升级防火墙的要注意的地方
防火墙和路由器,互换机等收集装备对比,硬件防火墙并没有什么差异。它们同样具有不长的生命周期,过不了几年就要更新换代。可是和其余装备对比,改换防火墙做的好的话是挺贫困的一件事,做欠好还会给收集带来安详隐患。 对付中小企业来说,打点防火墙时收集打点员或体系打点员所包袱的浩瀚职责中的一项。因此,作为一个IT技强职员,至少也要知道防火墙的内部布局。一样平常来说,对防火墙的操纵都是间歇性的,好比企业收集上添加了新的应用措施,可能添加了新的处事器,才必要对防火墙举办恰当设置。对付一般事变来说,这种无意的事变不会有什么题目,可是对付一些更伟大深入的事变,好比将一个厂商的防火墙改换为另一个厂商的产物,可能从低端产物进级到高端产物,这个进程对付IT技强职员来说会有更多的要求。 进级防火墙所涉及到的题目包罗许多,有的题目较量简朴直接,有些则很伟大,但岂论奈何,该思量的方面很是多。 好比 Cisco ASA 5505 的操纵手册有114页。这种环境不止是Cisco产物独占的, Welch-Abernathy的长达 656页的Essential Checkpoint Firewall (2004) 手册被Amazon 的评测职员评为“最得当新手进修”的手册。 克日我采访了Rich Gallo ,作为一家小型技能企业的体系打点员,他方才进级了公司一台防火墙。在采访中,他提供了一个很长的进级防火留意事项列表。大致来看分为七大类,如下图所示。
Gallo在事变中碰着的首要题目包罗处理赏罚之前由ISP Verizon配置的未行使过的外部Ip地点,以及与长途办公室子网举办和谐。两个技强职员协同事变无疑可以极大的低落防火墙手工迁徙进程中堕落的概率。 防火墙进级的同时,也是路由器线缆重排,互换机移动位置,调解带宽分派或从头清算机柜的好机缘。 好的测试是须要的一个情形,而测试不只包罗毗连性的测试,还包罗应用措施的测试。好比,面向公家的收集应用就必需从内网和外网两个情形举办测试,,须要时还要行使非凡测试器材或软件。还应该盛大的搜查妨碍应急打算以及规复打算,以防万一。 VPN是一个非凡的环境,也许会影响到防火墙法则配置。在Gallo的公司,有站点到站点的VPN毗连必要分外留意。其它,在设定VPN时,还要留意特定客户的题目,由于要同时支持x32 和x64 位体系, Mac体系, Windows和 Linux体系平台的客户,以及其余各类情形下的用户。好比在配置进程中发明一个 Snow Leopard体系无法举办正确的VPN毗连。打点员通过网络各方面信息以及DNS记录,最终办理了题目。 防火墙法则是防火墙的焦点手段的浮现,可是新旧防火墙也许在法则配置上存在很大的不同。此时正好可以将这些不同通过文档情势记录下来,删除无用的法则,并通过措施打点器运行新法则。防火墙法则应该同时回收呆板可读的防火墙特命名目,以及明文可阅读名目誊写。 新的防火墙会影响到日记以及告诫历程。因此应该打算进级告诫和日记阅读措施,以便可以或许对新的告诫做出相应,并能让安详说明措施以及其余相同的措施正常事变。 在进级防火墙时,有许多事变要做。有也许呈现防火墙容许证支持DMZ题目,处理赏罚电子邮件处事器的非凡题目,可能为了支持远端办公室而配置特殊逻辑法则等。而这个列表根基上可以或许模仿你在面临防火墙进级时所思量的题目以及题目的次序。 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |