當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

提醒你升級(jí)防火墻的7大注意事項(xiàng)

http://www.yibo1263.com　2010/1/22 9:04:40 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　和路由器，交換機(jī)等網(wǎng)絡(luò)設(shè)備相比，硬件防火墻并沒(méi)有什么不同。它們同樣具有不長(zhǎng)的生命周期，過(guò)不了幾年就要更新?lián)Q代。但是和其它設(shè)備相比，更換防火墻做的好的話是挺麻煩的一件事，做不好還會(huì)給網(wǎng)絡(luò)帶來(lái)安全隱患。

　　對(duì)于中小企業(yè)來(lái)說(shuō)，管理防火墻時(shí)網(wǎng)絡(luò)管理員或系統(tǒng)管理員所承擔(dān)的眾多職責(zé)中的一項(xiàng)。因此，作為一個(gè)IT技術(shù)人員，至少也要知道防火墻的內(nèi)部結(jié)構(gòu)。一般來(lái)說(shuō)，對(duì)防火墻的操作都是間歇性的，比如企業(yè)網(wǎng)絡(luò)上添加了新的應(yīng)用程序，或者添加了新的服務(wù)器，才需要對(duì)防火墻進(jìn)行適當(dāng)配置。對(duì)于日常工作來(lái)說(shuō)，這種偶爾的工作不會(huì)有什么問(wèn)題，但是對(duì)于一些更復(fù)雜深入的工作，比如將一個(gè)廠商的防火墻更換為另一個(gè)廠商的產(chǎn)品，或者從低端產(chǎn)品升級(jí)到高端產(chǎn)品，這個(gè)過(guò)程對(duì)于IT技術(shù)人員來(lái)說(shuō)會(huì)有更多的要求。

　　升級(jí)防火墻所涉及到的問(wèn)題包括很多，有的問(wèn)題比較簡(jiǎn)單直接，有些則很復(fù)雜，但不論怎樣，該考慮的方面非常多。

　　比如 Cisco ASA 5505 的操作手冊(cè)有114頁(yè)。這種情況不止是Cisco產(chǎn)品獨(dú)有的， Welch-Abernathy的長(zhǎng)達(dá) 656頁(yè)的Essential Checkpoint Firewall (2004) 手冊(cè)被Amazon 的評(píng)測(cè)人員評(píng)為“最適合新手學(xué)習(xí)”的手冊(cè)。

　　近日我采訪了Rich Gallo ，作為一家小型技術(shù)企業(yè)的系統(tǒng)管理員，他剛剛升級(jí)了公司一臺(tái)防火墻。在采訪中，他提供了一個(gè)很長(zhǎng)的升級(jí)防火注意事項(xiàng)列表。粗略來(lái)看分為七大類，如下圖所示。

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2010-1/22/1264050874181.jpg"

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2010-1/22/1264050874181.jpg"

　　Gallo在工作中遇到的主要問(wèn)題包括處理之前由ISP Verizon設(shè)置的未使用過(guò)的外部Ip地址，以及與遠(yuǎn)程辦公室子網(wǎng)進(jìn)行協(xié)調(diào)。兩個(gè)技術(shù)人員協(xié)同工作無(wú)疑可以極大的降低防火墻手工遷移過(guò)程中出錯(cuò)的概率。

　　防火墻升級(jí)的同時(shí)，也是路由器線纜重排，交換機(jī)移動(dòng)位置，調(diào)整帶寬分配或重新整理機(jī)柜的好時(shí)機(jī)。

　　好的測(cè)試是必要的一個(gè)環(huán)境，而測(cè)試不僅包括連接性的測(cè)試，還包括應(yīng)用程序的測(cè)試。比如，面向公眾的網(wǎng)絡(luò)應(yīng)用就必須從內(nèi)網(wǎng)和外網(wǎng)兩個(gè)環(huán)境進(jìn)行測(cè)試，必要時(shí)還要使用特殊測(cè)試工具或軟件。還應(yīng)該審慎的檢查故障應(yīng)急計(jì)劃以及恢復(fù)計(jì)劃，以防萬(wàn)一。

　　VPN是一個(gè)特殊的情況，可能會(huì)影響到防火墻規(guī)則設(shè)置。在Gallo的公司，有站點(diǎn)到站點(diǎn)的VPN連接需要格外注意。另外，在設(shè)定VPN時(shí)，還要注意特定客戶的問(wèn)題，因?yàn)橐瑫r(shí)支持x32 和x64 位系統(tǒng)， Mac系統(tǒng), Windows和 Linux系統(tǒng)平臺(tái)的客戶，以及其它各種環(huán)境下的用戶。比如在設(shè)置過(guò)程中發(fā)現(xiàn)一個(gè) Snow Leopard系統(tǒng)無(wú)法進(jìn)行正確的VPN連接。管理員通過(guò)收集各方面信息以及DNS記錄，最終解決了問(wèn)題。

　　防火墻規(guī)則是防火墻的核心能力的體現(xiàn)，但是新舊防火墻可能在規(guī)則設(shè)置上存在很大的差別。此時(shí)正好可以將這些差別通過(guò)文檔形式記錄下來(lái)，刪除無(wú)用的規(guī)則，并通過(guò)程序管理器運(yùn)行新規(guī)則。防火墻規(guī)則應(yīng)該同時(shí)采用機(jī)器可讀的防火墻特定格式，以及明文可閱讀格式書寫。

　　新的防火墻會(huì)影響到日志以及警告進(jìn)程。因此應(yīng)該計(jì)劃升級(jí)警告和日志閱讀程序，以便能夠?qū)π碌木孀龀鲰憫?yīng)，并能讓安全分析程序以及其它類似的程序正常工作。

　　在升級(jí)防火墻時(shí)，有很多工作要做。有可能出現(xiàn)防火墻許可證支持DMZ問(wèn)題，處理電子郵件服務(wù)器的特殊問(wèn)題，或者為了支持遠(yuǎn)端辦公室而設(shè)置額外邏輯規(guī)則等。而這個(gè)列表基本上能夠模擬你在面對(duì)防火墻升級(jí)時(shí)所考慮的問(wèn)題以及問(wèn)題的順序。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·邊界路由器加防火墻保證企業(yè)安全

·選擇硬件防火墻注意緊抓四要素

·思科防火墻PIX ASA精華配置總結(jié)

·路由器與防火墻安全性大對(duì)比

·企業(yè)選購(gòu)指南：國(guó)內(nèi)防火墻大比拼

·網(wǎng)絡(luò)防火墻選購(gòu)十要素

·強(qiáng)悍注冊(cè)表防火墻練就百毒不侵之軀

·穿越防火墻讓遠(yuǎn)程桌面自由連接

·排除代理防火墻連接故障的技巧

·防火墻基于策略路由的配置技巧

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费