《企業(yè)網(wǎng)D1Net》11月6日訊
防火墻一直是網(wǎng)絡(luò)安全設(shè)備中必不可少的重要組成部分,而最近一段時(shí)間關(guān)于下一代防火墻的信息和評(píng)論非常多,所謂的下一代防火墻在安全控制和防護(hù)方面的表現(xiàn)更加出色,但有不少人對(duì)其管理功能表示擔(dān)憂和疑慮,因此企業(yè)在選擇這些產(chǎn)品時(shí)應(yīng)該古如何進(jìn)行評(píng)估呢?
管理任何設(shè)備,我們關(guān)注的重點(diǎn)都應(yīng)該是把握管理員的容易訪問程度與其他用戶的難以訪問程度之間的平衡。當(dāng)企業(yè)在研究NGFW的管理功能時(shí),最重要的是,企業(yè) 首先需要確定管理員是否被允許從網(wǎng)絡(luò)邊界外部訪問管理界面。對(duì)于這個(gè)問題,沒有正確或錯(cuò)誤的答案:這取決于每個(gè)企業(yè)是否愿意接受遠(yuǎn)程防火墻管理帶來的相關(guān)風(fēng)險(xiǎn)。
如果你的企業(yè)決定允許管理員從外部訪問管理界面,你必須做出以下三個(gè)額外的管理決定:
下一代防火墻是否有內(nèi)置的Web服務(wù)器用于管理目的?如果有的話,對(duì)web服務(wù)器的訪問是否加密?很多管理員喜歡圖形用戶界面的便捷性,企業(yè)可以選擇這種方式,但前提是對(duì)GUI的連接必須是通過SSL進(jìn)行。管理員必須要訪問web服務(wù)器嗎?企業(yè)最好讓管理員通過命令行來訪問界面。這樣的話,你就不需要擔(dān)心web服務(wù)器配置中的安全漏洞問題;只需要建立一個(gè)shell即可。管理界面的現(xiàn)成的配置足夠好嗎?還是需要額外的配置?很多時(shí)候,系統(tǒng)管理員忽視了這個(gè)問題,而這往往會(huì)導(dǎo)致安全泄漏事故。例如,安全人員必須確定在默認(rèn)情況下開啟加密,還是需要勾選一些框格來激活加密。你會(huì)驚訝地發(fā)現(xiàn),默認(rèn)配置經(jīng)常被忽視,而這種問題往往會(huì)導(dǎo)致災(zāi)難性的后果,這原本是很容易可以避免的,前提是你需要在默認(rèn)配置上多花點(diǎn)時(shí)間。
然而,對(duì)于NGFW應(yīng)用管理,建議企業(yè)中有人能夠研究每個(gè)供應(yīng)商編寫的不同應(yīng)用的簽名的可靠性。這可能需要高水平的技術(shù),因此沒有那么容易。在企業(yè)有 應(yīng)用簽名分析師的情況下,建議將不同類型的流量扔到防火墻,并使用數(shù)據(jù)包捕捉工具(例如Wireshark)來確定防火墻能夠阻止應(yīng)該阻止的東西。
D1Net評(píng)論:
不論如何,防火墻都是企業(yè)網(wǎng)絡(luò)安全防護(hù)的一道重要“閥門”,因此對(duì)它只能多用心管理,別無他法。而在對(duì)下一代防火墻的具體管理操作上,需要注意的是,必須對(duì)一些細(xì)節(jié)加以關(guān)注,否則可能會(huì)帶來災(zāi)難性的后果。
京公網(wǎng)安備 11010502049343號(hào)