测试漏洞 记录日志
6. 建立并设置隔离区(DMZ)
隔离区是一个位于内部(公司)网络和互联网之间的小型网络。它可以防止外部用户直接访问公司计算机。在一个典型的设置中,DMZ会接收公司用户访问WEB站点和外部网络其它信息的请求。隔离区会对访问对信息的请求进行初始化并将数据包转到后端的请求机。一般来说公司都将其WEB服务器放置到隔离区,这样外部用户就可以访问其WEB站点,但却不能访问驻存于公司网络上的私有数据。
有两种类型的隔离区。第一种称为“三宿主”外部网络。在这种设置中,防火墙拥有三个连接,一个用于内部网络,一个用于互联网,另外一个用于隔离区。第二种类型的DMZ称为“背靠背”外围网络,它使用两个防火墙。一个防火墙拥有对互联网和隔离区的连接,而另外一个拥有对内部网络和隔离区的连接。在这种情况下,隔离区位于内部和外部网络之间。
在这种两种设置中,你需要配置防火墙来限制通信的进入和从网络发出的通信。
7. 配置NTP(网络时间协议)
NTP是一个协议名称,它是一个客户端/服务器程序,它允许你使网络上计算机时钟的时间保持同步。时间的同步对在一个网络上实施分布式进程和文件系统的更新是很重要的。在你依次发布程序时,即使计算机时间的一个很小的不同也可能引起破坏。NTP使用全球标准时间,可将时间同步达到毫秒级。
NTP对于保障你的防火墙日志记录事件的准确性是极其重要的。你可能需要通过检查通信日志来调查对网络的一次攻击,而计时或时间因素对于查明真相是至关重要的。
8. 将防火墙配置为一个入侵检测系统(IDS)
入侵检测系统有时以一个独立的设备销售,它可以检测对网络或计算机的攻击,不过我们可以将防火墙配置为一个入侵检测系统。其关键是密切地检查防火墙对端口扫描、黑客企图或任何其它的可疑事件的日志。要密切地关注离开隔离区的数据通信,因为由此我们可以看到一次破坏活动的最初征兆。
一旦你获得这种数据,就可以将其以图形的方式表示出来,你可以借此观察其发展趋势,以帮助你编写更为严格的规则。你还可以安装一个活动日志文件监视工具,它可以针对一些可疑的活动向你发出警告。
9. 测试漏洞
一旦你安装了防火墙并使其正常运行,你需要对它进行一些测试,查找一些已知的漏洞。为了彻底地进行,你应当对防火墙的每一个接口在所有的方向上进行测试.。你还可以用禁用的规则来测试它,借以查看如果防火墙失效,你的系统是否易于遭受攻击。
经常有新的漏洞被发现,因此你最好定期地或经常地检查和审核你的防火墙。
10. 记录
防火墙的日志记录了流经网络的信息,在你打算调查可疑的通信和攻击时,这种信息是极有价值的。在你想针对新的威胁编写规则时,日志也是至关重要的,因为这些日志允许你确认和跟踪新的通信模式。要确保启用防火墙上的日志功能,如果防火墙拥有警告特性,也可启用之。
如果你拥有多个防火墙,你可能对调查一个远程的系统日志服务器感兴趣。其好处是集中化的日志管理、为进行审核在访问日志时也更容易。远程服务器也使得恶意的黑手在调整或操纵日志时更加困难。
网友评论