|
|
随着互联网和电子商务应用的不断普及,网络安全日益成为大家关注的问题,导致防火墙等安全设备应运而生,防火墙的应用成为用户实现网络安全的一个基本手段。
防火墙本身的主要功能除了对网络访问进行有效控制以外,还有一个很重要的功能就是对网络上的访问进行记录和审计,防火墙日志审计服务器就是完成这一功能的主要工具。
虽然目前所有厂商的防火墙都提供日志功能,但各厂商对于防火墙日志的记录和管理策略却各各不同。有的厂商采用防火墙内置硬盘作为防火墙的整体存储介质,其目的就是利用硬盘这一较为廉价的存储介质来放置相对较为庞大的防火墙日志;而另一些厂商则使用电子盘存贮防火墙的核心系统和临时日志,同时,通过架设一台远程的防火墙日志审计服务器来实现对防火墙日志的存放和审计。
防火墙日志审计服务是辅助网络安全管理人员全面掌握网络安全状况,并衡量防火墙性能和作用的重要手段。令人遗憾的是许多用户在选择防火墙产品的时候,往往会忽略防火墙的日志审计这一环节。
那么用户在选择防火墙日志审计服务的时候,应该选择哪种模式呢?下面我们从常见黑客入侵方法来帮助用户作一个整体的分析。
作为一个黑客,他入侵一个网络系统的目的是要攻击网络系统内部的关键主机,如果一个网络系统有防火墙这样的安全设备负责网络通信的监控,那么黑客首先要做的事情是利用网络的安全缺陷攻击或避绕防火墙,然后进行关键主机攻击。而无论黑客采用什么样的手段,他在被攻击网络系统内的通信行为是物理存在的,所以黑客在完成攻击后,最后做的工作就是将防火墙上记录的通信日志进行破坏或删改。如果将所有的防火墙日志存储在防火墙本地,这样,黑客就有机会完全破坏通讯日志,以降低后续被跟踪的可能性。
那么怎样才能最大程度地保护防火墙的日志,以做为被攻击后的审计资料呢?最好的办法就是使用远程的日志审计服务器来存储防火墙的监控日志,因为远程日志审计服务器的位置对于黑客来说是不透明的,在防火墙上有大量的设置地址,黑客在短时间内是无法从防火墙上分析出日志服务器的网络位置,黑客在完成网络攻击后,为了在最短时间内离开被攻击的网络,基本上会删除被攻击主机的日志和攻击路径上网络设备的日志,根本没有时间分析和查找防火墙远程日志服务器的位置和攻击修改远程日志服务器上的防火墙日志,这样,防火墙的远程日志服务器就有效地记录了黑客的攻击行为,可以为日后跟踪和找到发动攻击行为的黑客提供有力的数据。 从上面的分析不难看出,防火墙的远程日志审计服务器对于用户网络的安全同样是十分重要的。另外,用户在选择防火墙产品的时候,关注厂商在日志服务器上面所作的工作(防火墙日志服务器的功能)是十分重要的。如果某一防火墙产品只使用本地硬盘作为日志存储器,那么对于用户的网络安全性的保护将是不全面的。所以,即便用户选择使用本地硬盘存储日志的防火墙产品,也要选择同时提供远程日志服务器的防火墙产品,以便安装远程的日志服务器来对防火墙的监控日志进行备份。
另外,防火墙是网络设备,为了不影响其性能,故防火墙本地的日志查询都做得比较简单,处理的数据量也不是很大,而使用单独的日志服务器,日志查询和审计的功能就可以做得非常强大和细致,处理的数据量也大。
