■ 內(nèi)蒙古 杜云雷

編者按：企業(yè)采購?fù)臧踩O(shè)備不能束之高閣，而應(yīng)充分發(fā)揮它們的真正價(jià)值。筆者單位采購的華為下一代防火墻在配置之初并未完全開啟相關(guān)安全功能，筆者對此進(jìn)行了詳細(xì)的配置。

筆者單位購置了華為下一代防火墻，其中附帶了幾個(gè)功能包：入侵防御（IPS）、反病毒庫（AV）以及應(yīng)用識別特征庫等。最初在安裝時(shí)廠家只是給激活了功能，并沒有提及升級的問題，而且一開始也并沒有啟用。作為安全管理員，就得負(fù)起責(zé)任，把安全功能都真正用起來。

筆者點(diǎn)擊進(jìn)入防火墻Web 管理頁面，首頁日志提示特征庫升級失敗，看日期是每天定時(shí)升級，問題已經(jīng)持續(xù)幾年。進(jìn)入“系統(tǒng)→升級中心”，發(fā)現(xiàn)就是如圖1 的幾個(gè)功能每天定時(shí)升級，狀態(tài)顯示“升級服務(wù)器域名解析失敗，請檢查配置或網(wǎng)絡(luò)連接”。如圖2 所示。

筆者手動點(diǎn)擊“立即升級”，但依然失敗。此時(shí)顯示升級中心的地址是“sec.huawei.com”，很明顯，問題就是防火墻不能連接外網(wǎng)進(jìn)行升級。

解決思路

在策略菜單下的安全策略里新建一條DNS 安全策略，方向是從local 域到untrust 域，也就是開通防火墻到外網(wǎng)的策略。如圖3 所示。

圖1 升級中心

圖2 升級特征庫報(bào)錯(cuò)

回到升級中心再次點(diǎn)擊“特征庫升級”，還是不行。

點(diǎn)擊頁面右下角的CLI控制臺進(jìn)行測試：ping sec.huawei.com，不通。ping www.baidu.com，也不通。

進(jìn)入網(wǎng)絡(luò)管理，查看防火墻DNS 已經(jīng)進(jìn)行了配置。繼續(xù)輸入：

sys 進(jìn)入防火墻命令行模式

dns resolve 開啟動態(tài)域名解析功能

dns proxy enable 開啟DNS 代理功能

重新ping sec.huawei.com，終于通了。只要到升級中心網(wǎng)絡(luò)通了，升級特征庫就應(yīng)該沒問題了。之后全部成功升級到了最新版。如圖4 所示。

升級完特征庫就大功告成了嗎？還差一步，那就是在每一條開啟的策略里啟用特征庫的檢查選項(xiàng)，內(nèi)容安全欄有這幾個(gè)特征庫圖標(biāo)才說明真正生效了。如圖5 所示。

經(jīng)驗(yàn)總結(jié)

硬件配軟件，軟件配模塊。既然買了模塊，就得學(xué)會開啟它，這樣才能提升企業(yè)整體網(wǎng)絡(luò)安全防護(hù)能力。

圖3 新建防火墻策略

圖4 升級特征庫成功

圖5 策略啟用特征庫

企業(yè)網(wǎng)絡(luò)安全涉及到的設(shè)備有很多，特別是在等保2.0 標(biāo)準(zhǔn)下，安全運(yùn)維工作相比之前要求更高，堡壘機(jī)、下一代防火墻、日志和數(shù)據(jù)庫審計(jì)、上網(wǎng)行為管理等關(guān)鍵網(wǎng)絡(luò)安全設(shè)備都需完備，作為安全人員，還是需要腳踏實(shí)地多學(xué)習(xí)實(shí)踐，把自家安全設(shè)備功能吃透，搭建起成套的網(wǎng)絡(luò)安全防護(hù)體系，而不是僅滿足能用。