防火墙在确保网络的安全运行上发挥着重要作用,如何让防火墙发挥最大的作用是IT人员思考的问题。本文和大家分享自己在防火墙管理方面的一些经验,希望能够帮助到大家。
1、建立防火墙的安全策略
安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。
(1)防火墙的设计策略
防火墙的设计策略足具体地针对防火墙,负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前,必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种:1)除非叫确不允许,否则允许某种服务;2)除非明确允许,否则将禁止某项服务。
执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种),也可以实施一种限制性策略(第二种),这就是制定防火墙策略的入手点。
(2)网络服务访问策略
网络服务访问策略足一种高层次的、具体到事件的策略,主要用于定义在网络巾允许的或禁止的网络服务,还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。比如,如果一个防火墙阻止用户使用Telnet服务访问互联网,一些人可能会使用拨号连接来获得这些服务,这样就可能会使网络受到攻击。网络服务访问策略不但应该足一个站点安全策略的延伸,而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情,从文件切碎条例到病毒扫描程序,从远程访问到移动介质的管理。
2、非常重要的日常管理
日常管理是经常性的琐碎工作,以使防火墙保持清洁和安全。为此,需要经常去完成的主要工作:数据备份、账号管理、磁盘空间管理等。
(1)数据备份
一定要备份防火墙的数据。使用一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后,最好还能发送出一封确定信,而当它发现错误的时候,也最好能产生一个明显不同的信息。
为什么只足在错误发生的时候送出一封信就好了呢?如果这个系统只在有错误的时候产生一封信,或许就有可能不会注意到,这个系统根本就没有运作。那为什么需要明显不同的信息呢?如果备份系统正常和执行失败时产生的信息很类似。那么习惯于忽略成功信息的人,也有可能会忽略失败信息。理想的情况足有一个程序检查备份有没有执行,并在备份没有执行的时候产生一个信息。
(2)账号管理
账号的管理。包括增加新账号、删除旧账号及检查密码期限等,是最常被忽略的日常管理工作。在防火墙上,正确地增加新账号、迅速地删除旧账号以及适时地变更密码,绝对是一项非常重要的工作。
建立一个增加账号的程序,尽量使用一个程序增加账号。即使防火墙系统上没有多少用户,但每一个用户都可能足一个危险。一般人都有一个毛病,就足漏掉一些步骤,或在过程中暂停几天。如果这个空档正好碰到某个账号没有密码,入侵者就很容易进来了。
账号建立程序中一定要标明账号日期,以及每隔一阶段就自动检查账号。虽然不需要自动关闭账号,但是需要自动通知那些账号超过期限的人。可能的话,设置一个自动系统监控这些账号。这可以在UNIX系统上产生账号文件,然后传送到其他的机器上,或者是在各台机器上产生账号,自动把这些账号文件拷贝到UNIX上,再检查它们。
(3)磁盘空间管理
数据总是会塞满所有可用的空间,即使在几乎没有什么用户的机器上也一样。人们总是向文件系统的各个角落丢东西,把各种数据转存剑文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不蜕可能需要使用那些磁盘空间,只是这种碎片就容易造成混乱,使事件的处理更复杂。有人可能会问:“那是上次安装新版程序留下来的程序吗?是入侵者放进来的程序吗?那真的是一个普通的数据文件吗?是一些对入侵者有特殊意义的东西?”等等,不幸的是,没有能自动找出这种“垃圾”的方法,尤其是可以在磁盘上到处写东西的系统管理者。因此,最好有一个人定期检查磁盘,如果让每一个新任的系统管理者部去遍历磁盘会特别有效。他们将会发现管理员忽况的东西。
3、必不可少的监视系统
对防火墙的维护、监视系统是维护防火墙的重点,它可以告诉系统管理者以下的问题:(1).防火墙已经岌岌可危了吗?(2).防火墙能提供用户需求的服务吗?(3).防火墙还在正常运作吗?(4).尝试攻击防火墙的足哪些类型的攻击?要回答这几个问题,首先应该知道什么是防火墙的正常工作状态。
(1)专用设备的监视
虽然大部分的监视工作部是利用防火墙上现成的工具或记录数据,但是也可能会觉得如果有一些专用的监视设备会很方便。例如,可能需要在周围网络上放一个监视站,以便确定通过的都足预料中的数据包。可以使用有网络窥视软件包的一般计算机,也可以使用特殊用途的网络检测器。
如何确定达一台监视机器不会被入侵者利用呢?事实上,最好根本不要让入侵者知道它的存在。在某些网络设备上,只要利用一些技术和一对断线器(wire cutter)取消网络接口的传输功能,就可以使这台机器无法被检测到,也很难被入侵者利用。如果有操作系统的原始程序,也可以从那里取淌传输功能,随时停止传输。但是,在这种情况下,很难确认操作是否已经成功了。
(2)应该监视的内容
理想的情况是,应该知道通过防火墙的一切事情,包括每一条连接,以及每一个丢弃或接受的数据包。然而,实际的情况足很难做到的,折衷的办法是,在不至于影响主机速度也不会太快填满磁盘的情况下,尽量多做记录,然后再为所产生的记录整理出摘要。
在特殊情况下,要记录好以下内容:一是所有抛弃的包和被拒绝的连接;二足每一个成功的连接通过堡垒主机的时间、协议和用户名,三是所有从路由器中发现的错误,堡垒主机和一些代理程序。
(3)监视工作巾的一些经验
应该把可疑的事件划分为几类:一是知道事件发生的原因,而且这不足一个安全方面的问题,二是不知道是什么原因,也许永远不知道是什么原因引起的,但是无论它是什么,它从末再出现过,三是有人试图侵入,但问题并不严重,只是试探一下;四是有人事实上已经侵入。
这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的,但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况,网络系统管理员就有理由怀疑有人在探试站点:一是试图访问在不安全的端口上提供的服务(如企图与端口映射或者调试连接);二是试图利用普通账户登录(如guest);三是请求FTP文件传输或传输NFS映射;四是给站点的SMTP发送debug命令。
如果网络系统管理员见到以下任何情况,应该更加关注。因为侵袭可能正在进行之中:一是多次企图登录但多次失败的合法账户,特别足互联网上的通用账户,二是目的不明的数据包命令,三足向某个范围内每个端口广播的数据包;四是不明站点的成功登录。
