 |
|
 |
| 您现在的位置: 先创网 >> 工具软件 >> 应用集锦 >> 文章正文 |
|
|
| 十条戒律认清防火墙评测与管理 |
| 赛迪网 |
| 2008-4-4 8:27:00文/王一飞 |
|
|
|
|
|
第五条:不要不结合自己网络特点考虑,不结合自己的安全战略考虑
脱离了用户自身的网络环境特点来测试防火墙是很不科学的,不基于自己安全战略设计防火墙测试指标,更是背离了产品应用的初衷。网络特点告诉用户自己的网里在跑什么样的包,构成成分、多大、什么协议。安全战略告诉用户防火墙买了是为了做什么,要怎么部、怎么配、怎么管。我们要为了“部”、“配”、“管”而“选”而“测”。
第六条:不要不警惕测试中的作弊行为
产品销售与购买属于商业行为,商业就不得不提防欺骗,在测试中则是要警惕作弊行为。假设极个别厂商制作了专门用来测试的高性能“竞争测试版”产品唬人,假设极个别厂商在设备内作一些手脚(如用网线直接连通),那么整个测试结果就会对其他诚信的厂商很不公平。
防火墙管理——用
第七条:不能对防火墙期望过高
防火墙,顾名思义,是旨在防范威胁之“火”的墙。不幸的是,这只是一厢情愿,管理员在防火墙上合理合法地为Web服务开一个80端口,黑客就可以利用软件漏洞来个SQL注入或者跨站攻击。客观地讲,没有防火墙是万万不能的,但有了防火墙不是万能的。
而用户们常常认识不到这点,要么以为边界上部署了防火墙就可以高枕无忧,要么把安全责任一股脑推到网管或防火墙管理员头上,要么凡是想重点保护什么信息资产就一定用防火墙把它罩起来……这样过高期望防火墙功效,会让整个信息系统疏于防范,建设投入不当,最终导致信息系统在高风险层面运转——说它为“傻”并不为过。
科学的做法是,对防火墙保持正确清醒的认识,理解它是网络层通信行为控制的有力武器,能为访问控制提供强有力的支撑,但它在安全方面的作用也只限于此,安全世界里有更多更重要的工作要留给其他安全技术实现,不要对防火墙有不切实际的期望。
第八条:不能对防火墙未以重任
把防火墙定位为“网络层通信行为控制的有力武器”,有的读者会说这种观念太陈旧,认为现在应用层防火墙遍地都是,为什么要忽视防火墙的应用层控制能力?这就正应了防火墙管理的第二傻,给防火墙分配了与其能力不相当的重任。
我们固然可以在防火墙上开启反病毒、入侵检测、抗DoS攻击等诸多其实连厂家都不真心推荐的功能,但这样的后果就是产品性能大受损耗,防火墙的CPU和内存在高风险位运转,甚至帮助入侵者实现他们梦寐以求的“拒绝服务”。
这么做确实很傻,有不少用户寄希望于外国的名墙、好墙能实现一墙多能,或者寄希望于ASIC把防火墙变得多才多艺,或者寄希望于小企业小环境使用。殊不知——外国墙也一样有性能损耗,老外反入侵也仰仗IPS;ASIC尚无法完全赋予防火墙这么好的身手; 小企业首先未必有这么丰富的安全需求,就算有,防火墙性能不足也一样会殃及小企业。
科学的做法是,让防火墙做好本职工作,尽量避免让它兼职或做第二职业。
上一页 [1] [2] [3] 下一页 |
|
|
|
|
|
|
 |
|
 |
|
|
|
相关文章 
