[转]防火墙应用失败案例辨析
大家在了解了防火墙技术、产品、方案和选购等系列内容后,似乎就等着买回一款产品安装,然后就可以高忱无忧地享用防火墙了。然而,我们有所不知,除选购合适的防火墙外,更为重要的是用好防火墙。不少用户在花费大量资金购置防火墙之后,由于缺乏相应技术贮备或对产品功能的了解,并没能充分发挥防火墙的作用。 事实上,在防火墙安装和投入使用后,并非就是万事大吉了。首先,防火墙的安全防护功能的发挥需要依赖很多因素,不仅某些病毒和黑客可以通过系统漏洞或者其他手段避开防火墙,内部人员管理控制欠完善也有可能使得防火墙形同虚设。其次,为了提高防火墙的安全性,用户可以将防火墙和其他安全工具相结合,例如和漏洞扫描器与IDS搭配使用。还有,要想充分发挥防火墙的安全防护作用,必须对它进行升级和维护,要与厂商保持密切的联系,时刻注视厂商的动态。因为厂商一旦发现其产品存在安全漏洞,就会尽快发布补丁产品,此时应及时对防火墙进行更新。 为了让大家更好地使用防火墙,我们从反面列举4个有代表性的失败案例,以警示读者。 例1:未制定完整的企业安全策略 网络环境 某中型企业购买了适合自己网络特点的防火墙,刚投入使用后,发现以前局域网中肆虐横行的蠕虫病毒不见了,企业网站遭受拒绝服务攻击的次数也大大减少了,为此,公司领导特意表扬了负责防火墙安装实施的信息部。 该企业网络环境如附图所示。 http://www.pcworld.com.cn/issue/2002/0220/pics/2008b.jpg 该企业内部网络的核心交换机是带路由模块的三层交换机,出口通过路由器和ISP连接。内部网划分为5个VLAN,VLAN 1、VLAN 2和VLAN 3分配给不同的部门使用,不同的VLAN之间根据部门级别设置访问权限;VLAN 4分配给交换机出口地址和路由器使用;VLAN 5分配给公共服务器使用。在没有加入防火墙之前,各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后,给防火墙分配一个VLAN 4中的空闲IP地址,并把网关指向路由器;将VLAN 5接入到防火墙的一个网口上。这样,防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网,三者之间的通信受到防火墙安全规则的限制。 问题描述 防火墙投入运行后,实施了一套较为严格的安全规则,导致公司员工无法使用QQ聊天软件,于是没过多久就有员工自己拨号上网,导致感染了特洛依木马和蠕虫等病毒,并立刻在公司内部局域网中传播开来,造成内部网大面积瘫痪。 问题分析 我们知道,防火墙作为一种保护网络安全的设备,必须部署在受保护网络的边界处,只有这样防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一,有很多出入口,那么只部署一台防火墙是不够的。在本案例中,防火墙投入使用后,没有禁止私自拨号上网行为,使得许多PC机通过电话线和Internet相连,导致网络边界不惟一,入侵者可以通过攻击这些PC机然后进一步攻击内部网络,从而成功地避开了防火墙。 解决办法 根据自己企业网的特点,制定一整套安全策略,并彻底地贯彻实施。比如说,制定一套安全管理规章制度,严禁员工私自拨号上网; 同时封掉拨号上网的电话号码,并购买检测拨号上网的软件,这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外,考虑到企业员工的需求,可以在防火墙上添加按照时间段生效的安全规则,在非工作时间打开QQ使用的TCP/UDP端口,使得企业员工可以在工余时间使用QQ聊天软件。 结论和忠告 防火墙只是保证安全的一种技术手段,要想真正实现安全,安全策略是核心问题。 例2:未考虑防火墙的可扩充性 问题描述 某大型企业一年前购买了几十台防火墙,分布在总部局域网和全国各地的分支机构中。刚投入使用后,各部门和分支机构都反映不错,没有影响到网络性能。随着信息化程度的不断提高,该企业决定构建视频会议系统,却发现防火墙不支持该应用协议,如果要实现视频会议,必须让防火墙打开一个很大的缺口,这会留下很大的安全隐患。 