如果网络系统管理员了发现以下情况,应该怀疑已有人成功地侵入站点:一是日志文件被删除或者修改;二足程序突然忽略所期望的正常信息;三足新的日志文件包含有不能解释的密码信息或数据包痕迹;四是特权用户的意外登录(例如root用户),或者突然成为特权用户的意外用户;五是来自本机的明显的试探或者侵袭,名字与系统程序相近的应用程序;六是登录提示信息发生了改变。
4、务必保持最新状态
保持防火墙的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的领域中,每天都产生新的事物、发现新的毛病,以新的方式进行侵袭,同时,现有的工具也会不断地被更新。因此,要使防火墒能同该领域的发展保持同步。
当防火墙需要修补、升级一些东西,或增加新功能时,就必须投入较多的时间。当然所花的时间长短视修补、升级、或增加新功能的复杂程度而定。如果开始时对站点需求估计得越准确,防火墙的设计和建造做得越好,防火墙适应这些改变所花的时间就越少。
综合:防火墙能保护网络的安全,但并不是绝对安全的,而足相对的。因此,我们要不断地提高我们管理和维护的水平,去更好地保护我们的网络。
【编辑推荐】
电子商务安全策略的基本原则
一、网络节点的安全 1.防火墙 防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。 通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。 2.防火墙安全策略 应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。 安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。 所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。 仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。 3.安全操作系统 防火墙是基于操作系统的。 如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。 所以,要保证防火墙发挥作用,必须保证操作系统的安全。 只有在安全操作系统的基础上,才能充分发挥防火墙的功能。 在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。 二、通讯的安全 1.数据通讯 通讯的安全主要依靠对通信数据的加密来保证。 在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于: (1)客户浏览器端与电子商务WEB服务器端的通讯; (2)电子商务WEB服务器与电子商务数据库服务器的通讯; (3)银行内部网与业务网之间的数据通讯。 其中(3)不在本系统的安全策略范围内考虑。 2.安全链路 在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。 目前采用的是浏览器缺省的4O位加密强度,也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。 浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。 建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。 三、应用程序的安全性 即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。 程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。 整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运 行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。 不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。 这些缺点都被使用到攻击系统的行为中。 不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。 缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。 程序不检查输入字符串长度。 假的输入字符串常常是可执行的命令,特权程序可以执行指令。 程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。 例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题。 只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。 四、用户的认证管理 1.身份认证 电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。 CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。 个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。 2.CA证书 要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。 CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。 建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。 验证个人证书是为了验证来访者的合法身份。 而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。 五、安全管理 为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。 对于所有接触系统的人员,按其职责设定其访问系统的最小权限。 按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。 建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。 定期检查日志,以便及时发现潜在的安全威胁
怎样才能作好网管呢?
