安全的第一步合理配置防火牆綜述(轉)

　　今天我們所處的資訊時代，也可以說也是病毒與駭客大行其道的時代，這樣說確實有些悲觀但今天的網路的確如此，從Internet到企業內網、從個人電腦到可上網的手機平臺，沒有地方是安全的。每一次網路病毒的攻擊，都會讓家庭使用者、企業使用者、800熱線甚至是運營商頭痛腦熱。不過經歷過了一次又一次的病毒危機後，人們已經開始思考網路的安全了。現在任何一個企業組建網路都會考慮到購買防火牆，且有越來越多的家庭使用者在自己的電腦上甚至寬頻接入端也加上了防火牆，相信不久的將來，我們可以看到在手機上也會出現防火牆。[@more@]

　　

　　但是防火牆不是一道用於心理安慰的屏障，只有會用防火牆才能夠真正將威脅擋在門外。就許多中小企業而言，防火牆的配置往往沒有反映出企業的業務需求。如果對防火牆的防護執行設定沒有結合企業內部的需求而進行認真充分的定義，新增到防火牆上的安全過濾規則就有可能允許不安全的服務和通訊透過，從而給企業網路帶來不必要的危險與麻煩。防火牆可以比做一道資料的過濾網，如果事先制定了合理的過濾規則，它將可以截住不合規則的資料包文，從而起到過濾的作用。相反，如果規則不正確，將適得其反。

　　

　　中小企業防火牆應具有哪些功能：

　　如何合理實施防火牆的配置呢？首先，讓我們來看看中小企業防火牆一般都應具有哪些功能：

　　

　　1．動態包過濾技術，動態維護透過防火牆的所有通訊的狀態（連線），基於連線的過濾；

　　

　　2．可以作為部署NAT（Network Address Translation，網路地址變換）的地點，利用NAT技術，將有限的IP地址動態或靜態地與內部的IP地址對應起來，用來緩解地址空間短缺的問題；

　　

　　3．可以設定信任域與不信任域之間資料出入的策略；

　　

　　4．可以定義規則計劃，使得系統在某一時可以自動啟用和關閉策略；

　　

　　5．具有詳細的日誌功能，提供防火牆符合規則報文的資訊、系統管理資訊、系統故障資訊的記錄，並支援日誌伺服器和日誌匯出；

　　

　　6．具有IPSec VPN功能，可以實現跨網際網路安全的遠端訪問；

　　

　　7．具有郵件通知功能，可以將系統的告警透過傳送郵件通知網路管理員；

　　

　　8．具有攻擊防護功能對不規則的IP、TCP報或超過經驗閥值的TCP半連線、UDP報文以及ICMP報文采取丟棄；

　　

　　9．Web中的Java, ActiveX, Cookie、URL關鍵字、Proxy進行過濾。

　　

　　以上是中小企業防火牆所應具備的一些防護特性，當然隨著技術的發展中小企業防火牆的功能會變得越來越豐富；但有再多功能的防火牆如果沒有合理的配置和管理，那麼這只是一件IT擺設。

　　

　　如何實施防火牆配置

　　如何實施防火牆配置呢？我們分別從以下幾方面來討論：

　　

　　規則實施

　　規則實施看似簡單，其實需要經過詳盡的資訊統計才可以得以實施。在過程中我們需要了解公司對內對外的應用以及所對應的源地址、目的地址、TCP或UDP的埠，並根據不同應用的執行頻繁程度對策率在規則表中的位置進行排序，然後才能實施配置。原因是防火牆進行規則查詢時是順序執行的，如果將常用的規則放在首位就可以提高防火牆的工作效率。另外，應該及時地從病毒監控部門得到病毒警告，並對防火牆的策略進行更新也是制定策略所必要的手段。

　　

　　規則啟用計劃

　　通常有些策略需要在特殊時刻被啟用和關閉，比如凌晨3：00。而對於網管員此時可能正在睡覺，為了保證策略的正常運作，可以透過規則啟用計劃來為該規則制定啟用時間。另外，在一些企業中為了避開上網高峰和攻擊高峰，往往將一些應用放到晚上或凌晨來實施，比如遠端資料庫的同步、遠端資訊採集等等，遇到這些需求網管員可以透過制定詳細的規則和啟用計劃來自動維護系統的安全。

　　

　　日誌監控

　　日誌監控是十分有效的安全管理手段，往往許多管理員認為只要可以做日誌的資訊，都去採集，比如說對所有的告警或所有與策略匹配或不匹配的流量等等，這樣的做法看似日誌資訊十分完善，但可以想一下每天進出防火牆的資料包文有上百萬甚至更多，你如何在這些密密麻麻的條目中分析你所需要的資訊呢？雖然有一些軟體可以透過分析日誌來獲得圖形或統計資料，但這些軟體往往需要去二次開發或制定，而且價格不菲。所以只有採集到最關鍵的日誌才是真正有用的日誌。

　　

　　一般而言，系統的告警資訊是有必要記錄的，但對於流量資訊是應該有選擇的。有時候為了檢查某個問題我們可以新建一條與該問題匹配的策略並對其進行觀測。比如：內網發現蠕蟲病毒，該病毒可能會針對主機系統某UDP埠進行攻擊，網管員雖然已經將該病毒清除，但為了監控有沒有其他的主機受感染，我們可以為該埠增加一條策略並進行日誌來檢測網內的流量。

　　

　　另外，企業防火牆可以針對超出經驗閥值的報文做出響應，如丟棄、告警、日誌等動作，但是所有的告警或日誌是需要認真分析的，系統的告警支援根據經驗值來確定的，比如對於工作站和伺服器來說所產生的會話數是完全不同的，所以有時會發現系統告知一臺郵件伺服器在某埠發出攻擊,而很有可能是這臺伺服器在不斷的重發一些沒有響應的郵件造成的。

　　

　　裝置管理

　　對於企業防火牆而言，裝置管理方面通常可以透過遠端Web管理介面的訪問以及Internet外網口被Ping來實現，但這種方式是不太安全的，因為有可能防火牆的內建Web伺服器會成為攻擊的物件。所以建議遠端網管應該透過IPsec VPN的方式來實現對內埠網管地址的管理。