如何減少防火牆上的人為錯誤?
以下純粹是經驗之談。
首先,究竟網絡防火牆上有什麼人為錯誤 ?
– 有些時候,管理員需要臨時修改防火牆上的規則,例如暫時容許第 3 方用戶 (如承辦商) 遠端進入網絡,開啟連接埠 (例如 port 21 ftp, port 22 ssh, port 3306 mysql, port 3389 remote desktop, port 5900 VNCserver)。但是,當工序完成後,有機會沒有還原設定。
– 程式修改、或某些更新後,偶然影響防火牆的設定/模組 (如 iptables 裡的 ipset)
我們很難完成杜絶未知的錯誤,但是我們可以考慮做一些反向測試 (counter-test),可以在第三方網絡每日定時進行 port scanning 檢測公司網絡有什麼對外變化,如有變化,電郵通知。從而減少不尋常網絡對外開放的風險。
著名的 port scanning 軟件如 nmap
syntax, nmap , screen capture…
對於有 DPI (deep packet inspection) 的防火牆,如有 Snort NIDS,我們可以考慮建立自訂規則,例如從某指定的 IP x.x.x.x 來的網站請求,均欄截它。
同樣地,在第三方服務器端,準備每日定時進行程式去測試該 NIDS 自訂規則是否生效,否則,電郵通知。
Recent Comments