返回
细数防火墙管理中常犯失误

细数防火墙管理中常犯失误

ID:31181760

大小:66.50 KB

页数:5页

时间:2019-01-07

细数防火墙管理中常犯失误_第1页
细数防火墙管理中常犯失误_第2页
细数防火墙管理中常犯失误_第3页
细数防火墙管理中常犯失误_第4页
细数防火墙管理中常犯失误_第5页
资源描述:

《细数防火墙管理中常犯失误》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、细数防火墙管理中常犯的失误在我们的职业生涯中大都曾经有过一次这样的经历——我是说你认为足以让你丢掉饭碗的失课。我的第一次重大失课是曾经重启了校园里的所有路由器,不是一个接一个的,而是所有一次完成。我写了一个脚本,为所有的路由器安装一个安全更新,然后依次重启这些路由器一一至少我是这样想的。事实上我的脚本有误,遗漏了路由器Z间的等待时间。当时我认为自己肯定要被解雇了,但是谢天谢地,我没有。有些重大的事故,最后往往都为我们的学习提供重要帮助。我们都或多或少的知道些危机筲理,所有的东西都可以从在线备份中恢复过来,我的老板花了儿个

2、小时的时间教会我如何正确的检测网络是否正常运行。好消息是大部分的时间,我们所犯的错误并没有这么严重,而坏消息是很多失课并不会当时就表现出来。也就是说,这种失课会一直遗留而不能被发现,有可能是几个星期,也有可能是几个月或者几年,直到有一天它们引发了严重的中断事故,或者被审计人员发现来传唤我们。在网络安全•线,防火墻管理是这样一个行当——对规则和配置文件进行更改时,一个小小的错误可能给你带来巨大的后患。以下是一些常犯的失误:一、创建毫无意义的防火墙组一名防火墙管理员在把设备加入到网络屮时,拥有超过一半的规则权限。后来这便用一

3、个球星的名字来命名,我们称之为Joe_Montana・出论任何时候,管理员需要某台设备加入到网络中,他们就把这台设备的IP地址添加到他们常用的、拥有许多授权的规则当屮去,添加到这样的组里。最后,这些规则库让审计员看起来可能是没问题的,因为这里面没冇“任意”这样的规则,但是事实上却埋下了许多的防火墙漏洞。防火墙规则变得毫无意义,如果一H被审计整改,清理这些规则库的活是费力不讨好的任务,需要很多个月的时间来解决规则库问题,以安全、适当地映射到业务需求。二、从不升级你的防火墙软件有数量惊人的组织使用过时的防火墙软件。当被问及原

4、因时,得到的往往是非常类似的几个回复“我们要保持版本的稳定性”或者“防火墙不能撤下进行升级”…等等。事实上,防火墙厂商升级自己的软件是有原因的。你不需要安装最新发布的防火墙版木,但如果您正在运行一个已经过时15或20个版本的软件,或者已经7、8年没有更新版本,那么请立即停止抱怨,开始更新!三、使用错误的技术我们都听过的把方形钉砸进圆洞的说法,在防火墙行业里也有这么一说。一个网络安全管理员激烈的和他们的审计员争论,因为他们有一个防火墙布置在安全WEB服务器的前面,这样就构成了一个双重身份验证:一个密码和一个防火墙。这家伙的

5、创造力Hj以打A,但是防火墙(木身)不是一个双重身份验证解决方案。双重身份认证需要您的用户有一个令牌和密码。四、意外宕机事件我听过这样一个意外宕机事件,防火墙管理员止在收集一些防火墙数据。管理员无意中碰到桌了上的鼠标,而此时的鼠标正悬停在开始菜单上。如同命屮注定一样,鼠标令人难以置信的激活了开始菜单,并且恰好悬停在“关闭”菜单项上。是的,就这样那个金融公司的人看着他们的防火墙就这样被关闭了。五、创建糟糕的防火墙配置文档你经常会听到有些防火墙管理员忙的焦头烂额,试图了解到底他们之前所做的防火墙规则是用来干什么的。图得一时省

6、事(马虎创建防火墙文档)让口己以后变得繁忙,还是花时间来创建合理的防火墙文档?马虎对待防火墙文档等于给自己创建一个定时炸弹。调查一些参与管理防火墙的管理员,常常会听到这样的抱怨“现在我害怕调整我的防火墙,所有的高级管理人员已经离开,而我们不知道那些防火墙文档,里面那些大多数的名字的意思,或这些规则是用来做什么的。”六、请勿使用路由作为您的安全策略我见到很多这样的防火墙,他们的规则库在做岀修正时,需要路由器相应做出改变,以适应新的防火墙规则。或许这是可以理解的——当处在防火墙之内的网络,需要重新组建时,但事实往往是网络并没

7、有发生变化,只是防火墙需要作出变化。有两种类似这种“绑架”路由器的错误,在工作中经常发生。第•种情况,是防火墙没有默认路由。每条路由线路都被手动添加到防火墙,而且,往往使用最小的子网掩码,许多不在计划之内的设备,在将来如果不设置防火墙策略就会受到阻碍,无法通过路出。这听起来很棒,貌似更加安全,但它是完全不必要的——如果你删除这条防火墙策略,那么该策略将会恢复成“忽略所有”。这个设计将会使防火墙变得难以管理,之后的防火墙I才I队将会害怕做出改变,因为这将会牵扯到很多东西。每个策略更改都需要一个工程师来检查路由,因此每一个防

8、火墙策略更改花费的时间太长,大大影响了网络维修任务,所以,这是没有实际价值的增加安全性。这种错误看法还有一种情况,在思科设备筲理员群体中最常出现,比方说管理员需要建立一个访问控制列表,这个控制列表包括两个设备之间的任何源地址或目标地址。他们的本意实际上是指两个设备之间中的所有地址,而并非在任何的时候。但是管理员太懒了

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。