马和阻截黑客是必要的。
你也许会说, 网络防火墙不是有默认的规则吗?的确, 有。 但是, 这只是最常见的木马和漏洞。 对于新的危害大的木马和漏洞, 恐怕原先的规则就不能胜任他的任务了。
那么, 我们怎样设置规则呢?
首先, 我们必须利用反病毒厂家网站提供的信息。 因为, 那里详细记载了许多病毒、木马的分析结果和漏洞的资料。 我认为哪怕你有分析木马源程序和找出漏洞的能力, 也没必要任何事情都亲力亲为, 因为木马和漏洞是在太多了, 全部代码都自己分析, 根本是不切实际的。
然后, 就设置自己的防火墙。 由于不同厂家网络防火墙设置规则上有所不同, 所以本文不可能详细讲解。
当然, 这需要一定专业知识。 对于一般用户来说, 恐怕就有点困难了。 怎么办?不怕, 可以借用别人的成果。 例如, 去论坛请教高手或直接发邮件询问高手即可解决。
还应该提醒大家的是防火墙规则不要重复, 更不要矛盾。 重复的规则浪费系统资源;矛盾的规则让防火墙左右为难, 最终让别人有机可乘……
网络防火墙设置是一门永远也讲不完的学问, 有兴趣你也可以去研究研究。 防火墙可以比做一道数据的过滤网, 如果事先制定了合理的过滤规则, 它将可以截住不合规则的数据报文, 从而起到过滤的作用。 相反, 如果规则不正确, 将适得其反。
CIO频道每周热"点"文章
CIO如何化解IT团队人际冲突?抱守与放弃:CIO该如何抉择
如何重塑政府CIO职能?2009年CIO面临的挑战以及应对策略
三个教训 我亲历的战略转型故事远离CEO“直觉决策” CIO如何把握时机?
今天我们所处的信息时代, 也可以说也是病毒与黑客大行其道的时代, 这样说确实有些悲观但今天的网络的确如此, 从Internet到企业内网、从个人电脑到可上网的手机平台, 没有地方是安全的。 每一次网络病毒的攻击, 都会让家庭用户、企业用户、800热线甚至是运营商头痛脑热。 不过经历过了一次又一次的病毒危机后, 人们已经开始思考网络的安全了。 现在任何一个企业组建网络都会考虑到购买防火墙, 且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙, 相信不久的将来, 我们可以看到在手机上也会出现防火墙。
就许多中小企业而言, 防火墙的配置往往没有反映出企业的业务需求。 如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义, 添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过, 从而给企业网络带来不必要的危险与麻烦。 防火墙可以比做一道数据的过滤网, 如果事先制定了合理的过滤规则, 它将可以截住不合规则的数据报文, 从而起到过滤的作用。 相反, 如果规则不正确, 将适得其反。
中小企业防火墙应具有哪些功能
如何合理实施防火墙的配置呢?首先, 让我们来看看中小企业防火墙一般都应具有哪些功能:
1. 动态包过滤技术, 动态维护通过防火墙的所有通信的状态(连接), 基于连接的过滤;
2. 可以作为部署NAT(NetworkAddressTranslation, 网络地址变换)的地点, 利用NAT技术, 将有限的IP地址动态或静态地与内部的IP地址对应起来, 用来缓解地址空间短缺的问题;
3. 可以设置信任域与不信任域之间数据出入的策略;
4. 可以定义规则计划, 使得系统在某一时可以自动启用和关闭策略;
5. 具有详细的日志功能, 提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录, 并支持日志服务器和日志导出;
6. 具有IPSec VPN功能, 可以实现跨互联网安全的远程访问;
7. 具有邮件通知功能, 可以将系统的告警通过发送邮件通知网络管理员;
8. 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃;
9. Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。
以上是中小企业防火墙所应具备的一些防护特性, 当然随着技术的发展中小企业防火墙的功能会变得越来越丰富;但有再多功能的防火墙如果没有合理的配置和管理, 那么这只是一件IT摆设.
如何实施防火墙配置
如何实施防火墙配置
呢?我们分别从以下几方面来讨论:
规则实施
规则实施
看似简单, 其实需要经过详尽的信息统计才可以得以实施。 在过程中我们需要了解公司对内对外的应用以及所对应的源地址、目的地址、TCP或UDP的端口, 并根据不同应用的执行频繁程度对策率在规则表中的位置进行排序, 然后才能实施配置。 原因是防火墙进行规则查找时是顺序执行的, 如果将常用的规则放在首位就可以提高防火墙的工作效率。 另外, 应该及时地从病毒监控部门得到病毒警告, 并对防火墙的策略进行更新也是制定策略所必要的手段。
规则启用计划
通常有些策略需要在特殊时刻被启用和关闭, 比如凌晨3:00。 而对于网管员此时可能正在睡觉, 为了保证策略的正常运作, 可以通过规则启用计划来为该规则制定启用时间。 另外, 在一些企业中为了避开上网高峰和攻击高峰, 往往将一些应用放到晚上或凌晨来实施, 比如远程数据库的同步、远程信息采集等等, 遇到这些需求网管员可以通过制定详细的规则和启用计划来自动维护系统的安全。
日志监控
日志监控
是十分有效的安全管理手段, 往往许多管理员认为只要可以做日志的信息, 都去采集, 比如说对所有的告警或所有与策略匹配或不匹配的流量等等, 这样的做法看似日志信息十分完善, 但可以想一下每天进出防火墙的数据报文有上百万甚至更多, 你如何在这些密密麻麻的条目中分析你所需要的信息呢?虽然有一些软件可以通过分析日志来获得图形或统计数据, 但这些软件往往需要去二次开发或制定, 而且价格不菲。 所以只有采集到最关键的日志才是真正有用的日志。
一般而言, 系统的告警信息是有必要记录的, 但对于流量信息是应该有选择的。 有时候为了检查某个问题我们可以新建一条与该问题匹配的策略并对其进行观测。 比如:内网发现蠕虫病毒, 该病毒可能会针对主机系统某UDP端口进行攻击, 网管员虽然已经将该病毒清除, 但为了监控有没有其他的主机受感染, 我们可以为该端口增加一条策略并进行日志来检测网内的流量。
另外, 企业防火墙可以针对超出经验阀值的报文做出响应, 如丢弃、告警、日志等动作, 但是所有的告警或日志是需要认真分析的, 系统的告警支持根据经验值来确定的, 比如对于工作站和服务器来说所产生的会话数是完全不同的, 所以有时会发现系统告知一台邮件服务器在某端口发出攻击,而很有可能是这台服务器在不断的重发一些没有响应的邮件造成的。
设备管理
对于企业防火墙而言, 设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现, 但这种方式是不太安全的, 因为有可能防火墙的内置Web服务器会成为攻击的对象。 所以建议远程网管应该通过IPsecVPN的方式来实现对内端口网管地址的管理。
