安卓版下载

浅谈防火墙之运维管理

2016-11-26 11:27
网络安全和信息化 2016年6期
关键词:命令防火墙端口

引言:防火墙是最为典型的一款网络安全设备,好比一道大闸把外界和自家内部隔挡开。这么重要的安全设备如果部署使用不当,会增加运维工程师的工作难度,严重的会影响到业务的安全。本文主要介绍笔者在管理防火墙设备的经验,分享给大家希望在工作中能有所帮助。

防火墙作为经典的网络安全设备,从开始的单一功能的包过滤防火墙,发展到集多个功能模块全面应对应用层威胁的高性能下一代防火墙,这一演变都集中反映了防火墙的作用越来越重要。

防火墙是可以分为软件防火墙、硬件防火墙;硬件防火墙有传统的机架式产品,也有现在网络厂商主推的插卡式产品,把防火墙制作成一块业务板卡插在核心交换机或路由器上面。这方面在笔者看来插卡式的在高端应用领域极有取替机架式防火墙的趋势,因为在虚拟化应用这领域,插卡式的防火墙能实现虚拟N台防火墙的功能,能做到每一个业务的虚拟机群都能拥有一个独立的虚拟防火墙,这在云计算中心领域发挥着重要作用。

这里首先给大家分享一下管理机架式防火墙的经验,虚拟化防火墙在下篇再来跟大家分享。

图1 内部网络划分了四个区域

图2 网络拓扑

传统防火墙的部署都在网络的边界,很多人不太了解网络的边界,以为互联网跟单位内部网络就是网络边界。这种解释其实并不全对,通过防火墙把网络划分成多个逻辑区域,区域之间就是一个网络边界。举个例子我们在公司内部网络划分了四个区域,如图1所示。

网络区域的概念有点像我们平常所说的vlan,但是区域是多个网段的集合,也可以理解成多个vlan的集合。区域的使用需要绑定防火墙的接口,这包换了物理接口和二层的SVI接口。防火墙需要定义的四大基本元素包括区域、地址本、策略、服务端口,使用过程中我们做得最多的工作就是定义地址本,地址本是策略实施过程中最小的元素,需要指定源地址和目的地址。

细化边界区域,充分利用接口资源

曾经听前辈说过,防火墙不同于交换机它的端口是有限的宝贵资源,在利用的时候要多节约。这话确实有它时代背景的道理,但是发展至今普通的一款防火墙产品都有8个以上的端口。还是以传统的方式部署是否适当了?下面和大家一起分析一下,如图2所示。

首先交换机作为一个二层的网络设备,每一个区域分配了一个VLAN,网关配置设在防火墙上面。很明显的四个区域共享了防火墙的一个端口带宽,某一个区域的突发流量有可能导致网络拥塞。其次当出现内部攻击的网络行为防火墙并不好控制,因为端口捆绑了4个区域,若对物理端口进行操作影响面会很大。所以一般情况下建设大家每一个防火墙的接口捆绑在一个区域里面,这样实施既可以方便访问策略的下向,又能快速度的阻隔某一区域的攻击行为,充分的利用防火墙接口的带宽。

细化访问控制策略,禁止使用 any to any;

这一部分的原则是尽量细化,我们都知道防火墙的策略需要定义的是源地址、目的地址。能够使用单个IP地址集解决的策略就不要用IP网段,能够少开放一些服务端口的就尽可能少开放。最后是禁止使用源地址any到目的地址any这样的策略,因为这会使防火墙存在较大的安全风险。

统一定义对像,增强策略的可读性

首先维护防火墙的运维工作的往往不止一名工程师,定义防火墙属性元素时候存在很大个性化的情况。比如:一台FTP服务器的IP地址是192.168.100.25,甲工程师根据自己的个人喜好标识地址对像时是这样写,名称FTP-server,IP-192.168.100.25;

同样情况乙工程师会写成,名称服务器-FTP,IP-192.168.100.25;

有些工程师用汉字,有些用拼音,又有些用英文,用英文的可能是写全称可能写简称。

看似很简单的标识元素,存在太多的个性化会影响到防火墙策略的阅读。试想一下这么庞大的访问策略要一条条的读懂,不用统一的标识注明是很难的。实现统一的定义对像方法,至少能减少阅读策略所用的时间,看上去也是整齐规范。同时也有利于工作的交接,某某工程师的调职或者是离职,新接手的人也能根据这些定义好的方法快速上手管理维护防火墙策略。

结合命令配置,减少对图形界面配置的依赖;

很多朋友接触防火墙都是使用它的图形化界面进行配置,久而久之却忘记了防火墙强大的配置命令管理功能。防火墙这类型的产品刚出厂默认配置是没有开放ssh、telnet、ntp等服务的。我们都习惯使用图形化界面配置防火墙,这很大程度上是因为操作的直观性,使用鼠标点击菜单栏一步一步就能实现策略,为什么还要去掌握那些繁琐的命令了?

简单来说我们所习惯的图形化界面,是属于防火墙的一个叫GUI的服务(图形用户接口)。这个服务当然也会占用防火墙的CPU、内存资源,极端情况下由于防火墙遭遇到攻击CPU、内存资源被消耗得差不多了。这种情况下你打开图形管理界面快,还是打开命令界面快了?我可以回答你系统资源不够图形管理服务已经停止工作了,根本无法打开。综上所述命令配置的基本功能我们还是要学会的,特别是常用的几个配置命令,在最危急的时候能拯救防火墙的就是有命令管理配置了。

猜你喜欢
命令防火墙端口
只听主人的命令
娃娃乐园·综合智能(2022年3期)2022-04-19
一种端口故障的解决方案
科学家(2021年24期)2021-04-25
构建防控金融风险“防火墙”
当代陕西(2019年15期)2019-09-02
交换机生成树安全
网络安全和信息化(2018年2期)2018-11-09
移防命令下达后
军营文化天地(2018年2期)2018-04-20
端口阻塞与优先级
网络安全和信息化(2017年6期)2017-11-23
这是人民的命令
中国老区建设(2016年9期)2016-02-28
在舌尖上筑牢抵御“僵尸肉”的防火墙
IT时代周刊(2015年7期)2015-11-11
卫星三端口DC-DC变换器技术综述
航天器工程(2014年5期)2014-03-11
下一代防火墙要做的十件事
自动化博览(2014年6期)2014-02-28

网络安全和信息化2016年6期

网络安全和信息化的其它文章
活用Windows系统辅助工具
安全管理工具
文档与磁盘工具
SDN:定义、优势和误解
利用IP访问控制流量
网络诊断工具
杂志排行

  1. 1《工程建设与设计》2024年6期

  2. 2《安徽建筑》2024年2期

  3. 3《人生与伴侣·共同关注》2024年2期

  4. 4《花卉》2024年6期

  5. 5《天津教育》2024年3期

  6. 6《现代经济信息》2024年5期

  7. 7《世界热带农业信息》2024年3期

  8. 8《家庭医学》2024年2期

  9. 9《学周刊》2024年10期

  10. 10《中国中医药现代远程教育》2024年8期

关于参考网