防火墙不是通用的
安全策略,必须合理地
管理它们。
当涉及到
保护网络资产和业务的关键基础设施的攻击,大多数组织机构
设置的第一道防线是防火墙,但不幸的是,防火墙往往是最后的防线。许多组织认为,防火墙是保护装甲的基础设施投资,更好的说法应该是mdash mdash;保护胸甲;的一个重要组成部分,但不在乎头和脚。鉴于此,防火墙仍然应该是第一道防线,但它必须辅以其他纵深防御安全策略,同时。
在进行安全评估,专家强调从磁场分量的必要性即为每个主机的每一段,在线,和攻击测试,客户的第一
反应往往是我不要,我只感兴趣的是网络黑客所要做的。我有一个防火墙保护。如果客户感到不舒服的防火墙,IP
地址可以作为远程攻击的一部分。不幸的是,他们没有把握的意思。现在你知道防火墙是基础设施投资如此重要,为什么不
检查确保防火墙提供的保护,应提供
尽管行业的努力,没有防火墙可以保护主机的网络
服务零时间和零日漏洞。然而,如果
配置和
维护是适当的,这有助于限制攻击者的破坏通过入侵主机,
控制网络流量,远离侵入网络(为例如,
禁止HTTP或FTP输出),这往往让攻击者获得进一步的许可或必要的
工具来入侵其他主机内部。
防火墙通常是项目安全预算中最大的单一开销,当防火墙
安装在环境中时,它受到高度关注,并且
经常被准确地配置,然而,当基础设施在一年左右的
运行中,防火墙通常不能提供对过去的保护。
在评估众多的防火墙策略(有时数以千计的规则上,含)专业人士强烈建议年度审查,应设置防火墙策略,而必须彻底清除。重要的是,防火墙
管理员和开发人员和基础设施的维护者能够得到评估所需的政策变化,重点应放在减少策略的复杂性,确保
访问网络的流量控制。
然后,该防火墙的安全是通过使用不同的端口扫描和验证的
方法进行测试。扫描防火墙本身是有限的,但它有助于找到任何服务或
系统的反应通常是被禁止的,例如,ICMP的回应,协议和开放管理端口
路由。然而,它扫描每个主机很重要的(包括防火墙)所有网络段
连接到防火墙,和比较的结果与预期的结果的基础上的政策。从长远来看,确保防火墙管理员收到最新的防火墙和主机
操作系统使用的综合训练。
如果运行基于防火墙的VPN隧道服务,也将评估各种相关的策略和配置。
正如防火墙不应被视为一个通用的安全防御机制,要保证这一重要组成部分是适当的维护和管理。毕竟,盔甲的胸甲保护效果完全取决于钢板和铁匠。
防火墙保护中的几个主要漏洞
防火墙应用系统和主机
操作系统没有修补和更新。
向受保护的环境添加新的主机,这需要对防火墙策略进行更改。
当主机从基础设施中
删除时,防火墙策略不会相应改变,如果主机被远程入侵,就会导致策略,其漏洞一个接一个地出现。;。
添加一个临时的政策改变,试图
解决一年内出现的一次性问题。系统管理员获取并安装最新的安全补丁或更新到受保护的主机时,往往喜欢这样做。
防火墙日志重新检查的次数越来越少,管理员花了大量的时间监控防火墙的日常运行,没有人注意到攻击。
对穷人的防火墙管理
任务,改变穷人的防火墙(因为防火墙最初安装了技术人员;这不再感兴趣),特别是添加规则经常限制入站流量,但出站流量没有任何限制。
。许多人得到管理防火墙的权力,结果是没有人知道为什么制定了一些规则,改变规则的重要性还不知道。