本文中专家Eric Cole介绍了如何通过适当的维护和测试来解决防火墙性能低下和故障问题。
大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事。
然而,最近笔者注意到一种趋势:防火墙并没有提供它能提供的全部保护,因为它们没有得到升级或正确维护。笔者并不是说单靠防火墙可以阻止所有攻击,这不太可能,但笔者认为它们可以比现在更加有效。
在考虑维护和测试及检查防火墙规则时,企业应该提出以下问题:
1. 最后一次全面验证防火墙规则集是什么时候?
2. 防火墙规则集什么时候进行的更新?
3. 最后一次全面测试防火墙是什么时候?
4. 最后一次优化防火墙规则集是什么时候?
对于大多数企业而言,防火墙极有可能是在几年前部署的,并且,在这些年都没有进行过多的改进。笔者的很多客户就是这种情况,这也是笔者选择防火墙作为本文主题的原因。
防火墙设计和配置
对于防火墙,两个重要的事情是:它必须得到正确的设计和配置。而对于设计,黄金准则是“所有连接必须通过防火墙”。现在的问题是,究竟有多少百分比的流量通过防火墙呢?
也许有人会说,100%的网络流量必须通过防火墙,但实际情况是,加密链路、无线网络流量、调制解调器和外部网连接通常都会绕过防火墙。很多人声称100%的流量通过防火墙,但实际上这个比率可能非常低。随着网络变得更开放,现在很多防火墙只监控不到60%的流量,这极大地降低了防火墙的有效性。毕竟,防火墙无法保护它看不到的东西。
从配置方面来看,防火墙的有效性取决于规则集。在很多情况下,企业是让技术人员在控制台前面来配置规则集。而且,没有什么防火墙政策或要求文件来推动规则集的创建。如果没有文件,就没有办法验证它是否正确。
另一个根本问题时,企业很少执行适当的防火墙测试。在规则集创建或更新后,企业将测试和确保一切正常通过防火墙。虽然测试正常情况很重要,但问题是,一切都正常通过,应该被阻止的事物也会被允许通过。因此,企业应该利用要求文件,同时测试异常情况,这将确保应该被阻止的事物得以正确阻止。
测试防火墙的有效性以防止故障
最后的测试是测量防火墙的整体效能,而了解防火墙有效性的唯一方法是查看丢弃数据包的数量。毕竟,部署防火墙的原因是让它阻止应该被阻止的流量。基于这个评估,企业需要回答这个问题:“防火墙每天有多少丢弃数据包,如果出现异常情况,防火墙能否检测得到?”
笔者的一个客户非常满意其防火墙,因为其防火墙有237个独特的规则集。问题是当我们检查丢包的数量时,结果是0。这意味着237条规则相当于“完全允许通过”,该客户的防火墙只是昂贵的直通设备而已。通过检查丢包数量,企业可以更好地了解设备是否允许太多东西通过,最终阻碍防火墙的有效性。
最后,防火墙的成功基于它丢弃的数据包数量。测量防火墙有效性的关键是追踪丢包的数量以确保它符合企业所处的业务类型,同时寻求改变。每个企业都不同,但一般而言,每天应该有数千或更多丢弃包。有些企业可能每小时就有几千丢弃包,但如果企业每天只有一百个丢弃包,那么,要么是防火墙被插入到互联网的安全部分(这不太可能),或者防火墙规则集没有被正确配置。同样重要的是在对规则集做出更改后,检查丢弃包的数量,以确保企业了解规则对其安全的影响。
总而言之,防火墙存在于大多数企业中,但它们可能已经随着时间的推移而失去有效性,没有发挥它们应有的作用。检查通过防火墙的流量百分比以及检查丢包的数量可以帮助提高防火墙的价值。
作者:Eric Cole
来源:51CTO