【賽迪網-IT技術報道】2007年,筆者一共寫了兩篇防火牆管理方面的評論,一篇是《中國計算機報》上《防火牆測評需規避六個誤區》,一篇是《計算機世界》上的《防火牆管理四大傻》。兩大IT傳媒,正好一家來了一篇。
6加上4,正好是10條。前6條教大家怎麼買牆,後4條教大家怎麼用牆。仔細想想,確實可以算是防火牆管理的10條警言了,整合起來,很值得防火牆管理者們參考。注意,管理者的範疇不僅是管理員,還有決策者。
重新列一下:
防火牆測評--買
第一條:不要誤信含糊實驗條件的驚人數字
親閱過無數防火牆產品廣告,一個個白紙黑字標稱的4G吞吐量讓人炫目,但如果把「64字節小包」、「線速」、「堅持幾分鐘」之類字眼拋出來,銷售人員就會對吞吐量自己先變的吞吞吐吐起來。所以不能輕信廠商提供的各項資料,必須拿標準實驗條件的測試結果來比對,或者重新搭建環境親自來測試。
第二條:不要喜歡數字,而不考慮可管理性
在測評中,用戶往往過多地關注性能數字,但對於實際的網絡安全管理來講,兩種產品間2%的差異、5%的差異就算10%的差異,真的能帶來本質的區別麼?一台防火牆配置界面操作是否方便?有否完備的日誌管理功能?本牆能否儲存日誌?有無月度CPU、記憶體統計功能?可否方便查詢已配策略……比起性能數字來,測評這些看似不切主題,但這種問題可是「誰用誰知道」!
第三條:不要關注花哨功能,卻不瞭解性能的隱憂
這年頭的防火牆,功能都是多多的,訪問控制、防病毒、入侵檢測/防禦、VPN,叫功能異構也好,叫統一威脅管理也好,像個雜貨鋪一樣。說這些功能「花哨」,是因為它們啟動起來,對硬體資源性能的吞噬能力超乎人的想像。所以,擬定測評方案時就輕易不要把這些列在功能項裡了吧?
第四條:不要不科學看待高性能硬體架構
硬體防火牆的性能高下離不開硬體架構種類。所謂高性能硬體架構,是對應於X86的傳統工控機架構而言的,常見的有NP、ASIC等。對於高性能硬體架構,我們既不能不關注,也不能迷信。但關注的同時,又不能過分推崇「NP」「ASIC」,因為,最強的不一定是最好的和最適合你的。
第五條:不要不結合自己網絡特點考慮,不結合自己的安全戰略考慮
脫離了用戶自身的網絡環境特點來測試防火牆是很不科學的,不基於自己安全戰略設計防火牆測試指標,更是背離了產品應用的初衷。網絡特點告訴用戶自己的網裡在跑什麼樣的包,構成成分、多大、什麼協議。安全戰略告訴用戶防火牆買了是為了做什麼,要怎麼部、怎麼配、怎麼管。我們要為了「部」、「配」、「管」而「選」而「測」。
第六條:不要不警惕測試中的作弊行為
產品銷售與購買屬於商業行為,商業就不得不提防欺騙,在測試中則是要警惕作弊行為。假設極個別廠商製作了專門用來測試的高性能「競爭測試版」產品唬人,假設極個別廠商在設備內作一些手腳(如用網線直接連通),那麼整個測試結果就會對其他誠信的廠商很不公平。
防火牆管理--用
第七條:不能對防火牆期望過高
防火牆,顧名思義,是旨在防範威脅之「火」的牆。不幸的是,這只是一廂情願,管理員在防火牆上合理合法地為Web服務開一個80端口,黑客就可以利用軟體漏洞來個SQL注入或者跨站攻擊。客觀地講,沒有防火牆是萬萬不能的,但有了防火牆不是萬能的。
而用戶們常常認識不到這點,要麼以為邊界上部署了防火牆就可以高枕無憂,要麼把安全責任一股腦推到網管或防火牆管理員頭上,要麼凡是想重點保護什麼信息資產就一定用防火牆把它罩起來……這樣過高期望防火牆功效,會讓整個信息系統疏於防範,建設投入不當,最終導致信息系統在高風險層面運轉--說它為「傻」並不為過。
