科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全防火墙故障最佳实践:冗余和监控

防火墙故障最佳实践:冗余和监控

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于防火墙故障,网络安全专家Brad Casey表示,企业可以从冗余和监控两个方面进行准备。

来源:TechTarget中国 2014年4月18日

关键字: 防火墙 冗余 监控

  • 评论
  • 分享微博
  • 分享邮件

我的公司最近发生了一次防火墙故障问题,导致公司宕机了几个小时,不过幸好我们有一个备用设备可以替换使用。但是,为了妥善管理类似这些不可预测的防火墙故障问题,您有哪些建议或者最佳实践?Brad Casey:对于防火墙故障,我的建议可以用两个词来概括:冗余和监控。

冗余:这不仅仅涉及到在遇到防火墙故障时有备份设备可以替换,更重要的是,你必须确保这个设备能够自动进行故障转移。

比如,在思科PIX环境下,你应该配置两个PIX设备,一个作为活跃设备,另一个作为备用设备。在大多数情况下,唯一需要额外增加的基础设施就是故障转移 电缆,它只是一个在发生故障后连接两台PIX设备的串行电缆。这种配置下,两台PIX设备之间的通信是通过每三秒发送一次ACK(确认字符)消息进行的。 如果ACK消息没有被确认,设备就会重传。如果重传了五次还是没有收到对应的ACK消息确认,那么就会认为活跃设备有故障,然后就会启动备用设备。

监控:企业应该在防火墙基础设施中内置一些监控设备,以确保防火墙是否正常工作。这个过程可以完全是被动的,只需要在监控设备中配置一些预警机制,一旦监测到异常情况,就可以及时预警。

举个例子来说,如果你的组织目前预算很紧张,负担不起一个新的监控设备,那么你可以在你的防火墙上或后面配置一个监控端口,然后进行对所有流经防火墙的流 量进行Wireshark捕捉。虽然这不是防火墙故障管理机制,但是它可以帮助你确定你的防火墙的某些特定方面是否有故障。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章