问题分析 视频会议系统一般都采用H.323协议,在创建符合H.323协议的Voice-Over-IP通道时,需要用到TCP协议的1720、1731和1735等端口,并且会使用到TCP协议的、大于1024的端口及UDP协议的、大于30000的端口,这些端口是动态随机选取的。如果防火墙没有专门针对H.323协议实现动态包过滤,那么必须静态地配置安全规则,打开TCP协议1024到65535之间的所有端口以及UDP协议30000到65535之间的所有端口,这样等于给防火墙打开了一个缺口,留下了安全隐患。此外,视频会议系统对于网络的服务质量和语音传输的优先级要求很高,如果防火墙不支持QoS功能,就无法保证参加视频会议的主机的的语音和视频质量。本案例说明了企业在选购防火墙时没有充分考虑到今后网络的扩展性,导致防火墙不能适应新的应用环境。 解决办法 购买防火墙前应充分考虑到各种应用的可能性。如果问题已经发生,请求防火墙厂商或安全集成商帮助解决。 结论和忠告 “安全当头,应用为先”。如果不支持诸如视频等网络应用,再好的安全设施也是没有意义的。请关注防火墙的功能是否全面,是否全面兼容各种应用协议。 例3:未考虑与其他安全产品的配合使用 问题描述 某公司购买了防火墙后,紧接着又购买了漏洞扫描和IDS(入侵检测系统)产品。当系统管理员利用IDS发现入侵行为后,必须每次都要手工调整防火墙安全策略,使管理员工作量剧增,而且经常调整安全策略,也给整个网络带来不良影响。 问题分析 选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能,导致不能最大程度地发挥安全系统的作用。 解决办法 购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品,以及具体产品名称和型号,然后确定所要购买的防火墙是否有联动功能(即是否支持其他安全产品,尤其是IDS产品),支持的是哪些品牌和型号的产品,是否与已有的安全产品名称相符,如果不符,最好不要选用,而选择能同已有安全产品联动的防火墙。这样,当IDS发现入侵行为后,在通知管理员的同时发送消息给防火墙,由防火墙自动添加相关规则,把入侵者拒之门外。 结论和忠告 保护网络安全不仅仅是防火墙一种产品,只有将多种安全产品无缝地结合起来,充分利用它们各自的优点,才能最大限度地保证网络安全。 例4:未经常维护升级防火墙 问题描述 某政府机构购置防火墙后已安全运行一年多,由于该机构网络结构一直很稳定,没有什么变化,各种应用也运行稳定,因此管理员逐渐放松了对防火墙的管理,只要网络一直保持畅通即可,不再关心防火墙的规则是否需要调整,软件是否需要升级。而且由于该机构处于政府专网内,与Internet物理隔离,防火墙无法实现在线升级。因此该机构的防火墙软件版本一直还是购买时的旧版本,虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包,但从未手工升级过。在一次全球范围的蠕虫病毒迅速蔓延事件中,政府专网也受到蠕虫病毒的感染,该机构防火墙因为没有及时升级,无法抵御这种蠕虫病毒的攻击,造成整个机构的内部网大面积受感染,网络陷于瘫痪之中。 问题分析 安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具,必须不断地升级与更新才能应付不断发展的入侵手段,过时的防护盾牌是无法抵%B 问题分析安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具,必须不断地升级与更新才能应付不断发展的入侵手段,过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说,应当时刻留心厂家发布的升级包,及时给防火墙打上最新的补丁。
解决办法
及时维护防火墙,当本机构发生人员变动、网络调整和应用变化时,要及时调整防火墙的安全规则,及时升级防火墙。
结论和忠告
保护网络安全是动态的过程,防火墙需要积极地维护和升级。
页:
[1]