科學的做法是,對防火牆保持正確清醒的認識,理解它是網絡層通信行為控制的有力武器,能為訪問控制提供強有力的支撐,但它在安全方面的作用也只限於此,安全世界裡有更多更重要的工作要留給其他安全技術實現,不要對防火牆有不切實際的期望。
第八條:不能對防火牆未以重任
把防火牆定位為「網絡層通信行為控制的有力武器」,有的讀者會說這種觀念太陳舊,認為現在應用層防火牆遍地都是,為什麼要忽視防火牆的應用層控制能力?這就正應了防火牆管理的第二傻,給防火牆分配了與其能力不相當的重任。
我們固然可以在防火牆上開啟反病毒、入侵檢測、抗DoS攻擊等諸多其實連廠家都不真心推薦的功能,但這樣的後果就是產品性能大受損耗,防火牆的CPU和記憶體在高風險位運轉,甚至幫助入侵者實現他們夢寐以求的「拒絕服務」。
這麼做確實很傻,有不少用戶寄希望於外國的名牆、好牆能實現一牆多能,或者寄希望於ASIC把防火牆變得多才多藝,或者寄希望於小企業小環境使用。殊不知--外國牆也一樣有性能損耗,老外反入侵也仰仗IPS;ASIC尚無法完全賦予防火牆這麼好的身手; 小企業首先未必有這麼豐富的安全需求,就算有,防火牆性能不足也一樣會殃及小企業。
科學的做法是,讓防火牆做好本職工作,盡量避免讓它兼職或做第二職業。
第九條:不能對防火牆濫用異構
異構是體現安全管理中冗余思想的一種好方法,會增加安全保障係數。但什麼事情都怕做過頭了,我們可以適當採用異構,但如果迷信異構,濫用異構,就會成為防火牆管理的第三傻--不管有無實際需要,用兩個品牌的防火牆串起來保護。
濫用異構經常會導致無用功。其實防火牆的訪問控制,可以被比喻成保安在門口查驗來客的身份證,不管設多少層崗,查的內容如果一樣就毫無意義。即使你用中外保安各一個,他們也都是在看阿拉伯數字,沒什麼區別(當然,如果某些用戶應國家法律或監管需要而進行中外防火牆異構,要另當別論)。濫用異構的另一個重大危害是帶來管理的複雜性,不同品牌防火牆的協同管理會很辛苦。
科學的做法是,慎重考慮防火牆異構問題,按需部署,不要過分推崇異構,以免走上濫用之路。
第十條:不能讓防火牆規則粗放
防火牆的看家本事是執行檢查工作。一項檢查工作是否有效,關鍵看檢查依據定得如何,而防火牆的檢查依據就是訪問控制規則。
防火牆的訪問控制規則有兩個要素,一是控制服務(通信端口);二是控制訪問源、目的地址(IP)。用戶一般都知道嚴格控制前者,但對後者有時就粗放管理。如果用戶使用了其他認證手段,在地址控制上粗放些倒無可厚非,否則就是第四傻。
其實網絡訪問控制中,控制地址的重要性大於控制服務。服務由系統提供,理論上講,系統安全做好了,關閉了不必要的端口併除去同一安全域內互訪的端口,剩下的端口或許都得對外開放,只是開放的源地址不同。這就凸顯了控制地址的重要性。
而且要控制地址,就需要控制到具體的IP。除非諸如80端口之類確實要對任何應用提供服務的端口,否則不要輕易開放網段。另外,開放C類段未必比B類段安全很多,就像原本是要篩沙子的密格濾網,你開小窟窿和開大窟窿有多少本質區別呢?
有人可能會說,如此詳細控制會讓規則激增,防火牆不堪重負。這個問題要靠改善網絡部署或採用其他認證手段為防火牆代勞,不能為了性能就不堅持訪問控制的安全性原則。
科學的做法是,防火牆要對地址嚴格細緻地控制,如果性能不濟,通過綜合規劃來解決,不能因為「將就」而留下安全隱患。
以上是筆者總結的防火牆管理中的幾個誤區,值得用戶和工程實施人員關注。雖然「傻」這個字顯得很絕對,但為了不被惡意入侵者事後同樣用這個字嘲笑我們,大家還是事前把自己看得傻一點好。
(