WEB开发网
开发学院网络安全防火墙 十戒 认清防火墙评测与管理 阅读

十戒 认清防火墙评测与管理

 2008-09-11 12:13:14 来源:WEB开发网   
核心提示: 科学的做法是,慎重考虑防火墙异构问题,十戒 认清防火墙评测与管理(4),按需部署,不要过分推崇异构,虽然“傻”这个字显得很绝对,但为了不被恶意入侵者事后同样用这个字嘲笑我们,以免走上滥用之路, 第十条:不能让防火墙规则粗放 防火墙的看家本事是执行检查工作

科学的做法是,慎重考虑防火墙异构问题,按需部署,不要过分推崇异构,以免走上滥用之路。

第十条:不能让防火墙规则粗放

防火墙的看家本事是执行检查工作。一项检查工作是否有效,关键看检查依据定得如何,而防火墙的检查依据就是访问控制规则。

防火墙的访问控制规则有两个要素,一是控制服务(通信端口);二是控制访问源、目的地址(IP)。用户一般都知道严格控制前者,但对后者有时就粗放管理。如果用户使用了其他认证手段,在地址控制上粗放些倒无可厚非,否则就是第四傻。

其实网络访问控制中,控制地址的重要性大于控制服务。服务由系统提供,理论上讲,系统安全做好了,关闭了不必要的端口并除去同一安全域内互访的端口,剩下的端口或许都得对外开放,只是开放的源地址不同。这就凸显了控制地址的重要性。

而且要控制地址,就需要控制到具体的IP。除非诸如80端口之类确实要对任何应用提供服务的端口,否则不要轻易开放网段。另外,开放C类段未必比B类段安全很多,就像原本是要筛沙子的密格滤网,你开小窟窿和开大窟窿有多少本质区别呢?

有人可能会说,如此详细控制会让规则激增,防火墙不堪重负。这个问题要靠改善网络部署或采用其他认证手段为防火墙代劳,不能为了性能就不坚持访问控制的安全性原则。

科学的做法是,防火墙要对地址严格细致地控制,如果性能不济,通过综合规划来解决,不能因为“将就”而留下安全隐患。

以上是笔者总结的防火墙管理中的几个误区,值得用户和工程实施人员关注。虽然“傻”这个字显得很绝对,但为了不被恶意入侵者事后同样用这个字嘲笑我们,大家还是事前把自己看得傻一点好。

上一页  1 2 3 4 

Tags:认清 防火墙 评测

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接