和路由器,交换机等网络设备相比,硬件防火墙并没有什么不同。它们同样具有不长的生命周期,过不了几年就要更新换代。但是和其它设备相比,更换防火墙做的好的话是挺麻烦的一件事,做不好还会给网络带来安全隐患。
对于中小企业来说,管理防火墙时网络管理员或系统管理员所承担的众多职责中的一项。因此,作为一个IT技术人员,至少也要知道防火墙的内部结构。一般来说,对防火墙的操作都是间歇性的,比如企业网络上添加了新的应用程序,或者添加了新的服务器,才需要对防火墙进行适当配置。对于日常工作来说,这种偶尔的工作不会有什么问题,但是对于一些更复杂深入的工作,比如将一个厂商的防火墙更换为另一个厂商的产品,或者从低端产品升级到高端产品,这个过程对于IT技术人员来说会有更多的要求。
升级防火墙所涉及到的问题包括很多,有的问题比较简单直接,有些则很复杂,但不论怎样,该考虑的方面非常多。
图A
比如 Cisco ASA 5505 (图A)的操作手册有114页。这种情况不止是Cisco产品独有的, Welch-Abernathy的长达 656页的Essential Checkpoint Firewall (2004) 手册被Amazon 的评测人员评为“最适合新手学习”的手册。
近日我采访了Rich Gallo ,作为一家小型技术企业的系统管理员,他刚刚升级了公司一台防火墙。在采访中,他提供了一个很长的升级防火注意事项列表。粗略来看分为七大类,如图B所示。
图 B
Gallo在工作中遇到的主要问题包括处理之前由ISP Verizon设置的未使用过的外部Ip地址,以及与远程办公室子网进行协调。两个技术人员协同工作无疑可以极大的降低防火墙手工迁移过程中出错的概率。
防火墙升级的同时,也是路由器线缆重排,交换机移动位置,调整带宽分配或重新整理机柜的好时机。
好的测试是必要的一个环境,而测试不仅包括连接性的测试,还包括应用程序的测试。比如,面向公众的网络应用就必须从内网和外网两个环境进行测试,必要时还要使用特殊测试工具或软件。还应该审慎的检查故障应急计划以及恢复计划,以防万一。
VPN是一个特殊的情况,可能会影响到防火墙规则设置。在Gallo的公司,有站点到站点的VPN连接需要格外注意。另外,在设定VPN时,还要注意特定客户的问题,因为要同时支持x32 和x64 位系统, Mac系统, Windows和 Linux系统平台的客户,以及其它各种环境下的用户。比如在设置过程中发现一个 Snow Leopard系统无法进行正确的VPN连接。管理员通过收集各方面信息以及DNS记录,最终解决了问题。
防火墙规则是防火墙的核心能力的体现,但是新旧防火墙可能在规则设置上存在很大的差别。此时正好可以将这些差别通过文档形式记录下来,删除无用的规则,并通过程序管理器运行新规则。防火墙规则应该同时采用机器可读的防火墙特定格式,以及明文可阅读格式书写。
新的防火墙会影响到日志以及警告进程。因此应该计划升级警告和日志阅读程序,以便能够对新的警告做出响应,并能让安全分析程序以及其它类似的程序正常工作。
在升级防火墙时,有很多工作要做。有可能出现防火墙许可证支持DMZ问题,处理电子邮件服务器的特殊问题,或者为了支持远端办公室而设置额外逻辑规则等。而这个列表基本上能够模拟你在面对防火墙升级时所考虑的问题以及问题的顺序。
本栏目更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Firewall/