提醒你升級防火墻的7大注意事項

http://www.yibo1263.com　2010/1/22 9:04:40 　來源:東北IT網(wǎng) 　編輯:葉子

　　和路由器，交換機等網(wǎng)絡設備相比，硬件防火墻并沒有什么不同。它們同樣具有不長的生命周期，過不了幾年就要更新?lián)Q代。但是和其它設備相比，更換防火墻做的好的話是挺麻煩的一件事，做不好還會給網(wǎng)絡帶來安全隱患。

　　對于中小企業(yè)來說，管理防火墻時網(wǎng)絡管理員或系統(tǒng)管理員所承擔的眾多職責中的一項。因此，作為一個IT技術人員，至少也要知道防火墻的內部結構。一般來說，對防火墻的操作都是間歇性的，比如企業(yè)網(wǎng)絡上添加了新的應用程序，或者添加了新的服務器，才需要對防火墻進行適當配置。對于日常工作來說，這種偶爾的工作不會有什么問題，但是對于一些更復雜深入的工作，比如將一個廠商的防火墻更換為另一個廠商的產品，或者從低端產品升級到高端產品，這個過程對于IT技術人員來說會有更多的要求。

　　升級防火墻所涉及到的問題包括很多，有的問題比較簡單直接，有些則很復雜，但不論怎樣，該考慮的方面非常多。

　　比如 Cisco ASA 5505 的操作手冊有114頁。這種情況不止是Cisco產品獨有的， Welch-Abernathy的長達 656頁的Essential Checkpoint Firewall (2004) 手冊被Amazon 的評測人員評為“最適合新手學習”的手冊。

　　近日我采訪了Rich Gallo ，作為一家小型技術企業(yè)的系統(tǒng)管理員，他剛剛升級了公司一臺防火墻。在采訪中，他提供了一個很長的升級防火注意事項列表。粗略來看分為七大類，如下圖所示。

請?zhí)砑用枋?src="/Files/BeyondPic/2010-1/22/1264050874181.jpg"

請?zhí)砑用枋?src="/Files/BeyondPic/2010-1/22/1264050874181.jpg"

　　Gallo在工作中遇到的主要問題包括處理之前由ISP Verizon設置的未使用過的外部Ip地址，以及與遠程辦公室子網(wǎng)進行協(xié)調。兩個技術人員協(xié)同工作無疑可以極大的降低防火墻手工遷移過程中出錯的概率。

　　防火墻升級的同時，也是路由器線纜重排，交換機移動位置，調整帶寬分配或重新整理機柜的好時機。

　　好的測試是必要的一個環(huán)境，而測試不僅包括連接性的測試，還包括應用程序的測試。比如，面向公眾的網(wǎng)絡應用就必須從內網(wǎng)和外網(wǎng)兩個環(huán)境進行測試，必要時還要使用特殊測試工具或軟件。還應該審慎的檢查故障應急計劃以及恢復計劃，以防萬一。

　　VPN是一個特殊的情況，可能會影響到防火墻規(guī)則設置。在Gallo的公司，有站點到站點的VPN連接需要格外注意。另外，在設定VPN時，還要注意特定客戶的問題，因為要同時支持x32 和x64 位系統(tǒng)， Mac系統(tǒng), Windows和 Linux系統(tǒng)平臺的客戶，以及其它各種環(huán)境下的用戶。比如在設置過程中發(fā)現(xiàn)一個 Snow Leopard系統(tǒng)無法進行正確的VPN連接。管理員通過收集各方面信息以及DNS記錄，最終解決了問題。

　　防火墻規(guī)則是防火墻的核心能力的體現(xiàn)，但是新舊防火墻可能在規(guī)則設置上存在很大的差別。此時正好可以將這些差別通過文檔形式記錄下來，刪除無用的規(guī)則，并通過程序管理器運行新規(guī)則。防火墻規(guī)則應該同時采用機器可讀的防火墻特定格式，以及明文可閱讀格式書寫。

　　新的防火墻會影響到日志以及警告進程。因此應該計劃升級警告和日志閱讀程序，以便能夠對新的警告做出響應，并能讓安全分析程序以及其它類似的程序正常工作。

　　在升級防火墻時，有很多工作要做。有可能出現(xiàn)防火墻許可證支持DMZ問題，處理電子郵件服務器的特殊問題，或者為了支持遠端辦公室而設置額外邏輯規(guī)則等。而這個列表基本上能夠模擬你在面對防火墻升級時所考慮的問題以及問題的順序。

【收藏】【打印】【進入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费