监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 1659|回复: 2
打印 上一主题 下一主题

提高管理与维护水平 网络防火墙管理经验

[复制链接]

0

主题

100

帖子

159

积分

实习生

跳转到指定楼层
1
发表于 2009-11-18 13:53:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
华为金牌代理
防火墙在确保网络的安全运行上发挥着重要作用,如何让防火墙发挥最大的作用是IT人员思考的问题。本文和大家分享自己在防火墙管理方面的一些经验,希望能够帮助到大家。

  1、建立防火墙的安全策略

  安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。

  (1).防火墙的设计策略

  防火墙的设计策略足具体地针对防火墙,负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前,必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种:1)除非叫确不允许,否则允许某种服务;2)除非明确允许,否则将禁止某项服务。

  执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种),也可以实施一种限制性策略(第二种),这就是制定防火墙策略的入手点。

  (2).网络服务访问策略

  网络服务访问策略足一种高层次的、具体到事件的策略,主要用于定义在网络巾允许的或禁止的网络服务,还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。比如,如果一个防火墙阻止用户使用Telnet服务访问互联网,一些人可能会使用拨号连接来获得这些服务,这样就可能会使网络受到攻击。网络服务访问策略不但应该足一个站点安全策略的延伸,而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情,从文件切碎条例到病毒扫描程序,从远程访问到移动介质的管理。

[NextPage]

    2、非常重要的日常管理

    日常管理是经常性的琐碎工作,以使防火墙保持清洁和安全。为此,需要经常去完成的主要工作:数据备份、账号管理、磁盘空间管理等。

    (1)数据备份

    一定要备份防火墙的数据。使用一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后,最好还能发送出一封确定信,而当它发现错误的时候,也最好能产生一个明显不同的信息。

    为什么只足在错误发生的时候送出一封信就好了呢?如果这个系统只在有错误的时候产生一封信,或许就有可能不会注意到,这个系统根本就没有运作。那为什么需要明显不同的信息呢?如果备份系统正常和执行失败时产生的信息很类似。那么习惯于忽略成功信息的人,也有可能会忽略失败信息。理想的情况足有一个程序检查备份有没有执行,并在备份没有执行的时候产生一个信息。

    (2)账号管理

    账号的管理。包括增加新账号、删除旧账号及检查密码期限等,是最常被忽略的日常管理工作。在防火墙上,正确地增加新账号、迅速地删除旧账号以及适时地变更密码,绝对是一项非常重要的工作。

    建立一个增加账号的程序,尽量使用一个程序增加账号。即使防火墙系统上没有多少用户,但每一个用户都可能足一个危险。一般人都有一个毛病,就足漏掉一些步骤,或在过程中暂停几天。如果这个空档正好碰到某个账号没有密码,入侵者就很容易进来了。

    账号建立程序中一定要标明账号日期,以及每隔一阶段就自动检查账号。虽然不需要自动关闭账号,但是需要自动通知那些账号超过期限的人。可能的话,设置一个自动系统监控这些账号。这可以在UNIX系统上产生账号文件,然后传送到其他的机器上,或者是在各台机器上产生账号,自动把这些账号文件拷贝到UNIX上,再检查它们。

    (3)磁盘空间管理

    数据总是会塞满所有可用的空间,即使在几乎没有什么用户的机器上也一样。人们总是向文件系统的各个角落丢东西,把各种数据转存剑文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不蜕可能需要使用那些磁盘空间,只是这种碎片就容易造成混乱,使事件的处理更复杂。有人可能会问:“那是上次安装新版程序留下来的程序吗?是入侵者放进来的程序吗?那真的是一个普通的数据文件吗?是一些对入侵者有特殊意义的东西?”等等,不幸的是,没有能自动找出这种“垃圾”的方法,尤其是可以在磁盘上到处写东西的系统管理者。因此,最好有一个人定期检查磁盘,如果让每一个新任的系统管理者部去遍历磁盘会特别有效。他们将会发现管理员忽况的东西。

[NextPage]

