当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 升级防火墙的7类注意事项

安全基础
网络协议分析软件的编写
一个SYN攻击的源程序
彻底清查带毒的Cookie
解析cookie欺骗实现过程及具体应用
从芯认识 浅谈宽带路由器处理芯片
搜索引擎也另类 想搜啥就搜啥
命令提示符恢复本地安全策略小技巧
根据PID查杀木马病毒的适用小方法
网络管理员日志之硬件修理篇
著名黑客Kevin Mitnick谈网络安全
Windows XP 常见的进程列表
网络攻击概览
爱机中毒自救六招
引起网络广播风暴的几种原因
黑客入侵36计
局域网测试及故障排除经验谈
不可忽视的BIOS参数设置
微软IE浏览器非常规修改全攻略(上)
微软IE浏览器非常规修改全攻略(下)
网管十招

安全基础 中的 升级防火墙的7类注意事项


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2010-01-30   浏览: 99 ::
收藏到网摘: n/a

  和路由器,交换机等网络设备相比,硬件防火墙并没有什么不同。它们同样具有不长的生命周期,过不了几年就要更新换代。但是和其它设备相比,更换防火墙做的好的话是挺麻烦的一件事,做不好还会给网络带来安全隐患。

  对于中小企业来说,管理防火墙时网络管理员或系统管理员所承担的众多职责中的一项。因此,作为一个IT技术人员,至少也要知道防火墙的内部结构。一般来说,对防火墙的操作都是间歇性的,比如企业网络上添加了新的应用程序,或者添加了新的服务器,才需要对防火墙进行适当配置。对于日常工作来说,这种偶尔的工作不会有什么问题,但是对于一些更复杂深入的工作,比如将一个厂商的防火墙更换为另一个厂商的产品,或者从低端产品升级到高端产品,这个过程对于IT技术人员来说会有更多的要求。

  升级防火墙所涉及到的问题包括很多,有的问题比较简单直接,有些则很复杂,但不论怎样,该考虑的方面非常多。

  比如 Cisco ASA 5505 的操作手册有114页。这种情况不止是Cisco产品独有的, Welch-Abernathy的长达 656页的Essential Checkpoint Firewall (2004) 手册被Amazon 的评测人员评为“最适合新手学习”的手册。

  近日我采访了Rich Gallo ,作为一家小型技术企业的系统管理员,他刚刚升级了公司一台防火墙。在采访中,他提供了一个很长的升级防火注意事项列表。粗略来看分为七大类,如下图所示。

  
技巧放送:重置防火墙的七个要诀


  Gallo在工作中遇到的主要问题包括处理之前由ISP Verizon设置的未使用过的外部Ip地址,以及与远程办公室子网进行协调。两个技术人员协同工作无疑可以极大的降低防火墙手工迁移过程中出错的概率。

  防火墙升级的同时,也是路由器线缆重排,交换机移动位置,调整带宽分配或重新整理机柜的好时机。

  好的测试是必要的一个环境,而测试不仅包括连接性的测试,还包括应用程序的测试。比如,面向公众的网络应用就必须从内网和外网两个环境进行测试,必要时还要使用特殊测试工具或软件。还应该审慎的检查故障应急计划以及恢复计划,以防万一。

  VPN是一个特殊的情况,可能会影响到防火墙规则设置。在Gallo的公司,有站点到站点的VPN连接需要格外注意。另外,在设定VPN时,还要注意特定客户的问题,因为要同时支持x32 和x64 位系统, Mac系统, Windows和 Linux系统平台的客户,以及其它各种环境下的用户。比如在设置过程中发现一个 Snow Leopard系统无法进行正确的VPN连接。管理员通过收集各方面信息以及DNS记录,最终解决了问题。

  防火墙规则是防火墙的核心能力的体现,但是新旧防火墙可能在规则设置上存在很大的差别。此时正好可以将这些差别通过文档形式记录下来,删除无用的规则,并通过程序管理器运行新规则。防火墙规则应该同时采用机器可读的防火墙特定格式,以及明文可阅读格式书写。

  新的防火墙会影响到日志以及警告进程。因此应该计划升级警告和日志阅读程序,以便能够对新的警告做出响应,并能让安全分析程序以及其它类似的程序正常工作。

  在升级防火墙时,有很多工作要做。有可能出现防火墙许可证支持DMZ问题,处理电子邮件服务器的特殊问题,或者为了支持远端办公室而设置额外逻辑规则等。而这个列表基本上能够模拟你在面对防火墙升级时所考虑的问题以及问题的顺序。