做的第一个项目在决定哪个软件版本升级防火墙(或其他设备)是阅读发布说明版本。发行说明通常包括一个详细的支持的设备列表,在发布新功能,软件缺陷修复。此外,一些制造商包括一个突出的缺陷列表,未得到释放装运时。发行说明代表提供一站式多,如果不是全部,必要的信息需要确定软件发布正在考虑是否合适的防火墙进行升级。
缺陷和错误
防火墙软件是复杂的,包含了许多子系统和行代码。虽然供应商尽一切努力来识别潜在的错误或其他错误的软件,并不是所有可能的情况下,可以在测试过程中发现的软件之前向公众发布。因此,可能的缺陷和漏洞的软件可能无法发现之前已经发布的软件。
漏洞
一个漏洞是一种缺陷,可能导致的潜在开发防火墙由攻击者造成拒绝服务(DoS)攻击或进入防火墙本身。漏洞也可以造成的错误配置防火墙。防火墙软件漏洞的一个例子是思科焦油Telnet / SSH DoS攻击描述电脑(http://www.securityfocus.com/bid/6110)。这个漏洞,虽然不提供影片本身,使焦油Telnet / SSH服务停止响应。思科立即释放焦油OS 6.2.2.111解决这个问题。
由于一个弱点错误配置防火墙可以从允许访问的远程过程调用(RPC)港口系统防火墙后面设备本身没有设置访问密码。这些类型的漏洞并不减轻通过软件升级,而是纠正设备的配置。最快的方式找到任何港口之一,可能是由于防火墙打开错误配置是使用网络扫描工具如Nmap(可用http://www.insecure.org)或Foundstone Fscan(可以从http://www.foundstone.com)
跟踪缺陷
所以,一个错误或漏洞被发现在软件版本上运行的防火墙。你现在做什么?如果供应商发布了版本解决了缺陷或漏洞,最简单的解决方案是下载和应用补丁软件。如果没有固定的软件是可用的,重要的是跟踪bug和任何可能的解决方案供应商设计了。通常情况下,供应商提供一个门户网站,包括缺陷信息和特定的缺陷是否已经解决。为思科沥青设备,产品安全事件响应团队提供安全建议,可以在思科网站上查看http://www.cisco.com/go/psirt。此外,对于注册用户,安全相关的数据库和非安全缺陷。对于路由器设备,本节是他们技术支持网站(的一部分http://www.linksys.com)。在Linux内核中有关错误的信息可以在Linux内核档案网站(http://www.kernel.org)。2.6 Linux内核错误,有一个特定的错误跟踪系统,http://bugzilla.kernel.org。NetFilter特定的错误(无论是NetFilter代码在内核中或实用程序用于操纵NetFilter防火墙),有http://bugzilla.netfilter.org。无论设备,重要的是要注意的错误和其他软件问题准备缓解任何新的漏洞,他们可能会引入到网络。
总结
管理防火墙是没多大区别管理网络上的其他设备。然而,必须采取特别注意当管理一个防火墙,因为它代表了任何网络安全的关系。在许多情况下,它代表了辊筒网络上的安全装置。管理防火墙安全并不困难,并不意味着你是有限的命令行工具。你可以管理许多防火墙使用SSH(命令行配置)和HTTPS(一个基于浏览器的管理系统)等任务更改默认密码,维护平台,使初始配置,设置日志记录、修改配置和更新防火墙软件。最后,关注潜在缺陷的防火墙软件将确保一个缺陷或漏洞不会偷偷注意并导致一个DoS攻击或网络中设备的潜在开发。
版权©2007培生教育。保留所有权利。