<p id="lllll"></p>

        <del id="lllll"></del>

        <p id="lllll"><mark id="lllll"><progress id="lllll"></progress></mark></p>
        <p id="lllll"><del id="lllll"><thead id="lllll"></thead></del></p>

        <ruby id="lllll"></ruby>

        <ruby id="lllll"><mark id="lllll"></mark></ruby>

        <ruby id="lllll"><mark id="lllll"></mark></ruby><ruby id="lllll"><mark id="lllll"><thead id="lllll"></thead></mark></ruby>

          <p id="lllll"></p>

          一边摸一边叫床一边爽
          以文本方式查看主题

          -  深圳印刷论坛  (http://www.roman-paradigm-massage.com/bbs/index.asp)
          --  网络设施  (http://www.roman-paradigm-massage.com/bbs/list.asp?boardid=16)
          ----  防火墙:合理配置和管理的策略  (http://www.roman-paradigm-massage.com/bbs/dispbbs.asp?boardid=16&id=2430)

          --  作者:止谈风月
          --  发布时间:2008-12-20 15:30:06
          --  防火墙:合理配置和管理的策略
          防火墙不是万无一失的安全策略,对它们必须加以合理的管理。

          说到;ね缱什鸵滴窆丶∩枋┟馐芄セ,大多数组织设立的第一道防线就是防火墙,但遗憾的是,防火墙往往又是最后一道防线。许多组织认为,防火墙就是;せ∩枋┩蹲实幕ど砜。更贴切的说法应该是胸甲——它护得了要害部位,但护不住头和脚。有鉴于此,防火墙应当仍然构成第一道防线,但必须同时得到其它深度防御安全策略的援助。

          专业人员进行安全评估时,强调从现场部件开始着手的必要性,即对每个网段的每个主机进行“在线式”攻击测试?突У牡谝桓龇从ν恰拔也灰庋,我只对网络黑客会干什么有兴趣。我有防火墙来;!比绻突Ь醯枚苑阑鹎讲惶判,可能会添加IP地址作为远程攻击的一部分。遗憾的是,他们没有领会到要义。既然明知防火墙对基础设施的投资这么重要,为什么不进行检查,确保防火墙提供理应提供的所有;つ?

          尽管业界已尽了最大努力,但没有哪个防火墙能;ぶ骰苊庹攵酝绶竦摹傲闶奔洹甭┒矗▃ero-day exploit)。然而,如果配置及维护得当,就有助于约束攻击者通过被入侵主机进行的破坏行为?刂评肟蝗肭滞绲耐缌髁浚ㄆ┤缃笻TTP或FTP出站),这往往能阻挠攻击者获得进一步获取权限或者入侵其它内部主机所必要的工具。

          防火墙往往是项目安全预算当中最大的单笔开支。防火墙安装在环境内时备受关注,而且往往配置准确。然而,等到基础设施运行了一年半载,防火墙却通常再也无法提供过去的那种;。

          专业人员在评估及审查了众多防火墙策略(有时含有成百上千条规则)之后,强烈建议:应当对防火墙策略安排年度审查以及“彻底清理”。防火墙管理员和基础设施的开发人员及维护人员都能够出面评估所需的策略更改,这很重要。重点应当放在尽量降低策略的复杂性,同时确保进出网络流量得到控制。

          然后,利用各种端口扫描和确认方法,测试防火墙的安全性。对防火墙进行扫描本身作用有限,不过有助于发现通常应当禁止的任何服务或系统响应(譬如,对ICMP、路由协议和开放管理端口的响应)。不过,对与防火墙相连的所有网段的每个主机(包括防火墙)进行扫描,并且把发现结果同基于策略的预期结果进行对照,这极其重要。就长期而言,要确保防火墙管理员在使用最新的防火墙和主机操作系统方面接受全面培训。

          如果运行基于防火墙的VPN隧道服务,还要评估各种相关的策略及配置。

          正如不该把防火墙视为万无一失的安全防御机制那样,还应确保这个重要部件得到妥善维护和管理。毕竟,护身盔甲上的胸甲的;すπ耆【鲇诟职搴吞。

          防火墙;さ募父鲋饕┒

          ·防火墙应用系统和主机操作系统没有打上安全补丁,予以更新。

          ·随意向要求更改防火墙策略的受;せ肪程砑有轮骰。增添主机规则时,又往往是千篇一律的规则,从而影响了现有主机的安全性。

          ·从基础设施移走主机时未对防火墙策略进行相应更改。万一主机遭到远程入侵,就会造成策略“漏洞百出”。

          ·增添“临时的”策略更改,试图解决一年到头出现的一次性问题;袢〖鞍沧笆鼙;ぶ骰淖钚掳踩苟』蚋鲁绦虻南低彻芾碓蓖不墩庋。

          ·重新审查防火墙日志的次数越来越少。管理员用于监控防火墙日常运转的时间不是很多,结果没人注意攻击。

          ·管理防火墙的任务交给了水平较差、更改防火墙策略能力较差的人(因为最初安装防火墙的“技术人员”对此不再有兴趣),尤其是增添的规则往往限制入站流量,却对出站流量未加任何限制。

          ·许多人获得了管理防火墙的权限,结果弄得谁也不知道为什么要制订某些规则,也不知道更改规则的重要性。