今天,数据中心是企业甚至是政府部门的重要核心资产,因此如何确保其安全稳定的运行,已成为政企客户的首要关注点。其中,防火墙的部署更是帮助企业形成多层网络防御的关键组成部分。
目前,一些最新的数据中心防火墙产品已经具备了诸如立体式防御和阻挡应用层DDoS攻击,高级服务器负载均衡,数据加速和SSL卸载,多租户、灵活的数据过滤等先进的防护功能。然而,为了将防火墙的能力发挥到极致,企业还需要注意以下三个方面。
1、测试防火墙性能
不要只通过防火墙在默认状态下的性能表现来判断其优劣,因为现在很多数据中心托管的应用程序与服务都是基于SaaS和云计算的。诸如智能手机、平板等移动设备而产生的数据包,不仅要大流量管道才能满足网络的访问需要,而且必须在网络边缘给予审核。
对于网络安全设备来说,在处理上述不可预知的容量与流量并发的时候,会产生大量的网络延迟,并降低关键应用和服务的性能,今天的防火墙设备更是需要处理日益增多的数据流量。因此,这就与默认状态下的性能表现会有很大差别,也有必要为了确保制定的安全策略与防火墙进行最佳适配,而不定期进行防火墙的性能测试。
2、检查加密流量
确保防火墙可以检查所有流量,包括加密的流量。虽然很多网络流量都是通过SSL(安全套接层,Secure Sockets Layer)和SSH(安全外壳协议,Secure Shell)加密,来保障交互数据的安全,但实际上,对于攻击者来说,也会利用它们来加密恶意活动,并隐瞒与入侵系统的通信。据估计,在击中企业网络的所有流量中,有三分之一以上的攻击流量是被加密的。
因此,如果没有一种方法来解密流量的话,那么你的防火墙面对攻击者的威胁将是盲目的,而且可能会在加密流量面前栽跟头。虽然目前一些新式防火墙已经能够解密和检查加密流量,但大量运行着的传统防火墙并不具备这个功能。而如果你的防火墙属于后者,那么就有必要在SSL流量抵达之前给予拦截。并且,现在一些IT服务供应商可提供代理服务器来帮助企业实现流量的拦截过滤服务。
3、查看防护策略
确保定期地审查防火墙策略规则。因为即使一开始企业制定的一套安全策略是有效的,但随着时间的推移,该策略规则都有被淘汰的可能,变成冗余和矛盾的存在。所以,建议至少每半年检查一次防火墙策略集,删除过时、未使用的和过期的策略规则。而当添加新策略时,要确保其与现行策略不重复和不冲突。
最后,为了确保企业数据中心网络的安全,将上述各注意点切实在防火墙设备上付诸实践也是非常关键的。
