本文中專家Eric Cole介紹了如何通過適當(dāng)?shù)木S護(hù)和測試來解決防火墻性能低下和故障問題。

大多數(shù)企業(yè)認(rèn)為防火墻是一種成熟的技術(shù)，且通常安全專家也不會過多考慮防火墻。在審計或評估防火墻時，企業(yè)通常只是簡單地勾選表明防火墻在保護(hù)網(wǎng)絡(luò)的選項就完事。

然而，最近筆者注意到一種趨勢：防火墻并沒有提供它能提供的全部保護(hù)，因為它們沒有得到升級或正確維護(hù)。筆者并不是說單靠防火墻可以阻止所有攻擊，這不太可能，但筆者認(rèn)為它們可以比現(xiàn)在更加有效。

在考慮維護(hù)和測試及檢查防火墻規(guī)則時，企業(yè)應(yīng)該提出以下問題：

1. 最后一次全面驗證防火墻規(guī)則集是什么時候?

2. 防火墻規(guī)則集什么時候進(jìn)行的更新?

3. 最后一次全面測試防火墻是什么時候?

4. 最后一次優(yōu)化防火墻規(guī)則集是什么時候?

對于大多數(shù)企業(yè)而言，防火墻極有可能是在幾年前部署的，并且，在這些年都沒有進(jìn)行過多的改進(jìn)。筆者的很多客戶就是這種情況，這也是筆者選擇防火墻作為本文主題的原因。

防火墻設(shè)計和配置

對于防火墻，兩個重要的事情是：它必須得到正確的設(shè)計和配置。而對于設(shè)計，黃金準(zhǔn)則是“所有連接必須通過防火墻”。現(xiàn)在的問題是，究竟有多少百分比的流量通過防火墻呢?

也許有人會說，100%的網(wǎng)絡(luò)流量必須通過防火墻，但實際情況是，加密鏈路、無線網(wǎng)絡(luò)流量、調(diào)制解調(diào)器和外部網(wǎng)連接通常都會繞過防火墻。很多人聲稱100%的流量通過防火墻，但實際上這個比率可能非常低。隨著網(wǎng)絡(luò)變得更開放，現(xiàn)在很多防火墻只監(jiān)控不到60%的流量，這極大地降低了防火墻的有效性。畢竟，防火墻無法保護(hù)它看不到的東西。

從配置方面來看，防火墻的有效性取決于規(guī)則集。在很多情況下，企業(yè)是讓技術(shù)人員在控制臺前面來配置規(guī)則集。而且，沒有什么防火墻政策或要求文件來推動規(guī)則集的創(chuàng)建。如果沒有文件，就沒有辦法驗證它是否正確。

另一個根本問題時，企業(yè)很少執(zhí)行適當(dāng)?shù)姆阑饓y試。在規(guī)則集創(chuàng)建或更新后，企業(yè)將測試和確保一切正常通過防火墻。雖然測試正常情況很重要，但問題是，一切都正常通過，應(yīng)該被阻止的事物也會被允許通過。因此，企業(yè)應(yīng)該利用要求文件，同時測試異常情況，這將確保應(yīng)該被阻止的事物得以正確阻止。

測試防火墻的有效性以防止故障

最后的測試是測量防火墻的整體效能，而了解防火墻有效性的唯一方法是查看丟棄數(shù)據(jù)包的數(shù)量。畢竟，部署防火墻的原因是讓它阻止應(yīng)該被阻止的流量。基于這個評估，企業(yè)需要回答這個問題：“防火墻每天有多少丟棄數(shù)據(jù)包，如果出現(xiàn)異常情況，防火墻能否檢測得到?”

筆者的一個客戶非常滿意其防火墻，因為其防火墻有237個獨特的規(guī)則集。問題是當(dāng)我們檢查丟包的數(shù)量時，結(jié)果是0。這意味著237條規(guī)則相當(dāng)于“完全允許通過”，該客戶的防火墻只是昂貴的直通設(shè)備而已。通過檢查丟包數(shù)量，企業(yè)可以更好地了解設(shè)備是否允許太多東西通過，最終阻礙防火墻的有效性。

最后，防火墻的成功基于它丟棄的數(shù)據(jù)包數(shù)量。測量防火墻有效性的關(guān)鍵是追蹤丟包的數(shù)量以確保它符合企業(yè)所處的業(yè)務(wù)類型，同時尋求改變。每個企業(yè)都不同，但一般而言，每天應(yīng)該有數(shù)千或更多丟棄包。有些企業(yè)可能每小時就有幾千丟棄包，但如果企業(yè)每天只有一百個丟棄包，那么，要么是防火墻被插入到互聯(lián)網(wǎng)的安全部分(這不太可能)，或者防火墻規(guī)則集沒有被正確配置。同樣重要的是在對規(guī)則集做出更改后，檢查丟棄包的數(shù)量，以確保企業(yè)了解規(guī)則對其安全的影響。

總而言之，防火墻存在于大多數(shù)企業(yè)中，但它們可能已經(jīng)隨著時間的推移而失去有效性，沒有發(fā)揮它們應(yīng)有的作用。檢查通過防火墻的流量百分比以及檢查丟包的數(shù)量可以幫助提高防火墻的價值。