防火墙部署
部署防火墙时,应遵循纵深防御原则,这意味着防火墙不仅仅适用于您的外围。由路由器或交换机分隔的每个网段都应配置该路由器或交换机的防火墙。每个工作站或服务器还应该配置其防火墙。如图说明了此部署模型。
防火墙部署
当然,这种部署模型还需要讨论在什么位置使用什么类型的防火墙。对于单独的计算机/服务器,标准的状态数据包检测防火墙(例如大多数现代操作系统中包含的防火墙)是合适的。如果服务器具有特定功能(例如 Web 服务器或数据库服务器),则应考虑特定于该服务的应用程序网关。DMZ 和路由器之间是考虑连接跟踪防火墙的绝佳位置。路由器本身可以使用状态数据包检查或连接跟踪防火墙,具体取决于网络的特定配置。
选择和使用防火墙
有多种商业防火墙产品可供选择。许多软件供应商提供基本的数据包过滤解决方案。主要防病毒软件供应商(包括本章前面提到的供应商)通常将防火墙软件作为其防病毒软件的捆绑选项提供。其他公司,例如 Zone Labs,销售防火墙和入侵检测软件。思科等主要路由器和交换机制造商也提供防火墙产品。
特定系统所需的安全程度始终难以确定。最低限度的建议是在您的网络和互联网之间安装一个数据包过滤防火墙/代理服务器,但这只是最低限度的要求。根据经验,管理员应该在预算允许的情况下购买最强大的防火墙。后面会详细研究了一些更广泛使用的防火墙解决方案。但请记住,这只是一个经验法则。更好的方法是进行风险分析,容后在本系列中介绍。
使用防火墙
使用防火墙的首要规则是正确配置它。后面介绍了一些更广泛使用的防火墙解决方案以及如何配置它们。彻底阅读和理解与防火墙解决方案相关的所有文档和手册至关重要。管理员还应该考虑顾问的服务来协助初始设置和配置。此外,防火墙供应商通常还提供特定于产品的培训。
当试图确定安全事件发生后发生了什么时,防火墙也是极好的工具。几乎所有防火墙,无论类型或实施方式如何,都会记录其上发生的各种活动。这些日志可以提供有价值的信息,帮助确定攻击源、攻击方法以及可能有助于定位攻击者或至少防止未来使用相同技术进行攻击的其他数据。
考虑到网络上的设备数量,合并日志是很常见的。安全信息和事件管理器 (SIEM) 是执行此操作的常用方法。还有一个协议,syslog,只是用于通信日志信息。SIEM不仅会整合防火墙日志,还会整合其他日志,例如IDS日志。
检查防火墙日志以检查异常活动应该成为每个组织IT员工日常工作的一部分。后面介绍的入侵检测系统可以在发生异常情况(特别是可能表明潜在攻击的异常情况)时通知网络管理员。然而,即使有了IDS,定期检查日志仍然是一个好主意。
对一段时间内正常活动期间的防火墙日志进行研究将建立基线。该基线应显示每小时、每分钟和每天传入和传出数据包的平均数量。它还应该识别数据包的类型(例如,73% 的传入数据包是发往Web 服务器的 HTTP 数据包)。在防火墙上定义正常活动有助于管理员注意到异常活动(如果发生)。
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:部署、选择、使用防火墙
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论