成 人 网 站国产免费观看

<p id="lkccd"></p>

    <td id="lkccd"></td>
    <acronym id="lkccd"></acronym>
    <table id="lkccd"><ruby id="lkccd"></ruby></table>
    <td id="lkccd"></td>
    <p id="lkccd"><strong id="lkccd"></strong></p>

    dvbbs
    聯系我 收藏本頁
    聯系我們
    論壇幫助
    dvbbs

    深圳印刷論壇世界網絡-網絡技術網絡設施 → 防火墻:合理配置和管理的策略


      共有13999人關注過本帖樹形打印

    主題:防火墻:合理配置和管理的策略

    帥哥喲,離線,有人找我嗎?
    止談風月
      1樓 個性首頁 | QQ | 信息 | 搜索 | 郵箱 | 主頁 | UC


    加好友 發短信 止談風月
    等級:管理員 貼子:1542 積分:16633 威望:5 精華:0 注冊:2007-3-17 22:33:59
    防火墻:合理配置和管理的策略  發貼心情 Post By:2008-12-20 15:30:06

    防火墻不是萬無一失的安全策略,對它們必須加以合理的管理。

    說到保護網絡資產和業務關鍵基礎設施免受攻擊,大多數組織設立的第一道防線就是防火墻,但遺憾的是,防火墻往往又是最后一道防線。許多組織認為,防火墻就是保護基礎設施投資的護身盔甲。更貼切的說法應該是胸甲——它護得了要害部位,但護不住頭和腳。有鑒于此,防火墻應當仍然構成第一道防線,但必須同時得到其它深度防御安全策略的援助。

    專業人員進行安全評估時,強調從現場部件開始著手的必要性,即對每個網段的每個主機進行“在線式”攻擊測試?蛻舻牡谝粋反應往往是“我不要這樣,我只對網絡黑客會干什么有興趣。我有防火墻來保護!比绻蛻粲X得對防火墻不太放心,可能會添加IP地址作為遠程攻擊的一部分。遺憾的是,他們沒有領會到要義。既然明知防火墻對基礎設施的投資這么重要,為什么不進行檢查,確保防火墻提供理應提供的所有保護呢?

    盡管業界已盡了最大努力,但沒有哪個防火墻能保護主機避免針對網絡服務的“零時間”漏洞(zero-day exploit)。然而,如果配置及維護得當,就有助于約束攻擊者通過被入侵主機進行的破壞行為?刂齐x開被入侵網絡的網絡流量(譬如禁止HTTP或FTP出站),這往往能阻撓攻擊者獲得進一步獲取權限或者入侵其它內部主機所必要的工具。

    防火墻往往是項目安全預算當中最大的單筆開支。防火墻安裝在環境內時備受關注,而且往往配置準確。然而,等到基礎設施運行了一年半載,防火墻卻通常再也無法提供過去的那種保護。

    專業人員在評估及審查了眾多防火墻策略(有時含有成百上千條規則)之后,強烈建議:應當對防火墻策略安排年度審查以及“徹底清理”。防火墻管理員和基礎設施的開發人員及維護人員都能夠出面評估所需的策略更改,這很重要。重點應當放在盡量降低策略的復雜性,同時確保進出網絡流量得到控制。

    然后,利用各種端口掃描和確認方法,測試防火墻的安全性。對防火墻進行掃描本身作用有限,不過有助于發現通常應當禁止的任何服務或系統響應(譬如,對ICMP、路由協議和開放管理端口的響應)。不過,對與防火墻相連的所有網段的每個主機(包括防火墻)進行掃描,并且把發現結果同基于策略的預期結果進行對照,這極其重要。就長期而言,要確保防火墻管理員在使用最新的防火墻和主機操作系統方面接受全面培訓。

    如果運行基于防火墻的VPN隧道服務,還要評估各種相關的策略及配置。

    正如不該把防火墻視為萬無一失的安全防御機制那樣,還應確保這個重要部件得到妥善維護和管理。畢竟,護身盔甲上的胸甲的保護功效完全取決于鋼板和鐵匠。

    防火墻保護的幾個主要漏洞

    ·防火墻應用系統和主機操作系統沒有打上安全補丁,予以更新。

    ·隨意向要求更改防火墻策略的受保護環境添加新主機。增添主機規則時,又往往是千篇一律的規則,從而影響了現有主機的安全性。

    ·從基礎設施移走主機時未對防火墻策略進行相應更改。萬一主機遭到遠程入侵,就會造成策略“漏洞百出”。

    ·增添“臨時的”策略更改,試圖解決一年到頭出現的一次性問題。獲取及安裝受保護主機的最新安全補丁或更新程序的系統管理員往往喜歡這樣。

    ·重新審查防火墻日志的次數越來越少。管理員用于監控防火墻日常運轉的時間不是很多,結果沒人注意攻擊。

    ·管理防火墻的任務交給了水平較差、更改防火墻策略能力較差的人(因為最初安裝防火墻的“技術人員”對此不再有興趣),尤其是增添的規則往往限制入站流量,卻對出站流量未加任何限制。

    ·許多人獲得了管理防火墻的權限,結果弄得誰也不知道為什么要制訂某些規則,也不知道更改規則的重要性。


    ▓止談風月(www.zonaiam.com)

    我們的口號:沒有最高質量的產品我們無法生存

                      沒有非常的創意我們不如不干
    支持(0中立(0反對(0單帖管理 | 引用 | 回復 回到頂部

    返回版面帖子列表

    防火墻:合理配置和管理的策略








    簽名  

    本站聯系電話:0755-25925567
    成 人 网 站国产免费观看

    <p id="lkccd"></p>

      <td id="lkccd"></td>
      <acronym id="lkccd"></acronym>
      <table id="lkccd"><ruby id="lkccd"></ruby></table>
      <td id="lkccd"></td>
      <p id="lkccd"><strong id="lkccd"></strong></p>