企業(yè)防火墻安全管理不容忽視

我們每個人在職業(yè)生涯中都犯過錯誤。這里所說的錯誤，是那種會使你馬上丟掉工作的錯誤。舉例來說，曾經(jīng)有過一個學校的網(wǎng)絡管理員犯過這樣的錯誤，直接導致了校園里的所有路由器同時重啟，而不是一個接一個。這個管理員本來是寫了個腳本，對路由器進行安全升級，計劃中是打算一個一個的升級并重啟的，但是結(jié)果卻是同時重啟了。他經(jīng)過重新檢查腳本，才發(fā)現(xiàn)錯誤出在沒有等待路由器重啟，就直接命令下一個路由器進行升級。

像出現(xiàn)這種情況幾乎肯定要被學校開除了，但很幸運，學校并沒有這樣做。不過，對于任何涉及到一場大災難的人來說，都應該從災難中學到些什么。我們都學過一些危機管理的知識，在網(wǎng)絡重新恢復后，我們有必要花上幾個小時來學習該如何檢查網(wǎng)絡是否工作正常。

所幸是大多數(shù)時候，大家所面對的錯誤并不是那么嚴峻。而不幸的是我們犯的錯誤不見得馬上會被發(fā)現(xiàn)，這意味著這個錯誤可能潛伏數(shù)周，數(shù)月，甚至數(shù)年時間，直到有一天造成嚴重的后果，或者監(jiān)管部門發(fā)現(xiàn)問題后把我們叫去盤問。在網(wǎng)絡安全陣地的前沿，防火墻管理是一個很重要的區(qū)域，任何簡單的錯誤規(guī)則或配置，都可能給我們帶來無盡的后患。下面就讓我們大家一起來了解一些最常見的錯誤：

建立毫無意義的防火墻組

一個防火墻管理員可能在超過半數(shù)的規(guī)則中都包含有一個特定的網(wǎng)絡對象。我們假定這個對象名字叫“Joe_Montana”。每次當這個對象需要訪問網(wǎng)絡時，管理員就為這個對象添加一個IP地址，而這個地址是很多許可規(guī)則里列出的被許可的地址。這看上去沒什么問題，因為沒有任何一個規(guī)則里包含了ANY范圍，但實際上這是個大漏洞。它使得防火墻規(guī)則變得毫無意義，而徹底梳理防火墻規(guī)則庫來解決這個問題，可能需要耗時幾個月的時間。

從不升級防火墻軟件

很多公司的防火墻設備所采用的軟件都是過時的。在問到為什么會出現(xiàn)這種情況時，大部分企業(yè)的防火墻管理員都會說是為了保證防火墻的穩(wěn)定，或者不允許防火墻因為升級而出現(xiàn)暫時關(guān)閉現(xiàn)象。而實際上，防火墻產(chǎn)品廠商決定升級防火墻軟件都是有一定原因的。即使企業(yè)不一定必須更新到最新版的軟件，但如果還是運行著五六年前的舊版軟件，或者是距離最新版本老15-20個版本舊軟件，那么就應該考慮立刻開始升級了。

使用錯誤的技術(shù)

之前，有個網(wǎng)絡安全管理員與監(jiān)管人員發(fā)生了爭執(zhí)，因為該管理員在公司的安全web服務器前端放置了一個防火墻，作為第二層防護屏障。按照他的想法，這就構(gòu)成了一個雙重驗證機制：一個用戶密碼加一個防火墻。可以說這個管理員在創(chuàng)新性上可以得滿分，但是防火墻本身并不算是一個雙重驗證的解決方案。雙重驗證需要你的用戶擁有兩件可驗證對象，即所知的和所擁有的兩個對象。比如知道密碼，并擁有令牌。

偶然停電

曾經(jīng)發(fā)生過這樣一件事，有個防火墻管理員為某個項目而在防火墻服務器上進行數(shù)據(jù)收集。這個管理員在調(diào)整網(wǎng)線的時候不小心碰了幾下鼠標，這時候鼠標指針正好在“開始”的位置，然后，鬼使神差的鼠標指針又指到了屏幕中央彈出來的關(guān)機確認窗口，并且點到了中間的關(guān)機按鈕。于是這個財務公司的防火墻就在這種情況下突然關(guān)閉了。

不良的文檔

大家肯定經(jīng)常聽說防火墻管理員抱怨無法理解全部的防火墻規(guī)則。如果管理員在建立防火墻規(guī)則時圖省事，沒有進行詳細的文檔說明，看似節(jié)省下來的時間和精力，以后必然會花費到去理解這些規(guī)則上。因此肯定有人聽過這樣的話“恐怕我們要重新修改防火墻設置了，以前的管理員設置的那些防火墻規(guī)則沒有注釋，所以我們很難搞清楚它們的作用?！?/p>

