:::
icon 您現在的位置是:首頁資安新知 > 如何使校園網路防火牆發揮最大功效?  
icon 如何使校園網路防火牆發揮最大功效? icon

 

防火牆面對駭客,為何常是舉白旗投降?
 
防火牆並非安裝完成就可以確保安全,經常因為以下原因而失效 :
一、
 
防火牆的配置適當性—包含對防火牆本身設定的不了解,防火牆的錯誤位置,以及與校園整體安全策略無法配合 。
二、
攻擊技術不斷更新—傳統的防火牆大多針對網路 OSI 底層的攻擊進行防護,而近來常見的威脅方式,卻經常發生在網路應用層所產生的攻擊 。
三、
防火牆本身也有安全漏洞揭露,成為攻擊者的利用目標。
四、
利用 VPN 或從內部發動攻擊,以迴避防火牆的監控 。
往上 TOP

 
校園網管人員如何讓現有防火牆發揮最大的防禦功效?
 
從實際的經驗中發現,雖然防火牆產品的功能與效能不斷提升,但要真正發揮這個安全守門員的功效,應當特別留意幾點「安全管理」上的問題,包括:
一、
按時檢查與檢視防火牆紀錄。一套有系統的紀錄收集、分類與分析過程,可以發現潛在或已發生而未警示的安全問題,立即時採取修補措施、更新防火牆規則 。
二、
為了提高防火牆的安全性,管理者可以將防火牆和其他安全工具相結合。新購或升級防火牆前應檢視內部是否安裝了漏洞掃描或其他閘道入侵防護機制,以及其具體產品名稱和型號,然後確定與所要購買的防火牆是否有相互支援功能。保護網路安全不僅僅依靠防火牆一種產品,只有將多種安全產品無縫地結合起來,充分利用它們各自的優點,才能降低網路使用的風險。
三、
相對的,若要選擇多功能的防火牆產品,也應考慮與現有網路閘道設備功能是否有重覆或衝突,這點除了可以避免過多的安全機制對網路效能產生影響,與過多的稽核紀錄產生與維護問題外,也可以減低安全管理政策在不同產品上的設定困擾。
四、
防火牆的安全防護功能的發揮需要依賴很多因素,不僅某些病毒和駭客可以通過系統漏洞或者其他手段避開防火牆,內部人員管理控制欠完善也有可能使得防火牆形同虛設。校園必須根據自己網路的特點,制定一整套安全策略,並徹底地貫徹實施。防火牆只是保證安全的一種技術手段,要想真正實現安全,校園的安全策略是核心問題。
五、
資訊安全與惡意入侵是用無止境的對抗過程。防火牆作為一種安全工具,只有保持不斷地升級與更新才能應付不斷發展的入侵手段。作為安全管理員來說,要與廠商保持密切的聯繫,時刻注視市場的動態,時刻留心所發佈的升級或其他安全資訊,即時對防火牆進行更新。
往上 TOP

校園應如何評估選購防火牆?

評估項目
說明
硬體或軟體
軟體通常會比硬體調整彈性大,具有更新修正程式與防護特徵碼容易等優點。 硬體在效能上佔有優勢,且因為核心獨立,安全漏洞相對較少。
多功能或基本型
多功能防火牆整體管理較方便,應用面較廣。單一功能防火牆產品防禦深度較佳,也可避免與現有環境其他安全機制功能重複。
效率與效能
若重視防火牆效能,可選購 ASIC 或 NP base 的產品。若從防火牆應用強度與廣度著眼,可選擇 x86 處理器的產品。
管理的方便性
在防火牆後續的維護上,需考慮規則制定的親和性,紀錄的可讀性與多台中央管理的方便性等管理功能。
本身的穩定性
防火牆本身要減少弱點與漏洞的暴露,並且可以穩定的執行功能,或可配合其他網路機制,避免單點失敗影響網路作業。
校園內特殊的安全要求
考慮校園安全政策中,若有對網路轉址 (NAT) 、雙重 DNS 、虛擬企業網路 (VPN) 或網路連線特殊控制等規範,則必須選購可配合之產品。
採購價格
可分由單一購買成本,與校園整體安全機制持有成本兩方面思考,並加入後續維護成本計算。


- 資料來源-
謝昀澤
教育部提升校園資訊安全服務計畫服務團隊 協同計畫主持人
安侯企業管理股份有限公司 協理

 

note 返回列表頁往上 TOP