企业及组织为确保内部网络及系统的安全,均纷纷建置不同层次的信息安全解决机制,而防火墙 (Firewall) 就是各企业及组织在建置资安控管解决方案当中最常被优先考量的安全控管机制。根据可靠的统计数据显示,几乎有 90% 甚至以上的企业组织均有建置防火墙。由于防火墙往往扮演的是为企业及组织网络安全把关的第一道防线,在考虑防火墙的安全管理时不可不慎。
防火墙发展至今,技术已相当成熟同时其概念亦为信息人员所了解。一般而言,所有进出企业的网络封包皆必须经过防火墙,由防火墙对于所有通过防火墙接口的封包提供基本的 permit/deny 动作。不过科技发展至今,虽然 Internet 所提供附加服务的增加(例如:Web、Audio、Video、VoIP 以及 Java/ActiveX),防火墙的角色并没有改变,只是防火墙的运作参数之复杂程度也相对提高。一般在讨论防火墙,也大都从防火墙的功能、特性及建置来作探讨,然而,除了这些技术层面的问题之外,在下列文章中,我们将从另一管理角度来看防火墙,当企业或组织大部分都已经建置了防火墙之后,接下来要如何更进一步做好管理工作,以强固防火墙整体的安全控管机能。
防火墙管理的重要性
在进入到防火墙的管理主题时,不妨先就防火墙的功能面,对防火墙运作功能及其限制作一简单陈述。
防火墙可以做什么?
- 防火墙可以集中控管所有通过与防火墙连接网络区段之网络交通 (network traffic)。
- 透过安全政策的制定,防火墙可以强制执行对于通过防火墙各网络区段交通 (traffic) 的安全政策。
- 防火墙提供纪录 (log) 网络交通 (network traffic) 信息的中央控制点。
防火墙无法做什么?
- 防火墙无法控管未通过这个防火墙的网络交通。
- 防火墙只能控管 TCP/IP 网络交通,例如:防火墙并不支持 SNA。
- 防火墙无法防止内部未经授权,恶意破坏的使用者。
事实上现今市面上恐怕没有任何一种防火墙系统厂商敢夸言,其产品可以提供百分之百的安全保障。新的网络威胁不断被发现,而防火墙系统的厂商亦需时时研制新的修正程序以解决问题。然而,对防火墙管理及维护的正确态度和定期的安全检核将有助于降低防火墙的安全风险。防火墙的管理者及其管理动作将直接影响防火墙安全程度的高低,过多防火墙管理者或不适当的管理行为都将引发防火墙浅在的威胁及暴露防火墙的弱点。而强化防火墙安全功能的做法,除了选择一个功能完整、适合企业及组织的防火墙产品之外,更重要的,是建置防火墙所需特别注意的安全问题以及防火墙建置完成之后的管理工作。
|
