Categoría: Computadora/Red>> Antivirus
Descripción del problema:
Por favor ayúdenme,
Por favor ayúdenme a explicar.
Análisis:
El firewall de hardware se refiere a construir el programa de firewall en el chip y hacer que el hardware realice estas funciones, lo que puede reducir la carga sobre la CPU y hacer que el enrutamiento sea más estable.
El firewall de hardware es una barrera importante para garantizar la seguridad de la red interna. Su seguridad y estabilidad están directamente relacionadas con la seguridad de toda la red interna. Por lo tanto, las inspecciones de rutina diarias son muy importantes para garantizar la seguridad de los firewalls de hardware.
Muchos peligros y fallas ocultos en el sistema tendrán síntomas de un tipo u otro antes del brote. La tarea de las inspecciones de rutina es descubrir estos peligros de seguridad y localizar los problemas tanto como sea posible para facilitar la resolución de problemas. .
En términos generales, las inspecciones de rutina de los firewalls de hardware se centran principalmente en los siguientes contenidos:
1. Archivo de configuración del firewall de hardware
Independientemente de si está instalando el hardware firewall No importa cuán exhaustiva y rigurosa sea la consideración, una vez que el firewall de hardware se pone en uso real, la situación cambiará en cualquier momento. Las reglas del firewall de hardware cambian y se ajustan constantemente, y los parámetros de configuración también cambiarán de vez en cuando. Como administrador de seguridad de red, lo mejor es escribir un conjunto de políticas de seguridad que modifiquen las configuraciones y reglas del firewall y las implementen estrictamente. La configuración del firewall de hardware involucrada debe ser lo más detallada posible, como qué tráfico está permitido y qué servicios requieren servidores proxy.
En la política de seguridad se deben indicar los pasos para modificar la configuración del firewall del hardware, como qué autorizaciones deben modificarse, quién puede realizar dichas modificaciones, cuándo se pueden realizar las modificaciones, cómo registrar estas modificaciones. , etc. La política de seguridad también debe especificar la división de responsabilidades. Por ejemplo, si una persona realiza cambios específicos, otra persona es responsable de registrar y una tercera persona verifica y prueba si las configuraciones modificadas son correctas. Una política de seguridad detallada debe garantizar que las modificaciones a las configuraciones del firewall de hardware estén programadas y evitar errores y vulnerabilidades de seguridad causadas por modificaciones de configuración.
2. Uso del disco del firewall de hardware
Si se mantienen registros en el firewall de hardware, es importante verificar el uso del disco del firewall de hardware. Si no se mantiene el registro, resulta aún más importante comprobar el uso del disco del firewall de hardware. Cuando se conservan los registros, es probable que un crecimiento anormal en el uso del disco indique un problema con el proceso de borrado de registros, que es relativamente fácil de manejar. Si el uso del disco aumenta anormalmente sin mantener registros, significa que el firewall del hardware puede haber sido comprometido por alguien que instaló una herramienta Rootkit.
Por lo tanto, los administradores de seguridad de la red primero deben comprender el uso del disco del firewall en circunstancias normales y, en base a esto, establecer una línea base de inspección. Una vez que el uso del disco del firewall de hardware excede esta línea base, significa que el sistema ha encontrado problemas de seguridad u otros problemas y requiere una inspección adicional.
3. Carga de CPU del firewall de hardware
De manera similar al uso del disco, la carga de la CPU también es un indicador importante para juzgar si el sistema de firewall de hardware está funcionando normalmente. Como administrador de seguridad, debe comprender el valor normal de la carga de CPU del sistema de firewall de hardware. Un valor de carga demasiado bajo no significa necesariamente que todo sea normal, pero un valor de carga excesivamente alto indica que debe haber un problema con el. sistema de cortafuegos. Es probable que una carga excesiva de la CPU se deba a problemas como un ataque DoS al firewall del hardware o una desconexión de la red externa.
4. Programa demonio del sistema de firewall de hardware
En funcionamiento normal, cada firewall tiene un conjunto de programas demonio, como el programa de servicio de nombres, el programa de registro del sistema, el programa de distribución de red o la certificación. programa, etc Durante la inspección de rutina, debe verificar si todos estos programas se están ejecutando. Si descubre que algunos programas del asistente no se están ejecutando, debe verificar más a fondo qué causa que estos programas del asistente no se ejecuten y qué programas del asistente aún se están ejecutando.
5. Archivos del sistema
No hay más de tres situaciones en las que se pueden cambiar archivos clave del sistema: modificaciones intencionadas y planificadas por parte de los administradores, como modificaciones planificadas del sistema causadas; modificaciones a archivos del sistema por parte de administradores; modificaciones a archivos por parte de atacantes.
Verifique periódicamente los archivos del sistema y verifique los registros de modificación de archivos del sistema para detectar ataques al firewall a tiempo. Además, también se debe enfatizar que es mejor incluir registros de modificaciones de archivos del sistema en la modificación de la política de configuración del firewall de hardware.
6. Registro de excepciones
El registro del firewall de hardware registra información sobre todas las comunicaciones permitidas o denegadas y es la principal fuente de información sobre el estado operativo del firewall de hardware. Debido a la gran cantidad de datos en este registro, la verificación de los registros de excepciones normalmente debería ser un proceso automatizado. Por supuesto, el administrador debe determinar qué tipo de eventos son eventos anormales. Solo cuando el administrador define eventos anormales y los registra, el firewall del hardware conservará los registros correspondientes para referencia futura.
Es posible que los seis aspectos anteriores de la inspección de rutina no detecten de inmediato todos los problemas y peligros ocultos que puede encontrar el firewall de hardware, pero la inspección persistente es muy importante para el funcionamiento estable y confiable del firewall de hardware. Si es necesario, los administradores también pueden utilizar escáneres de paquetes para confirmar si la configuración del firewall de hardware es correcta o no. Incluso pueden ir más allá y utilizar escáneres de vulnerabilidades para simular ataques y evaluar las capacidades del firewall de hardware.