過度使用丟棄Drop規(guī)則

一般來說，如果時間比較緊迫，我們都會建立一些屬于過度訪問的規(guī)則，然后再在這些規(guī)則的基礎上，建立丟棄規(guī)則，將不允許的數(shù)據(jù)連接丟棄。之所以這樣，是因為我們很多管理員都不愿意去設置一個精確的防火墻規(guī)則。比如：“allow AllDMZdevicestoAllInter

naldevicesACCEPT”，然后在這個規(guī)則之上再建立一個“AllDMZdevicestoSecureNetworkdeviceDROP”。 這 兩個規(guī)則看上去沒什么問題，但是實際上卻包含了很多的后患，原因是我們沒有在第一條規(guī)則中表現(xiàn)出建立該規(guī)則的目的。如果長此以往的話，我們的防火墻規(guī)則庫就會出現(xiàn)很多“成對兒”的規(guī)則，而在記錄規(guī)則日志或修改規(guī)則時，也很容易出現(xiàn)更多的風險，或者會導致必要的數(shù)據(jù)被攔截。最終，我們就不得不重新改寫整個防火墻規(guī)則庫中的全部規(guī)則。

使用路由作為安全策略

大家平時會遇到過很多類似的情況，當防火墻規(guī)則庫需要修改時，路由規(guī)則也要跟著修改。當然，如果涉及到新的網(wǎng)絡，那么這種現(xiàn)象是可以理解的。一般導致這種情況的錯誤有兩種。首先，防火墻沒有默認路由。所有路由都是手工輸入防火墻的，同時如果防火墻沒有策略，會使用最小子網(wǎng)掩碼，防止數(shù)據(jù)流向無關(guān)設備。這聽起來很不錯，但卻是完全沒必要的，因為如果從現(xiàn)代的防火墻上刪除策略，防火墻會恢復為DENYANY。這個設計會因此變得難以管理，最終使整個IT團隊都不敢去修改防火墻設置了。如果每個改變都需要工程師檢查路由設置，那么會導致耗費過多的時間，影響企業(yè)正常業(yè)務的運轉(zhuǎn)，這對企業(yè)來說很不值得。

第二種情況最常出現(xiàn)在Cisco設備中，管理員通過訪問控制列表管理兩個源或目標均為ANY的接口。實際上這個規(guī)則里的ANY并不是所有地址，而是指端口后的所有地址。只有在知道路由表與防火墻關(guān)聯(lián)的前提下，管理員才可能理解防火墻規(guī)則庫中的規(guī)則，這對于管理員來說太復雜了。

在規(guī)則中使用DNS對象

作為一個選項，很多防火墻都會嵌入一個源地址或目的地址作為DNS對象，如百度。這么做看似錯，因為百度使用了相當多的IP地址，就算百度改變了IP地址，防火墻也會放行百度的數(shù)據(jù)流。但是這種做法會導致相當嚴重的安全隱患，相信任何企業(yè)都無法接受。首先，這么做會使你的防火墻更容易遭受DoS攻擊。如果連baidu.com都無法解析會怎么樣呢?其次，你的防火墻會浪費CPU，內(nèi)存以及網(wǎng)絡IO來判斷每一個數(shù)據(jù)包是否屬于baidu.com這個域名。第三，如果你設置的DNS被黑客攻擊，包含有惡意地址的命令和控制數(shù)據(jù)中帶有baidu.com的地址，會怎么樣呢?在這種情況下，你的防火墻會允許僵尸網(wǎng)絡發(fā)送的命令和控制數(shù)據(jù)，并作為google.com記錄在防火墻日志中。

危急時刻所作的改動

可以想象一下，如果服務器上的RAID陣列壞了，一塊硬盤報廢。你換了一塊硬盤，在重建RAID的過程中，服務器無法提供正常的服務，但是你沒有意識到這個問題。此時，你的客戶已經(jīng)被拒絕服務長達40小時了，每一分鐘你都在遭受損失。而且不斷有客戶放棄你的服務，卻選擇了競爭對手。

當情況陷入危急時，我們往往會開始改變各種設備的配置：交換機，路由器，負載平衡服務器和防火墻，任何你懷疑導致服務不正常的環(huán)節(jié)都被調(diào)整了一翻?？赡苡诌^了很長一段時間后，團隊中終于有人發(fā)現(xiàn)了問題所在。因此你又需要把所有一改過的配置從新恢復回來，但問題是沒有人會記得之前的配置，原因是之前的情況太過緊張，導致沒人去做修改配置的文檔。最終的結(jié)果是，你不得不再花上3天時間將各個設備的配置調(diào)試到以前的狀態(tài)。

相信所有的企業(yè)都不希望以上這種情況發(fā)生。但是事實證明這種情況卻時有發(fā)生。即使那些運轉(zhuǎn)最好的企業(yè)也會出現(xiàn)類似問題，尤其是在防火墻配置上。不過通過自動化恢復機制，這些依靠經(jīng)驗很難實現(xiàn)的工作變得越來越容易實現(xiàn)了。而要想知道你的企業(yè)是否具有這種針對網(wǎng)絡安全設置或其它安全設置的自動恢復功能，就要看企業(yè)是否對投資回報率進行過明確且詳細的量化設計。畢竟，如果對于安全投入沒有明確的投資回報量化統(tǒng)計，誰能相信這個企業(yè)在安全性上是值得信賴的呢?