不知道您要做网吧网管还是公司网管小公司和网吧的网管是一个很杂的职业说白了就是一个小杂工啥都管要想做好,就要有服务精神,学会调节自己的心情如果是做一个真正意义上的网管最需要具备的包括技术体系如下1、做网管,主要是维护服务器,终端,客户端和网络综合布线以及网络规划等等,也许刚刚开始觉得工作量很大,心情很烦,压力挺大,给别人的感觉就是工作浮躁,经过一段时间工作实践和生活的琢磨,可以感觉到主要的问题是自己没有学会调节自己,调节好自己的生活情趣,自然工作中的问题也会游刃而解,并且懂得了生活的美好。 2、做一名合格的网络管理员最需要掌握网络个合理规划,动态管理,静态监视,远程调试维护,包括网络的拓扑结构,网络协议的传输步骤,网络的流量控制,QoS,各种协议的配置与合理使用。 网络管理员本身就是技术性的岗位,所以技术必须第一。 至于什么技术最重要,那就要看各个单位的需求,简单的可能只要连通并能互访就行了。 复杂的网络可能就是几个人甚至更多人的事了,就有了分工与合作,各人维护与钻研的方向也不一样了。 一般中小型单位都不设网管,因为电脑少,不需要专门设岗,有问题外面找人去。 超过20台的单位可能就要设专门网管或兼职网管,象这样单位的网管就要求有IT各方面的知识,越广越好。 二:企业网管需要掌握的技能做网管几乎什么都要知道那么点点,不一定要精,当然你也要有自己的强项。 1.做系统是最基本的要求了,从98到2003,从unix到linux都要会玩,不一定都精(这个难度系统很高)2.能够维护PC硬件及打印机(从针式到喷墨在到激光),如果这部分做的不好,可能每天够你忙上半天的.3.会MAIL服务及客户端的配置及管理,主要有Exchange,Imail,Qmail,Sendmail等,现在的企业都有自己的MAIL,而且占的地位之高绝对不容忽视.4.对windows/*nix系统要知道常见的服务配置,最基本当然属DHCP(DHCPD),DNS(BIND),IIS(APACHE),FTP(WUFTPD/VSFTPD),AD(SAMBA),WINS等,如果连这些都不太懂的话,赶紧狠补一下.不然就不要去了.5.数据库至少要懂SQL SERVER跟MYSQL,如果会ORACLE/SYBASE/DB2/INFORMIX,那工资肯定会高10%的(呵呵有点夸张,要是这些都会,还不做DBA去了?).6.对交换机及路由器的简单设置及管理一定要的,不然只能去小企业了(主要是CISCO,华为3COM,北电,当然对TP-LINK,D-LINK的低端设备也要熟悉).7.熟悉综合布线技术(至少知道怎么做568A/568B吧),光纤技术也要略懂一二,如果你所应聘的是工厂的话,厂房跟厂房之间往往都会拉光纤.8.要知道如何规划网络,尽可能提高网络的稳定性(最重要),安全性及利用率等.9.会写脚本,不管用的是windows还是*nix,脚本往往会使你的工作效率事半功倍的(汇编/C等语言就更好了).10.要知道如何快速安全的备份与恢复数据.11.对代理防火墙杀毒等技术要熟悉,不然哪天你的网络全部瘫痪了还不知道咱回事技术也要尽快掌握,这是趋势,很多企业的部分网络都融入了它.13.对接入网技术要熟悉,至少要知道ADSL,ISDN,FTTX,FR,DDN是怎么回事.14.当然有些公司招管理员时要求你会ASP,PHOTOSHOP,DW等,他们主要是网站的日常维护.15.对整个网络模型及架构要有一个清晰的认识,至少要知道层,协议,接口,服务等知道吧,如果能够把TCP/IP协议这三卷书啃透,那你就可以开始牛了.16.对ERP系统有个清晰的认识.
