■ 內(nèi)蒙古 杜云雷
編者按:企業(yè)采購?fù)臧踩O(shè)備不能束之高閣,而應(yīng)充分發(fā)揮它們的真正價(jià)值。筆者單位采購的華為下一代防火墻在配置之初并未完全開啟相關(guān)安全功能,筆者對此進(jìn)行了詳細(xì)的配置。
筆者單位購置了華為下一代防火墻,其中附帶了幾個(gè)功能包:入侵防御(IPS)、反病毒庫(AV)以及應(yīng)用識別特征庫等。最初在安裝時(shí)廠家只是給激活了功能,并沒有提及升級的問題,而且一開始也并沒有啟用。作為安全管理員,就得負(fù)起責(zé)任,把安全功能都真正用起來。
筆者點(diǎn)擊進(jìn)入防火墻Web 管理頁面,首頁日志提示特征庫升級失敗,看日期是每天定時(shí)升級,問題已經(jīng)持續(xù)幾年。進(jìn)入“系統(tǒng)→升級中心”,發(fā)現(xiàn)就是如圖1 的幾個(gè)功能每天定時(shí)升級,狀態(tài)顯示“升級服務(wù)器域名解析失敗,請檢查配置或網(wǎng)絡(luò)連接”。如圖2 所示。
筆者手動點(diǎn)擊“立即升級”,但依然失敗。此時(shí)顯示升級中心的地址是“sec.huawei.com”,很明顯,問題就是防火墻不能連接外網(wǎng)進(jìn)行升級。
在策略菜單下的安全策略里新建一條DNS 安全策略,方向是從local 域到untrust 域,也就是開通防火墻到外網(wǎng)的策略。如圖3 所示。
圖1 升級中心
圖2 升級特征庫報(bào)錯(cuò)
回到升級中心再次點(diǎn)擊“特征庫升級”,還是不行。
點(diǎn)擊頁面右下角的CLI控制臺進(jìn)行測試:ping sec.huawei.com,不通。ping www.baidu.com,也不通。
進(jìn)入網(wǎng)絡(luò)管理,查看防火墻DNS 已經(jīng)進(jìn)行了配置。繼續(xù)輸入:
sys 進(jìn)入防火墻命令行模式
dns resolve 開啟動態(tài)域名解析功能
dns proxy enable 開啟DNS 代理功能
重新ping sec.huawei.com,終于通了。只要到升級中心網(wǎng)絡(luò)通了,升級特征庫就應(yīng)該沒問題了。之后全部成功升級到了最新版。如圖4 所示。
升級完特征庫就大功告成了嗎?還差一步,那就是在每一條開啟的策略里啟用特征庫的檢查選項(xiàng),內(nèi)容安全欄有這幾個(gè)特征庫圖標(biāo)才說明真正生效了。如圖5 所示。
硬件配軟件,軟件配模塊。既然買了模塊,就得學(xué)會開啟它,這樣才能提升企業(yè)整體網(wǎng)絡(luò)安全防護(hù)能力。
圖3 新建防火墻策略
圖4 升級特征庫成功
圖5 策略啟用特征庫
企業(yè)網(wǎng)絡(luò)安全涉及到的設(shè)備有很多,特別是在等保2.0 標(biāo)準(zhǔn)下,安全運(yùn)維工作相比之前要求更高,堡壘機(jī)、下一代防火墻、日志和數(shù)據(jù)庫審計(jì)、上網(wǎng)行為管理等關(guān)鍵網(wǎng)絡(luò)安全設(shè)備都需完備,作為安全人員,還是需要腳踏實(shí)地多學(xué)習(xí)實(shí)踐,把自家安全設(shè)備功能吃透,搭建起成套的網(wǎng)絡(luò)安全防護(hù)體系,而不是僅滿足能用。