防火墙测试:从入门到精通
2008-11-25 13:33:28 来源:WEB开发网规则库的管理是许多防火墙的管理员们的一个重要问题。防火墙的规则库易于出现各种问题,如不正确、重叠、未用的规则。在过去的若干年中,对此进行了许多研究,研究人员确认了许多足以引起管理员们注意的异常情况:
在管理员们创建一种要合并较低优先权的高优先权规则时,会发生规则重叠的情况。例如,管理员们可能要创建一种在规则库中高高在上的规则,准许所有的SMTP通信。而一条地位较低的老规则可能会专门准许SMTP通信到达一个邮件服务器。然而,因为其类似性和低优先权,这条特别的规则将绝对不可能被激发。在更低优先权的规则要阻止通信到达一个特别的服务器时,这种情况会变得更糟。因为这种概括性的规则首先出现,这种阻止将绝对不会生效。
在服务或系统不出现于网络中时,或其它的改变使得一条规则成为孤立的规则时,就会发生所谓的“规则遗弃”问题。这些规则通常不会从防火墙中删除,这就创造了一个潜在的安全漏洞,并添加了防火墙管理员的负担。
未用的规则类似于孤立规则,这些规则从未使用。未用的规则可能来自从未具体实施的项目中的改变请求。或者说,未用的规则可能源自于管理员们在创建规则时的错误。
现在国外有不少商业化的工具试图解决这些问题。如FireMon、Firewall Analyzer。然而,真正的解决方案是保持规则库的简单,将其限制为一个可管理的大小,并执行经常化的审计。
确认错误配置
在评估防火墙的策略时,需要考虑如下几个方面的问题:
这种设计考虑到增长了吗?
系统打了补丁并实施了测试吗?
这种策略提供了深度防御吗?这种体系结构考虑到了TCP/IP协议栈的所有层吗?
哪些通信准许进入网络?哪些通信准许从网络发出?所有进入或离开网络的通信应当得到准许。有一些规则和标准,如PCI的数据安全标准要求验证所有通信,但这是一个好方法,甚至在被采用的标准没有祥细说明时也是这样。
更多精彩
赞助商链接