本文中專家Eric Cole介紹瞭如何通過適當的維護和測試來解決防火牆性能低下和故障問題。
大多數企業認爲防火牆是一種成熟的技術,且通常安全專家也不會過多考慮防火牆。在審計或評估防火牆時,企業通常只是簡單地勾選表明防火牆在保護網絡的選項就完事。
然而,最近筆者注意到一種趨勢:防火牆並沒有提供它能提供的全部保護,因爲它們沒有得到升級或正確維護。筆者並不是說單靠防火牆可以阻止所有攻擊,這不太可能,但筆者認爲它們可以比現在更加有效。
在考慮維護和測試及檢查防火牆規則時,企業應該提出以下問題:
1. 最後一次全面驗證防火牆規則集是什麼時候?
2. 防火牆規則集什麼時候進行的更新?
3. 最後一次全面測試防火牆是什麼時候?
4. 最後一次優化防火牆規則集是什麼時候?
對於大多數企業而言,防火牆極有可能是在幾年前部署的,並且,在這些年都沒有進行過多的改進。筆者的很多客戶就是這種情況,這也是筆者選擇防火牆作爲本文主題的原因。
防火牆設計和配置
對於防火牆,兩個重要的事情是:它必須得到正確的設計和配置。而對於設計,黃金準則是“所有連接必須通過防火牆”。現在的問題是,究竟有多少百分比的流量通過防火牆呢?
也許有人會說,100%的網絡流量必須通過防火牆,但實際情況是,加密鏈路、無線網絡流量、調制解調器和外部網連接通常都會繞過防火牆。很多人聲稱100%的流量通過防火牆,但實際上這個比率可能非常低。隨着網絡變得更開放,現在很多防火牆只監控不到60%的流量,這極大地降低了防火牆的有效性。畢竟,防火牆無法保護它看不到的東西。
從配置方面來看,防火牆的有效性取決於規則集。在很多情況下,企業是讓技術人員在控制檯前面來配置規則集。而且,沒有什麼防火牆政策或要求文件來推動規則集的創建。如果沒有文件,就沒有辦法驗證它是否正確。
另一個根本問題時,企業很少執行適當的防火牆測試。在規則集創建或更新後,企業將測試和確保一切正常通過防火牆。雖然測試正常情況很重要,但問題是,一切都正常通過,應該被阻止的事物也會被允許通過。因此,企業應該利用要求文件,同時測試異常情況,這將確保應該被阻止的事物得以正確阻止。
測試防火牆的有效性以防止故障
最後的測試是測量防火牆的整體效能,而瞭解防火牆有效性的唯一方法是查看丟棄數據包的數量。畢竟,部署防火牆的原因是讓它阻止應該被阻止的流量。基於這個評估,企業需要回答這個問題:“防火牆每天有多少丟棄數據包,如果出現異常情況,防火牆能否檢測得到?”
筆者的一個客戶非常滿意其防火牆,因爲其防火牆有237個獨特的規則集。問題是當我們檢查丟包的數量時,結果是0。這意味着237條規則相當於“完全允許通過”,該客戶的防火牆只是昂貴的直通設備而已。通過檢查丟包數量,企業可以更好地瞭解設備是否允許太多東西通過,最終阻礙防火牆的有效性。
最後,防火牆的成功基於它丟棄的數據包數量。測量防火牆有效性的關鍵是追蹤丟包的數量以確保它符合企業所處的業務類型,同時尋求改變。每個企業都不同,但一般而言,每天應該有數千或更多丟棄包。有些企業可能每小時就有幾千丟棄包,但如果企業每天只有一百個丟棄包,那麼,要麼是防火牆被插入到互聯網的安全部分(這不太可能),或者防火牆規則集沒有被正確配置。同樣重要的是在對規則集做出更改後,檢查丟棄包的數量,以確保企業瞭解規則對其安全的影響。
總而言之,防火牆存在於大多數企業中,但它們可能已經隨着時間的推移而失去有效性,沒有發揮它們應有的作用。檢查通過防火牆的流量百分比以及檢查丟包的數量可以幫助提高防火牆的價值。
轉自:http://netsecurity.51cto.com/art/201503/469345.htm