防火墙系统基础知识大全
防火墙系统基础知识大全有哪些?您的防火墙是抵御安全威胁的第一道防线;但只是将防火墙设备添加到您的网络并不能确保您的网络安全。下面就让小编带你去看看防火墙系统基础知识大全,希望对你有所帮助吧
干货!!!如何配置防火墙以获得最佳效果
1.记录防火墙规则,并添加注释以解释特殊规则。
对于IT团队中的每个人来说,了解所有已编写的规则至关重要。
虽然这可能是一项耗时的任务,但您只需要执行一次,并且从长远来看审计和添加新规则时,最终会节省安全管理员的大量时间。
2.减少宽松的规则,并在顶部包括“拒绝所有”。
系统安全高于一切,开始使用“拒绝所有”规则编写防火墙规则是一种很好的做法。这有助于保护网络免受手动操作错误的影响。
允许规则为用户提供了更多自由,这可以转化为为用户提供比执行与业务相关的功能所需的更多资源。
3.定期检查防火墙规则,并优化防火墙性能。
随着时间的推移,新策略由不同的安全管理员定义,规则的数量往往会增加。
定期清理未使用的规则有助于避免堵塞防火墙的处理器,因此定期审核规则以及删除重复的规则,异常和不需要的策略非常重要。
4.组织防火墙规则以最大化速度。
将最常用的规则置于顶部并将较少使用的规则移至底部有助于提高防火墙的处理速度。
5.渗透测试以检查规则的健康状况。
渗透测试是针对您的计算机系统的模拟网络攻击,以检查可利用的漏洞。
6.定期自动进行安全审计。
安全审计是对防火墙的手动或系统可测量的技术评估。
鉴于它由手动和自动化任务组合而成,因此必须定期审核和记录这些任务的结果。
7.拥有端到端的变更管理工具。
有效策略管理的关键是端到端的变更管理工具,可以从头到尾跟踪和记录请求。
8.制定广泛的实时警报管理计划。
实时警报管理系统对于高效的防火墙管理至关重要。如果防火墙出现故障,备用防火墙需要立即启动,以便暂时可以通过此防火墙路由所有流量。系统遇到攻击时及时触发警报,以便快速解决问题。
9.按照规定保留日志。
您需要在规定的时间内保留日志,具体取决于您规定的规则。
10.定期检查安全合规性。
定期内部审核结合不同安全标准的合规性检查是维护健康网络的重要方面。
11.升级防火墙软件和固件。
没有网络或防火墙是完美的,黑客正在昼夜不停地寻找漏洞。
防火墙的常规软件和固件更新有助于消除系统中的已知漏洞。
如果尚未修补已知漏洞,即使是最好的防火墙规则也无法阻止攻击。
以上这一系列操作有助于提高防火墙的性能,但您知道使优化防火墙策略变得更加容易、便捷、高效的方法吗?卓豪ManageEngine Firewall Analyzer可以自动处理数据并得出有关防火墙提高性能的建议。
ManageEngine Firewall Analyzer是一个安全日志监控与审计平台,能够实时将企业网络安全设施(如防火墙、代理服务器、入侵检测/防御系统和v__等)在运行过程中产生的安全日志和事件以及配置日志汇集到审计中心,进行全网综合安全分析。帮助安全管理人员快速识别病毒攻击、异常流量以及用户非法行为等重要的安全信息,从而运用合理的安全策略,保证网络的安全。
Linu__ 防火墙入门教程 | Linu__ 中国
安装防火墙
很多 Linu__ 发行版本已经自带了防火墙,通常是 iptables。它很强大并可以自定义,但配置起来有点复杂。幸运的是,有开发者写出了一些前端程序来帮助用户控制防火墙,而不需要写冗长的 iptables 规则。
在 Fedora、CentOS、Red Hat 和一些类似的发行版本上,默认安装的防火墙软件是 firewalld,通过 firewall-cmd 命令来配置和控制。在 Debian 和大部分其他发行版上,可以从你的软件仓库安装 firewalld。Ubuntu 自带的是 简单防火墙(Uncomplicated Firewall)(ufw),所以要使用 firewalld,你必须启用 universe 软件仓库:
$ sudo add-apt-repository universe
$ sudo apt install firewalld
你还需要停用 ufw:
$ sudo systemctl disable ufw
没有理由不用 ufw。它是一个强大的防火墙前端。然而,本文重点讲 firewalld,因为大部分发行版都支持它而且它集成到了 systemd,systemd 是几乎所有发行版都自带的。
不管你的发行版是哪个,都要先激活防火墙才能让它生效,而且需要在启动时加载:
$ sudo systemctl enable --now firewalld
理解防火墙的域
Firewalld 旨在让防火墙的配置工作尽可能简单。它通过建立 域(zone)来实现这个目标。一个域是一组的合理、通用的规则,这些规则适配大部分用户的日常需求。默认情况下有九个域。
trusted:接受所有的连接。这是最不偏执的防火墙设置,只能用在一个完全信任的环境中,如测试实验室或网络中相互都认识的家庭网络中。
home、work、internal:在这三个域中,接受大部分进来的连接。它们各自排除了预期不活跃的端口进来的流量。这三个都适合用于家庭环境中,因为在家庭环境中不会出现端口不确定的网络流量,在家庭网络中你一般可以信任其他的用户。
public:用于公共区域内。这是个偏执的设置,当你不信任网络中的其他计算机时使用。只能接收选定的常见和最安全的进入连接。
dmz:DMZ 表示隔离区。这个域多用于可公开访问的、位于机构的外部网络、对内网访问受限的计算机。对于个人计算机,它没什么用,但是对某类服务器来说它是个很重要的选项。
