部署防火墙的六大误区

安全
防火墙,不仅可以防范一些网络攻击,也可以将一部分通过网络传播的病毒拒之门外,还可以有效的防范黑客入侵。正因于此,防火墙这款网络设备才会成为企业网络的必不可少的网络设备。可是,不少企业网管在部署防火墙时,经常会存在以下几个误区。为此,笔者将部署防火墙的一些误区写出来,分享给各位在企业做网管的同行们。

防火墙作为企业安全的重要保障已经被各企业广泛认同,几乎每时每刻都会有企业将部署防火墙提上网络安全议程。那么,是不是部署了防火墙之后就可以毫无后顾之忧了呢?本篇文章将讲述部署防火墙过程中的六大误区。

部署防火墙误区之一:部署了防火墙并不等于绝对安全

防火墙对于企业网络的保护作用是每位企业网管所共知的,可是,企业网络部署了防火墙,并不意味着企业网络就不再有安全威胁。举个最简单的例子,防火墙的功能仅仅能够对来自外部网络的数据进行过滤,如果有人在企业网络内部搞破坏,防火墙是没有任何防范作用的。

另外,防火墙对来自外部数据的过滤检查是按照过滤规则进行的。如果一种网络攻击模式不在防火墙过滤规则之内,防火墙对于这种网络攻击也是没有任何防范能力的。为此,企业网管不要认为网络中部署了防火墙,企业网络就绝对安全,不再有任何安全隐患,部署了防火墙并不等于绝对安全。

部署防火墙误区之二:长期不更新防火墙安全策略

防火墙可以阻挡来自外界的网络攻击,以及过滤一些网络病毒,这都得益于防火墙设备的安全策略。如同杀毒软件一样,凭借防火墙自带默认的安全策略,防火墙设备能够阻挡已知的网络攻击模式,以及一部分网络病毒;对于新的网络攻击模式,以及新的网络病毒,防火墙是没有任何防范能力的。要想让防火墙能够具备非常强大的防范能力,企业网管必须定期的更新防火墙的安全策略。

在网络安全漏洞呈爆炸式增长的今天,如果长期不更新防火墙的安全策略,防火墙无疑会成为一个摆设。每当遇到新的网络安全漏洞,企业网管必须及时的更新防火墙的安全策略,只有这样,防火墙才能真正成为企业网络的安全保护神。

部署防火墙误区之三:安装防火墙设备的所有组件

众所周知,部署防火墙这款网络安全设备时,很多企业网管为了保障企业网络的安全,通常会将防火墙所有的功能组件都安装到防火墙设备中。从表面看,安装了所有组件的防火墙,安全更有保障。可是,安装了一些多余的防火墙组件之后,反而会降低防火墙的安全性能。

从技术角度来讲,防火墙的工作过程与普通PC相似。对于一台普通的PC来说,如果安装了过多的功能组件,其系统响应速度会变慢,尤其是PC开机时如果启动了太多的项目,PC可能会因为不堪重负而死机。防火墙亦是如此,防火墙中的组件都是随防火墙启动而启动的,如果网管部署防火墙时安装了所有组件,势必会耗费防火墙太多的资源,在网络数据交换繁忙时,防火墙设备可能会因为系统资源不足而当机。一旦防火墙当机,防火墙将失去了作用,企业网络也将失去防火墙的保护,其后果不难想象。为此,部署防火墙时,不要安装防火墙设备的所有组件。

部署防火墙误区之四:把防火墙当成防病毒的武器

从理论上说,防火墙当然可以防病毒,但防火墙只能防范通过网络传播的一部分病毒。道理很简单,防火墙是位于网络通路上的一道关卡,对于一切经过它的数据包,它都可以过滤出禁止传输的数据。可是,大多数病毒在传播过程中是非常隐蔽的,防火墙的过滤规则很难有效的防范病毒入侵,看一下病毒传播的过程就明白了。

病毒在隐蔽在网络应用层中的,在通过防火墙时,病毒被分为若干个数据包。不可否认,防火墙虽然可以过滤一些数据包,但分割为多个数据包的病毒,防火墙是很难识别的,除非防火墙能够将若干个数据包重新拼装起来进行检查,否则防火墙是不可能发现病毒的。防火墙对数据包的过滤,仅仅是决定转发还是放弃,为此,防火墙的过滤规则很难防范通过网络传播的病毒。

不过,对于一些特征非常明显的病毒,防火墙是可以过滤的。例如震荡波病毒,在传播过程中是占用TCP的某些端口,这时,只要企业网管将防火墙的端口封闭,震荡波病毒将无法进入企业网络中。在实际应用中,能够像震荡波这样有如此明显特征的病毒很少。总的来说,防火墙对于病毒有一定的防范能力,但防范能力是非常有限的,为此,不要把防火墙当成防病毒的有效武器。

部署防火墙误区之五:忽略防火墙日志文件的作用

与任何一款网络设备一样,防火墙工作过程中也会自动生成日志。在企业网络的日常维护中,很多企业网管认识防火墙日志的存在,更没有意识到防火墙工作日志的重要性。对于防火墙的日志,企业网管存在着诸多误区。

由于防火墙每天在过滤数百万甚至上千万的报文数据包,其生成的日志也是数量众多。面对密密麻麻的日志文件,企业网管该从何处入手呢?其实,对于正常过滤的数据包记录,企业网管是无需理会的。诸如丢弃、告警、日志等动作,企业网管需要慎重的进行审核,并且进行分析,以确定是否有非法的网络攻击存在,切莫忽视防火墙日志文件的作用。

部署防火墙误区之六:过滤规则中有太多拒绝规则

对于防火墙的过滤规则,每位企业网管都非常熟悉。防火墙工作过程中,对于允许的数据包直接放行,而对于拒绝的规则,将直接抛弃。毫无疑问,如果防火墙的过滤规则中有太多的拒绝规则,将会浪费防火墙的系统资源,因为防火墙需要不断的拒绝不符合规则的数据包,并且禁止其通过。为此,在配置防火墙的过滤规则时,要少用拒绝规则。

总结:防火墙有保护企业网络安全的功能,可是,防火墙并不是万能的,也会有漏洞。加之防火墙是一个机器,其保护功能需要人的设置才能提高。也就是说,要想让防火墙的保护功能更加完善,部署防火墙时必须躲开上述误区。
 

【编辑推荐】

  1. 防火墙安全测试之漏洞扫描
  2. 防火墙安全测试之数据包侦听
  3. 防火墙安全测试之规则分析工具
  4. Web应用防火墙的主要特性
  5. 防止入侵从Web应用安全漏洞做起
责任编辑:张启峰 来源: 中国IT实验室
相关推荐

2010-09-30 16:47:21

2010-09-28 13:16:31

2018-08-21 06:38:11

2016-07-06 11:16:47

2010-08-16 10:14:23

云计算误区

2012-12-28 13:48:16

2018-02-27 11:01:42

2009-05-14 17:24:18

2016-11-08 18:00:44

机器学习

2010-12-08 09:31:50

下一代防火墙

2012-02-28 10:17:17

服务器虚拟化虚拟机

2024-11-06 12:14:01

2010-09-14 13:08:52

2016-10-21 20:29:56

2011-05-03 17:09:15

彩色照片打印误区

2011-05-13 09:01:33

2011-08-08 22:10:17

2023-04-11 11:22:13

2010-12-21 18:04:26

2011-05-06 14:53:50

照片打印打印误区
点赞
收藏

51CTO技术栈公众号