求企业局域网管理方案 ~!!!!高手进
那也先说下机子数量和规模,网络带宽及配置要求等等才行吧…… 为了200分,稍微谈谈吧:)假设是200台机子吧,路由器和交换机之类硬件配置就不用说了吧 软件嘛,操作系统用WIN2003 server enterprise 企业版,推荐一并安装R2升级包,所有机器组局域网,用一台千兆网卡做域控,架设web、smtp、流媒体、打印机、文件等服务器,其他机做为域成员加入进来,内网IP各用各的,外网用端口映射到一个IP(当然,如果你的企业有钱那参照具体情况了,重要的服务器各用各的外网IP),用域控做网络流量负载平衡,域控机器配置要强,如果你网络流量大,建议用专业级服务器,至强+2Gb+SCSI硬盘之类,看你环境要求了,如果必要可以上双至强,再用一台512mb内存的p4 2.0G以上机做备份域控,这样主域控上下线或重启或出故障不影响域内成员正常工作,备份域控凑合就可以了,按我上面的要求就行,当然,有钱可以用好的 如果你安全性要求高,建议路由前端用普通P4+512Mb内存机器架ISA2004 server组防火墙,配置的好效果比一般的硬件防火墙要好,完全不影响网络环境运行,域内成员可以裸奔不怕毒和黑 至于域内成员机,如果仅全力供应片源或做做一般的平面设计,当前主流家用机型就够用了 服务器建议用hp 360G系列,目前价位不算高,性价比还不错,售后很好,如果你对建网不怎么了解,可以让他们帮你装,买他们的服务器就是要利用他们的人力资源嘛 路由器可以选用飞鱼星4200以上机型,电信网通双WAN口,是可以提供150~250台机器的大型网吧专用的,内置参数非常丰富,同样适合用于中小企业 至于网管软件,网络负载平衡靠ISA,DHCP/DNS/WEB/打印机/文件共享等靠IIS6.0,如果觉得不用杀毒软件不放心,上SAV3.0,至于成员机出问题需要求助什么的,直接用远程连接就可以,当然用pcAnywhere效果也一样,方便一点,至于说小工具之类的,推荐聚生网管,其他就没什么了,我很少用到第三方软件,微软产品足够对付了,另外科室或者部门内部上工作组也行,只是安全性低,不能做到用户之间的完全隔离,有悖网管职责:) Win2000完全不在考虑之内,如果牵涉到域控级别的更改,麻烦死了,2003非常强大了,看你水平啦,反正我不用任何杀毒软件,就一个ISA裸奔的,至今还没出现什么安全问题,IP安全机制筛选的强悍就行:) 另外再多罗嗦几句,板卡不要买七彩虹的,我上过当,七彩虹本身是咨讯公司,没有任何板卡生产能力,都是同德代工的,以为它的出货量大,就选了它,结果广告上的指标参数和实际产品根本不同,水份太多太多了,售后也很烂,特此建议…… 楼下别再抄袭我了,每天都被抄走好几个200分最佳,实在是郁闷!
发表评论