在决定使用哪个软件版本升级防火墙(或任何设备的设备)时,其中一个项目之一是读取该版本的发行说明。发行说明通常包括所支持的设备的详细列表,发布中的新功能以及版本中修复的软件错误。此外,一些制造商包括在发货时尚未在发布时尚未解决的未突出错误列表。发行说明表示一站式商店,如果不是全部,则确定所需的软件释放是否适合要升级的防火墙所需的必要信息。
缺陷和错误
防火墙软件很复杂,包含许多子系统和代码行。虽然供应商尽一切努力识别软件中的潜在错误或其他错误,但在软件发布到公众之前,可以在测试期间发现所有可能的情况。因此,在释放软件之后,可能无法检测到软件中可能的错误和漏洞。
漏洞
漏洞是一种缺陷,可能导致攻击者对防火墙的潜在利用,以使拒绝服务(DOS)攻击或访问防火墙本身。漏洞也可能是由防火墙的错误配置引起的。防火墙软件中漏洞的示例是SecurityFocus上描述的Cisco Pix Telnet / SSH DOS攻击(http://www.securityfocus.com/bid/6110).这种漏洞虽然没有提供对PIX本身的访问,导致PIX Telnet / SSH服务变得不响应。思科立即发布了PIX OS 6.2.2.111中此问题的修复。
由于a而漏洞错误配置从允许访问防火墙后面的系统上的远程过程调用(RPC)端口到不在设备本身上设置访问密码,都可以。这些类型的漏洞不能通过软件升级来缓解,而是通过纠正设备的配置来缓解。查找任何可能由于防火墙错误配置而开放的端口的最快方法之一是使用网络扫描工具,如Nmap(可在http://www.insecure.org.)或Foundstone的FSCan(可从http://www.foundstone.com.)
跟踪缺陷
因此,在您的防火墙上运行的软件版本中发现了一个bug或漏洞。你现在做什么?如果供应商已经发布了解决漏洞或漏洞的版本,最简单的解决方案是下载它并应用补丁软件。如果没有可用的修复软件,那么重要的是要跟踪错误和供应商设计的任何可能的变通方法。通常,供应商在他们的网站上提供一个门户,其中包括缺陷信息以及特定缺陷是否已经解决。对于思科PIX设备,产品安全事件响应团队提供安全建议,可在思科网站查看http://www.cisco.com/go/psirt.。此外,对于注册用户,可以使用安全相关和非安全相关缺陷的数据库。对于Linksys设备,本节是其技术支持网站的一部分(http://www.linksys.com.).有关Linux内核错误的资料,请浏览Linux内核档案网站(http://www.kernel.org).对于Linux内核2.6错误,有一个特定的错误跟踪系统,http://bugzilla.kernel.org.。对于NetFilter特定的错误(无论是内核中的NetFilter代码是否或用于操作NetFilter防火墙的实用程序),就有http://bugzilla.netfilter.org。无论设备如何,要了解要准备好的错误和其他软件问题,以减轻他们可能引入网络的任何新漏洞。
总结
管理防火墙与在网络上管理任何其他设备并不多。但是,必须在管理防火墙时进行特别小心,因为它代表任何网络中的安全性的Nexus。在许多情况下,它代表着onl.y网络上的安全设备。安全地管理防火墙并不困难,并不意味着您仅限于命令行工具。您可以使用SSH(用于命令行配置)和HTTPS(对于基于浏览器的管理系统)来管理许多防火墙,以便更改默认密码,维护平台,制作初始配置,设置日志记录,修改配置,并更新防火墙软件。最后,关注防火墙软件中的潜在缺陷将确保错误或漏洞不会潜入未被注意的并导致DOS攻击或网络中设备的潜在利用。
版权所有©2007培生教育。保留所有权利。