防火墻管理常犯失誤有哪些

　　下文是學(xué)習(xí)啦小編精心為你提供的防火墻管理常犯失誤有哪些，歡迎大家閱讀，喜歡請(qǐng)繼續(xù)關(guān)注學(xué)習(xí)啦。

　　在網(wǎng)絡(luò)安全一線，防火墻管理是這樣一個(gè)行當(dāng)——對(duì)規(guī)則和配置文件進(jìn)行更改時(shí)，一個(gè)小小的錯(cuò)誤可能給你帶來(lái)巨大的后患。以下是一些常犯的失誤：

　　一、創(chuàng)建毫無(wú)意義的防火墻組

　　一名防火墻管理員在把設(shè)備加入到網(wǎng)絡(luò)中時(shí)，擁有超過(guò)一半的規(guī)則權(quán)限。后來(lái)這便用一個(gè)球星的名字來(lái)命名，我們稱之為Joe_Montana.出論任何時(shí)候，管理員需要某臺(tái)設(shè)備加入到網(wǎng)絡(luò)中，他們就把這臺(tái)設(shè)備的IP地址添加到他們常用的、擁有許多授權(quán)的規(guī)則當(dāng)中去，添加到這樣的組里。最后，這些規(guī)則庫(kù)讓審計(jì)員看起來(lái)可能是沒(méi)問(wèn)題的，因?yàn)檫@里面沒(méi)有“任意”這樣的規(guī)則，但是事實(shí)上卻埋下了許多的防火墻漏洞。防火墻規(guī)則變得毫無(wú)意義，如果一旦被審計(jì)整改，清理這些規(guī)則庫(kù)的活是費(fèi)力不討好的任務(wù)，需要很多個(gè)月的時(shí)間來(lái)解決規(guī)則庫(kù)問(wèn)題，以安全、適當(dāng)?shù)赜成涞綐I(yè)務(wù)需求。

　　二、從不升級(jí)你的防火墻軟件

　　有數(shù)量驚人的組織使用過(guò)時(shí)的防火墻軟件。當(dāng)被問(wèn)及原因時(shí)，得到的往往是非常類似的幾個(gè)回復(fù)“我們要保持版本的穩(wěn)定性”或者“防火墻不能撤下進(jìn)行升級(jí)”…等等。事實(shí)上，防火墻廠商升級(jí)自己的軟件是有原因的。你不需要安裝最新發(fā)布的防火墻版本，但如果您正在運(yùn)行一個(gè)已經(jīng)過(guò)時(shí)15或20個(gè)版本的軟件，或者已經(jīng)7、8年沒(méi)有更新版本，那么請(qǐng)立即停止抱怨，開始更新!

　　三、使用錯(cuò)誤的技術(shù)

　　我們都聽過(guò)的把方形釘砸進(jìn)圓洞的說(shuō)法，在防火墻行業(yè)里也有這么一說(shuō)。一個(gè)網(wǎng)絡(luò)安全管理員激烈的和他們的審計(jì)員爭(zhēng)論，因?yàn)樗麄冇幸粋€(gè)防火墻布置在安全 WEB服務(wù)器的前面，這樣就構(gòu)成了一個(gè)雙重身份驗(yàn)證：一個(gè)密碼和一個(gè)防火墻。這家伙的創(chuàng)造力可以打A，但是防火墻(本身)不是一個(gè)雙重身份驗(yàn)證解決方案。雙重身份認(rèn)證需要您的用戶有一個(gè)令牌和密碼。

　　四、意外宕機(jī)事件

　　我聽過(guò)這樣一個(gè)意外宕機(jī)事件，防火墻管理員正在收集一些防火墻數(shù)據(jù)。管理員無(wú)意中碰到桌子上的鼠標(biāo)，而此時(shí)的鼠標(biāo)正懸停在開始菜單上。如同命中注定一樣，鼠標(biāo)令人難以置信的激活了開始菜單，并且恰好懸停在“關(guān)閉”菜單項(xiàng)上。是的，就這樣那個(gè)金融公司的人看著他們的防火墻就這樣被關(guān)閉了。

