既然防火墙是企业防护内部网络的第一防线,亦是不可或缺的重要安全信息设备,IT部门如何让现有的防火墙设备发挥最大的防御功能?必须探讨以下的三个问题:
防火墙面对黑客,为何总是举白旗投降?
首先须了解防火墙的工作原理,防火墙主要功能有三:封包过滤(packet filter)、 状态检视〈stateful inspection or dynamic packet filter〉、应用程序代理(Application proxy)。所有网络传递的封包藉由防火墙硬件配置之两张网卡传递与进行过滤,包括Accept(Allow)、Redirect(NAT转址)、Deny(Reject)三种资料流过滤动作。
防火墙在网络层(包括以下的链路层)接受到网络资料封包后,就从上面的预先设定之防火墙过滤规则,进行逐条过滤动作。但是黑客面临这样的防火墙阻挡过滤,自然不是束手无策,最常见的攻击措施,包括以下之攻击行为:
伪造合法IP攻击:主要是透过伪造合法身份的方式,穿透防火墙的攻击行为。
Dos的攻击(拒绝服务的攻击行为):主要是瘫痪防火墙响应服务方式,穿透防火墙的攻击行为。
将信息封包分段攻击:主要将信息封包切割成多段信息封包,并安插合法的信息封包,借以欺骗防火墙,穿透防火墙的攻击行为。
木马攻击:透过内部网络安装木马程序,藉由一般防火墙不阻断高TCP埠的漏洞,进行攻击。
如何让现有防火墙发挥最大防御功效
黑客的攻击行为当然不仅于此,技术高超的黑客更是利用最基本的网络传递的封包架构进行攻击行为。因此,面对如此严峻的黑客挑战,以往传统的防火墙已经无法达到真正捍卫网络安全的重责大任。那IT管理者要举白旗投降吗?当然不是,以下就针对一些企业IT管理者的防火墙配置观念讨论,协助防火墙发挥最大的使用效益。
安装了firewall的主机,往往有一定的安全意识,但也很有可能太迷信防火墙造成对防火墙的配置不当。IP伪造的攻击为例:虽然firewall可以过滤IP,但一般是过滤Untrust的IP不能使用某些服务或进入内部网络。面对黑客伪造为合法IP的使用攻击方式,实际上,firewall可以完全制止,透过简单的逻辑思考,IT管理者必须认知内部IP绝对是不可能从外边进来的,所以应该禁止内部IP从外部进入防火墙。
再强大的Firewall都不会过滤TCP的埠80,除非企业并无对外的Web服务。当然有些Firewall会对埠80的一些get、post进行判断过滤,认定Client是否进行非法请求,因此除了选购更强的Firewall之外,需要随时监控网络异常的存取行为,或者利用防火墙的NAT的转址功能,将普通的网络服务地址进行隐藏,阻断外部入侵的管道及漏洞。
IT管理者尽可能将所有对外非必要开放的服务TCP通讯端口关闭,且严格限制内部网络的信息服务,包括ftp,Telnet及ping等方式,让黑客的侦测漏洞机会减至最低。
如何评估选购防火墙?
面对市面上多样的防火墙,功能繁杂企业IT要如何选购合适的防火墙,则是大多数的企业头痛的课题,因此提供以下建议给各位参考:
1.必须考量本身需求与环境评估,目前防火墙基本功能差异不大,但价格差异却不小,原因在于产品的品牌、效能、稳定度、扩充性与授权人数(软件防火墙)等。
2.由于防火墙提供多种附加功能或工具来符合各种企业需求,虚拟企业网络(VPN)、记录分析工具(Log Analyzer)、频宽管理(Bandwidth Management)等,这些工具基本上都价格不蜚,企业可以针对目前的需求加以选择。
3.防火墙可否Centralize Management?防火墙是否容易管理也是相当重要的考量点,不管公司是否设置网络专业人员,总之,应避免选择功能繁杂难以设定的防火墙。
4.评估公司预算,考虑防火墙的价格及效能的成本价值,选购防火墙虽然不一定要选择知名的品牌,但也能贪图便宜选择不适用的低阶防火墙。
5.选购合适的功能。
6.选择良好的售后服务。除了选择防火墙本身的品质外,厂商的售后服务也是选择防火墙时所必须考虑的。
Copyright ©2018-2023 www.958358.com 粤ICP备19111771号-7 增值电信业务经营许可证 粤B2-20231006