大多数
公司认为防火墙是一种成熟的技术,一般来说,安全专家不会考虑太多的防火墙。在审计或评估防火墙时,企业通常只是
检查防火墙是否有
保护网络的权利。
然而,最近我注意到一个趋势,防火墙并不能提供他们所能提供的所有保护,因为它们没有被
升级或妥善
维护。我并不是说防火墙本身可以防止所有的攻击,这是不可能的,但我认为它们可以比现在更有效。
在考虑防火墙规则的维护和测试时,企业应提出以下问题:
1。最后一次完全验证防火墙规则集是
什么时候 当2。防火墙规则集更新
三.最后一次全面测试防火墙是什么时候
4。最后一次
优化防火墙规则集是什么时候
对于大多数企业来说,防火墙最有可能在几年前被部署,而且这些年来没有得到很大的改善,我的很多客户
都是这种
情况,这就是我选择防火墙作为本文主题的
原因。
防火墙设计与
配置 对于防火墙来说,两件重要的事情是它必须得到
正确的设计和配置。
可以说,100%的网络流量都必须通过防火墙,但实际情况是,加密链路,
无线网络流量、
调制解调器和外部网络
连接通常会绕过防火墙。许多人认为100%的流量通过防火墙,但实际上比可能很低。随着网络变得更加开放,很多防火墙现在监控不到60%的流量,大大降低了防火墙的有效性。毕竟,防火墙不能保护它所看不到的。
在配置方面,防火墙的有效性取决于规则的集合。在许多情况下,企业允许技术人员配置
设置在
控制台前的规则。此外,没有防火墙
策略或请求
文件来促进规则的创作集。如果没有文件,没有没有办法来验证它是否是正确的。
另一个根本的问题是,企业很少进行适当的防火墙测试。在规则集
创建或更新,企业将测试,确保一切正常通过防火墙。虽然它是测试正常的情况下,重要的问题是一切都是正常通过,并应防止的东西将被允许通过。因此,企业应该用申请文件和测试的异常情况,这将确保应防止的事情可以适当的防止。
测试防火墙的有效性以防止失败
最后的测试是衡量防火墙的整体效果,而唯一的
方法了解了防火墙的有效性是看到被丢弃的数据包的数目。毕竟,对于部署了防火墙的原因是为了让它停止,应封闭交通。基于这样的评价,企业需要要回答这个问题:有多少数据包被丢弃,每一天,如果有一个例外,防火墙能
检测呢
我的一个客户是其防火墙非常满意,因为它的防火墙具有独特的237套规则。问题是,当我们检查数据包的数量,结果是0。这意味着237规则等价于完全可以通过客户的防火墙是一种昂贵的直接装置。通过检查数据包的数量,企业可以更好地了解设备是否被允许通过太多,最终阻碍了防火墙的有效性。
最后,该防火墙的成功是基于数据包丢弃的数量,测量一个防火墙的有效性的关键是跟踪数据包的数量,以确保它是与企业在寻求改变商业的型线,每个企业是不同的,但一般的包数千或更多的应该抛弃的每一天。一些企业可能有成千上万的丢弃数据包每小时,但如果一个企业只有一百的数据包丢弃的每一天,它是防火墙插入互联网安全的一部分(这是不可能的)或防火墙规则集配置不正确。它在变化的设置也是检查废弃包装物的数量重要确保企业了解规则对其安全性的
影响的规则。
总之,防火墙在大多数企业中都存在,但它们可能随着时间的推移而失效,并没有发挥应有的
作用,通过防火墙检查流量百分比和检查包的数量有助于提高防火墙的价值。