    3、必不可少的监视系统

    对防火墙的维护、监视系统是维护防火墙的重点,它可以告诉系统管理者以下的问题:(1).防火墙已经岌岌可危了吗?(2).防火墙能提供用户需求的服务吗?(3).防火墙还在正常运作吗?(4).尝试攻击防火墙的足哪些类型的攻击?要回答这几个问题,首先应该知道什么是防火墙的正常工作状态。

    (1)专用设备的监视

    虽然大部分的监视工作部是利用防火墙上现成的工具或记录数据,但是也可能会觉得如果有一些专用的监视设备会很方便。例如,可能需要在周围网络上放一个监视站,以便确定通过的都足预料中的数据包。可以使用有网络窥视软件包的一般计算机,也可以使用特殊用途的网络检测器。

    如何确定达一台监视机器不会被入侵者利用呢?事实上,最好根本不要让入侵者知道它的存在。在某些网络设备上,只要利用一些技术和一对断线器(wire cutter)取消网络接口的传输功能,就可以使这台机器无法被检测到,也很难被入侵者利用。如果有操作系统的原始程序,也可以从那里取淌传输功能,随时停止传输。但是,在这种情况下,很难确认操作是否已经成功了。

    (2)应该监视的内容

    理想的情况是,应该知道通过防火墙的一切事情,包括每一条连接,以及每一个丢弃或接受的数据包。然而,实际的情况足很难做到的,折衷的办法是,在不至于影响主机速度也不会太快填满磁盘的情况下,尽量多做记录,然后再为所产生的记录整理出摘要。

    在特殊情况下,要记录好以下内容:一是所有抛弃的包和被拒绝的连接;二足每一个成功的连接通过堡垒主机的时间、协议和用户名,三是所有从路由器中发现的错误,堡垒主机和一些代理程序。

    (3)监视工作巾的一些经验[

    应该把可疑的事件划分为几类:一是知道事件发生的原因,而且这不足一个安全方面的问题,二是不知道是什么原因,也许永远不知道是什么原因引起的,但是无论它是什么,它从末再出现过,三是有人试图侵入,但问题并不严重,只是试探一下;四是有人事实上已经侵入。

    这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的,但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况,网络系统管理员就有理由怀疑有人在探试站点:一是试图访问在不安全的端口上提供的服务(如企图与端口映射或者调试连接);二是试图利用普通账户登录(如guest);三是请求FTP文件传输或传输NFS映射;四是给站点的SMTP发送debug命令。

    如果网络系统管理员见到以下任何情况,应该更加关注。因为侵袭可能正在进行之中:一是多次企图登录但多次失败的合法账户,特别足互联网上的通用账户,二是目的不明的数据包命令,三足向某个范围内每个端口广播的数据包;四是不明站点的成功登录。

[NextPage]

    如果网络系统管理员了发现以下情况,应该怀疑已有人成功地侵入站点:一是日志文件被删除或者修改;二足程序突然忽略所期望的正常信息;三足新的日志文件包含有不能解释的密码信息或数据包痕迹;四是特权用户的意外登录(例如root用户),或者突然成为特权用户的意外用户;五是来自本机的明显的试探或者侵袭,名字与系统程序相近的应用程序;六是登录提示信息发生了改变。

    4、务必保持最新状态

    保持防火墙的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的领域中,每天都产生新的事物、发现新的毛病,以新的方式进行侵袭,同时,现有的工具也会不断地被更新。因此,要使防火墒能同该领域的发展保持同步。

    当防火墙需要修补、升级一些东西,或增加新功能时,就必须投入较多的时间。当然所花的时间长短视修补、升级、或增加新功能的复杂程度而定。如果开始时对站点需求估计得越准确,防火墙的设计和建造做得越好,防火墙适应这些改变所花的时间就越少。

    综合:防火墙能保护网络的安全,但并不是绝对安全的,而足相对的。因此,我们要不断地提高我们管理和维护的水平,去更好地保护我们的网络。

0

主题

4

帖子

24

积分

实习生

2
发表于 2011-7-29 10:30:49 | 只看该作者
华为金牌代理
不错,学习下

0

主题

3

帖子

25

积分

实习生

3
发表于 2011-8-22 21:58:45 | 只看该作者
华为金牌代理
谢谢,学习了
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-26 16:49 , Processed in 0.153347 second(s), 23 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表