e__ternal:用于外部网络,会开启伪装(你的私有网络的地址被映射到一个外网 IP 地址,并隐藏起来)。跟 DMZ 类似,仅接受经过选择的传入连接,包括 SSH。
block:仅接收在本系统中初始化的网络连接。接收到的任何网络连接都会被 icmp-host-prohibited 信息拒绝。这个一个极度偏执的设置,对于某类服务器或处于不信任或不安全的环境中的个人计算机来说很重要。
drop:接收的所有网络包都被丢弃,没有任何回复。仅能有发送出去的网络连接。比这个设置更极端的办法,唯有关闭 WiFi 和拔掉网线。
你可以查看你发行版本的所有域,或通过配置文件 /usr/lib/firewalld/zones 来查看管理员设置。举个例子:下面是 Fefora 31 自带的 FedoraWorkstation 域:
$ cat /usr/lib/firewalld/zones/FedoraWorkstation.__ml
Fedora Workstation
Unsolicited incoming network packets are rejected from port 1 to 1024, e__cept for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.
获取当前的域
任何时候你都可以通过 --get-active-zones 选项来查看你处于哪个域:
$ sudo firewall-cmd --get-active-zones
输出结果中,会有当前活跃的域的名字和分配给它的网络接口。笔记本电脑上,在默认域中通常意味着你有个 WiFi 卡:
FedoraWorkstation
interfaces: wlp61s0
修改你当前的域
要更改你的域,请将网络接口重新分配到不同的域。例如,把例子中的 wlp61s0 卡修改为 public 域:
$ sudo firewall-cmd --change-interface=wlp61s0 --zone=public
你可以在任何时候、任何理由改变一个接口的活动域 —— 无论你是要去咖啡馆,觉得需要增加笔记本的安全策略,还是要去上班,需要打开一些端口进入内网,或者其他原因。在你凭记忆学会 firewall-cmd 命令之前,你只要记住了关键词 change 和 zone,就可以慢慢掌握,因为按下 Tab 时,它的选项会自动补全。
数据库防火墙系统
产品概述
中安威士数据库防火墙(简称VS-FW),是由中安威士(北京)科技有限公司开发具有完全自主知识产权的安全防护产品。该产品通过实时分析用户对数据库的访问行为,自动建立合法访问数据库的特征模型。同时,通过独立的授权管理机制和虚拟补丁等防护手段,及时发现和阻断SQL注入攻击和违反企业规范的数据库访问请求。主要功能包括屏蔽真实数据库、多因子认证、自动建模、攻击检测、访问控制和审计等。该产品具有高性能、大存储和报表丰富等优势,帮助企业有效保护核心数据,保障业务运营安全,并快速的满足合规要求。
产品功能
屏蔽直接访问数据库的通道
数据库防火墙部署于数据库服务器和应用服务器之间,屏蔽直接访问数据库的通道,防止数据库隐通道对数据库的攻击,见下图。
多因子认证
基于IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证,形成多因子认证,弥补单一口令认证方式安全性的不足。应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层身份认证。
攻击检测和保护
实时检测用户对数据库进行SQL注入和缓冲区溢出的攻击,并报警或者阻止攻击行为,同时详细记录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。
行为基线—自动建立访问模型
系统将自动学习每一个应用的访问语句,进行模式提取和分类,自动生成行为特征模型,并可以对学习结果进行编辑。系统通过检查访问行为与基线的偏差来识别风险。
连接监控
实时监控数据库的连接信息、风险状态等。
虚拟补丁
数据库系统是个复杂的系统,自身存在很多漏洞,容易被攻击者利用从而导致数据泄漏或致使系统瘫痪。由于需要保证业务连续性等多种原因,用户通常不会及时对数据库进行补丁安装。中安威士数据库防火墙通过内置的多种漏洞特征库防止已知漏洞被利用,并有效降低数据库被0day攻击的风险。
安全审计
系统能够记录对数据库服务器的访问情况,包括用户名、程序名、IP地址、请求的数据库、连接断开的时间、风险等信息,并提供灵活的查询分析功能。
报表
提供丰富的报表模板,包括各种审计报表、安全趋势等。
数据库审计探针
本系统作为数据库防火墙的同时,还可以作为数据库审计系统的数据获取设备,将通信内容发送到数据库审计系统中,在不影响防火墙性能的前提下,实现完整、专业的数据库审计。
特性优势
1.技术优势
全自主技术体系:形成高技术壁垒
高速分析技术:特殊数据包分析和转发技术,实现高效的网络通信内容过滤
多线程技术和缓存技术,支持高并发连接
基于BigTable和MapReduce的存储:单机环境高效、海量存储
基于倒排索引的检索:高效、灵活日志检索、报表生成
2.高性能
连续处理能力:7000~4万SQL/s
索速度: <1分钟,1亿记录,带通配符的模糊检索
日志存储能力: 30亿 ~100亿SQL/TB
3.高可用性
基于硬件的Bypass功能,防止单点失败
支持双机热备功能,保证连续服务能力
支持自动日志备份
支持SNMP、Syslog日志外发
支持时间同步
......