　　五、創(chuàng)建糟糕的防火墻配置文檔

　　你經(jīng)常會(huì)聽到有些防火墻管理員忙的焦頭爛額，試圖了解到底他們之前所做的防火墻規(guī)則是用來(lái)干什么的。圖得一時(shí)省事(馬虎創(chuàng)建防火墻文檔)讓自己以后變得繁忙，還是花時(shí)間來(lái)創(chuàng)建合理的防火墻文檔?馬虎對(duì)待防火墻文檔等于給自己創(chuàng)建一個(gè)定時(shí)炸彈。調(diào)查一些參與管理防火墻的管理員，常常會(huì)聽到這樣的抱怨“現(xiàn)在我害怕調(diào)整我的防火墻，所有的高級(jí)管理人員已經(jīng)離開，而我們不知道那些防火墻文檔，里面那些大多數(shù)的名字的意思，或這些規(guī)則是用來(lái)做什么的。”

　　六、請(qǐng)勿使用路由作為您的安全策略

　　我見到很多這樣的防火墻，他們的規(guī)則庫(kù)在做出修正時(shí)，需要路由器相應(yīng)做出改變，以適應(yīng)新的防火墻規(guī)則?；蛟S這是可以理解的——當(dāng)處在防火墻之內(nèi)的網(wǎng)絡(luò)，需要重新組建時(shí)，但事實(shí)往往是網(wǎng)絡(luò)并沒(méi)有發(fā)生變化，只是防火墻需要作出變化。有兩種類似這種“綁架”路由器的錯(cuò)誤，在工作中經(jīng)常發(fā)生。

　　第一種情況，是防火墻沒(méi)有默認(rèn)路由。每條路由線路都被手動(dòng)添加到防火墻，而且，往往使用最小的子網(wǎng)掩碼，許多不在計(jì)劃之內(nèi)的設(shè)備，在將來(lái)如果不設(shè)置防火墻策略就會(huì)受到阻礙，無(wú)法通過(guò)路由。這聽起來(lái)很棒，貌似更加安全，但它是完全不必要的——如果你刪除這條防火墻策略，那么該策略將會(huì)恢復(fù)成“忽略所有”。

　　這個(gè)設(shè)計(jì)將會(huì)使防火墻變得難以管理，之后的防火墻團(tuán)隊(duì)將會(huì)害怕做出改變，因?yàn)檫@將會(huì)牽扯到很多東西。每個(gè)策略更改都需要一個(gè)工程師來(lái)檢查路由，因此每一個(gè)防火墻策略更改花費(fèi)的時(shí)間太長(zhǎng)，大大影響了網(wǎng)絡(luò)維修任務(wù)，所以，這是沒(méi)有實(shí)際價(jià)值的增加安全性。

　　這種錯(cuò)誤看法還有一種情況，在思科設(shè)備管理員群體中最常出現(xiàn)，比方說(shuō)管理員需要建立一個(gè)訪問(wèn)控制列表，這個(gè)控制列表包括兩個(gè)設(shè)備之間的任何源地址或目標(biāo)地址。他們的本意實(shí)際上是指兩個(gè)設(shè)備之間中的所有地址，而并非在任何的時(shí)候。但是管理員太懶了，他們不想花力氣輸入地址。這樣，只有知道連接防火墻的路由表，才能知道這條防火墻策略實(shí)際的內(nèi)涵。這些是需要管理員記在腦子里的，對(duì)一個(gè)初級(jí)防火墻管理員來(lái)說(shuō)，這太難接管這個(gè)防火墻了。

　　七、使用路由器DNS對(duì)象作為防火墻策略對(duì)象

　　很多防火墻提供這么一個(gè)功能選項(xiàng)，允許管理員插入一個(gè)DNS對(duì)象作為源或目標(biāo)地址，比方說(shuō)wwwxuexila.com.這聽起來(lái)不錯(cuò)，因?yàn)?google.com可以作用于這么多的IP地址，這樣即使google.com的ip地址發(fā)生改變的時(shí)候，我的防火墻，也還是可以作用于該域名下的地址。這種錯(cuò)誤做法，會(huì)導(dǎo)致許多風(fēng)險(xiǎn)，大多數(shù)組織應(yīng)該考慮不要使用這種做法。

　　首先防火墻現(xiàn)在很容易受到拒絕服務(wù)攻擊，你能想象防火墻不能解析google.com域名時(shí)會(huì)發(fā)生什么嗎?第二個(gè)，在為所有的數(shù)據(jù)包做DNS解析時(shí)，防火墻需要查找每個(gè)數(shù)據(jù)包，以試圖決定該數(shù)據(jù)包是否屬于google.com時(shí)，會(huì)極大的浪費(fèi)CPU、內(nèi)存和網(wǎng)絡(luò)IO.第三，如果你的DNS服務(wù)器中毒，你的防火墻將允許所有的僵尸網(wǎng)絡(luò)命令通過(guò)，并記錄它作為正常域名。