浅谈防火墙远程管理技术

发表于:2007-06-23来源:作者:点击数: 标签:
浅谈防火墙远程管理技术 远程管理是防火墙产品的一种管理功能的扩展,也是防火墙非常实用的功能之一。用户可以利用防火墙的远程管理功能在办公室管理托管在 电信 部门的防火墙产品,甚至坐在家中就可以重新调整防火墙的 安全 规则和策略。 越来越多的用户将

   
  浅谈防火墙远程管理技术
  远程管理是防火墙产品的一种管理功能的扩展,也是防火墙非常实用的功能之一。用户可以利用防火墙的远程管理功能在办公室管理托管在电信部门的防火墙产品,甚至坐在家中就可以重新调整防火墙的安全规则和策略。  

  越来越多的用户将防火墙是否提供远程管理功能作为选择防火墙产品的重要参考指标之一。的确,防火墙的远程管理功能为用户的使用和对防火墙的管理提供了更加方便、快捷的手段。  

  目前防火墙产品的远程管理大致使用以下三种技术:一种是基于浏览器的Web界面管理方式,另一种是基于管理端软件的GUI界面,除此之外,还有基于命令行的CLI管理方式(一般通过串口进行配置)。

  无论是Web界面管理方式还是基于管理端软件的GUI界面,管理界面一般需要完成对防火墙的配置、管理和监控。CLI命令行的管理方式适合对防火墙进行初始化、网卡配置等基本操作,不适合做丰富的管理功能。

  GUI的管理方式:GUI直观,是一种重要的管理工具,适合对防火墙进行复杂的配置,管理多台防火墙,同时支持丰富的审计和日志的功能。

  Web管理方式:Web界面管理方式是另一种管理工具。这种方式提供了简单的管理界面,适合那些功能不是很多的防火墙的管理工作。

  CLI管理方式:这种方式不适合对防火墙进行管理,事实上,不太可能通过命令行的方式对一个具有复杂功能的防火墙进行很好的配置,它比较适合高级用户和厂商对防火墙进行调试。  

  纵观当今国内外防火墙技术的发展不难看出,其实GUI 是当前应用程序的趋势,其简单明了的特性为用户发挥产品功能提供了更好的条件。

  大家知道CISCO产品IOS提供比较全面的访问控制策略,但是却很少真正使用,是因为其使用非常不方便,因此很多防火墙厂商不提供CLI模式,是要适应GUI 需要,同时将更多的力量放到更安全的方面。

  管理界面设计直接关系到防火墙的易用性和安全性。管理主机和防火墙之间的通信一般经过加密。国内比较普遍采用自定义协议、一次性口令进行管理主机与防火墙之间通信(适用GUI界面)。当然也有一些更安全的措施,比如NetEye防火墙除了支持一次性口令的认证之外,还支持了RSA公司的SecurID的Token令牌认证,为防火墙的管理提供了更加可靠的保证。

  GUI界面可以设计的比较美观和方便,并且可以自定义协议,也是被多数厂商使用的一个主要原因,这也是基于Web界面管理的防火墙无法做到的。一般基于Web管理界面的防火墙很少可以提供丰富的统计和审计功能,基本不能提供一些统计图和统计表。

  一般管理端软件都是使用VB、VC语言开发的,也有部分厂家为了平台无关性而使用Java语言开发。Web界面仍有少数厂商使用,但由于防火墙核心部分因此要增加一个CGI解释部分,从而减少了防火墙的可靠性,而GUI界面只需要一个简单的后台进程就可以了。所以基于Web界面的防火墙管理方式应用不是太广泛。

  目前国内大部分防火墙厂商还不是十分重视管理界面,大多做的比较粗糙,不是十分完善。反观之管理界面固然很重要,然而它毕竟不是一个防火墙的全部,一个系统功能设计完善的防火墙其管理部分必然容易设计。

  注意:对于基于Web界面的管理方式存在被恶意用户或者黑客进行口令字攻击的风险。这种口令字攻击既可能来自外部,也可能来自内部。

  我们可以设想,管理员在家中打开电脑,调出IE浏览器,在URL栏输入公司防火墙的IP地址,这时IE显示出需要输入用户名和口令,网管输入了用户名和口令,回车后登陆进入防火墙。以下以国内某品牌防火墙为例。 

  这个过程如果换成一个恶意用户或者黑客,他完全可以同样调出IE,连接防火墙,因为Web管理界面防火墙的用户名一般是固定的,比如admin、fwadmin、Administrator等,黑客可以在家中从容的猜测网管的口令,任意的输入口令进行口令猜测。黑客攻击的手段一般采用穷举的办法。

  但是在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的。黑客没有防火墙的管理端软件是无法连接防火墙的,即使黑客得到了防火墙的管理端软件,多种认证方式也限制了黑客很难通过远程控制防火墙。

  以上的观点从一些侧面反映出防火墙的管理的一些趋势,一般来讲,基于GUI管理界面的防火墙要比基于Web界面管理的防火墙提供了更丰富的管理功能和更好的安全性,希望用户在选择防火墙的时候,根据自己情况认真选择。

原文转自:http://www.ltesting.net