4.高安全性
典型部署
透明网桥模式
将数据库防火墙直连在数据库之前,所有对数据库的访问流量都流经该设备进行过滤和转发,防火墙不设IP地址,客户端看到的数据库地址不变。
直路代理模式
将数据库防火墙直连在数据库之前,防火墙具有独立IP地址,客户端逻辑连接防火墙设备地址,所有对数据库的访问流量都流经该设备进行过滤和转发。
单臂代理模式
将数据库防火墙接入数据库所在网络,客户端逻辑连接防火墙设备地址,所有对数据库的访问流量都流经该设备进行过滤和转发。
数据库审计和防火墙:混合部署
客户价值
》保护核心数据资产,防止内外部攻击造成的数据泄密
防止外部黑客攻击,窃取数据:SQL注入、缓冲区溢出、权限盗用等
防止内部人员泄密,违规备份、权限滥用、误操作等
防止运维人员和第三方人员违规访问敏感数据
》安全性与可用性的完美结合,对合法应用和用户透明
智能学习,自动生成安全基线,无需手动复杂配置规则
高稳定性与高性能,支持双机热备,保障正常业务的连续性
不需要对应用程序作任何修改,不改变应用程序的使用环境
对于授权用户的数据库操作与管理等过程无需改变
客户案例
案例1:数据库防火墙防止社保信息泄露
背景介绍和需求
2015年5月,包括重庆、上海、山西在内的三十多个省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄漏。补天漏洞响应平台安全专家表示,社保系统包括居民身份证、社保、薪酬等敏感信息。一旦这些信息泄露,不仅是个人隐私全无,还会被犯罪分子利用来复制身份证、盗办信用卡、盗刷信用卡等刑事犯罪和经济犯罪。因此亟需相应的解决方案对该信息进行保护。
解决方案
在数据库之前以透明网关模式部署中安威士数据库防火墙,开启学习模式,经过1天左右时间的学习,建立其应用对数据库访问的行为基线,进而进入工作模式,并开启阻断功能。所有对数据库的SQL注入攻击都会偏离基线,而被阻止,从而从根本上阻止了SQL注入。
有益结果
某省社保系统通过上述解决方案,有效地抵御了各类SQL注入攻击,提高了系统整体的防御能力,维护和提升了社保机构的形象和公信力。完善的日志还能协助安全事件取证及事后追溯,进一步的防止敏感信息的丢失和泄漏。
案例2:数据库防火墙保护互联网金融数据库免受攻击
背景介绍和需求
互联网金融企业面临着严重的敏感数据安全问题。其客户信息(姓名、身份证、地址、电话、邮件等)、交易信息(交易时间、额度、盈亏情况)等敏感数据具有很高的价值,常常成为黑客攻击的目标。另外,企业内部数据分析人员也可能在利益的驱使下执行各种偏离业务的非法查询和分析语句。从而,亟需对数据库的攻击行为进行发现和阻断,并详细记录内部人员的访问行为,便于取证。
解决方案
经过论证,在核心数据库集群前部署了中安威士数据库防火墙。采用直连代理方式,将系统正确的目标数据库地址修改为防火墙地址。开启学习功能,学习到的语句模式经过人工两次鉴别后作为系统的白名单。对于前端网站系统产生的偏离白名单的访问行为进行阻断,并产生报警。对于内部的访问偏离行为,进行详细记录,由人工判断是否属于违规访问。
有益结果
某P2P公司通过上述解决方案,有效抵御了各类SQL注入和权限滥用攻击,显著提升了数据安全防护水平。同时,能够轻松满足来自监管部门的合规性检查,也消除了客户对隐私安全的顾虑,从而促进了业务的开展。
防火墙系统基础知识大全相关文章:
