日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
如何建立可靠的防火墻規(guī)則集

部署網(wǎng)絡(luò)防火墻確實(shí)為企業(yè)安全防護(hù)的不二選擇,然而如果沒有一個(gè)正確的防火墻規(guī)則集設(shè)置,所謂的防火墻也只能是泡沫而已。本文的目的就是幫助網(wǎng)絡(luò)管理員設(shè)計(jì)、建立和維護(hù)一個(gè)可靠的、安全的防火墻規(guī)則集,這里以高陽信安的DS2000防火墻為例,不過其中包含的信息是適用于大多數(shù)的防火墻的。

我們提供的服務(wù)有:成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、微信公眾號(hào)開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、都江堰ssl等。為上千家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的都江堰網(wǎng)站制作公司

如何建立一個(gè)安全的規(guī)則集呢?下面我們就從一個(gè)虛構(gòu)機(jī)構(gòu)的安全策略開始,基于此策略,來設(shè)計(jì)一個(gè)防火墻規(guī)則集。

防火墻規(guī)則集***步:制定安全策略

防火墻和防火墻規(guī)則集只是安全策略的技術(shù)實(shí)現(xiàn)。管理層規(guī)定實(shí)施什么樣的安全策略,防火墻是策略得以實(shí)施的技術(shù)工具。所以,在建立規(guī)則集之前,我們必須首先理解安全策略,假設(shè)它包含以下3方面內(nèi)容:

1. 內(nèi)部雇員訪問Internet不受限制。

2. 規(guī)定Internet有權(quán)使用公司的Webserver和Internet Email。

3. 任何進(jìn)入公用內(nèi)部網(wǎng)絡(luò)的通話必須經(jīng)過安全認(rèn)證和加密。

顯然,大多數(shù)機(jī)構(gòu)的安全策略要遠(yuǎn)遠(yuǎn)比這復(fù)雜,對(duì)本文來說,這就夠了。

防火墻規(guī)則集第二步:搭建安全體系結(jié)構(gòu)

作為一個(gè)安全管理員,***步是將安全策略轉(zhuǎn)化為安全體系結(jié)構(gòu)?,F(xiàn)在,我們來討論把每一項(xiàng)安全策略核心如何轉(zhuǎn)化為技術(shù)實(shí)現(xiàn)。

***項(xiàng)很容易,內(nèi)部網(wǎng)絡(luò)的任何東西都允許輸出到Internet上。

第二項(xiàng)安全策略核心很微妙,這就要求我們要為公司建立Web和E-mail服務(wù)器。由于任何人都能訪問Web和E-mail服務(wù)器,所以我們不能信任它們。我們通過把它們放入DMZ(Demilitarized Zone,中立區(qū))來實(shí)現(xiàn)該項(xiàng)策略。DMZ是一個(gè)孤立的網(wǎng)絡(luò),通常把不信任的系統(tǒng)放在那里,DMZ中的系統(tǒng)不能啟動(dòng)連接內(nèi)部網(wǎng)絡(luò)。DMZ有兩種類型,有保護(hù)的和無保護(hù)的。有保護(hù)的DMZ是與防火墻脫離的孤立的部分;無保護(hù)的DMZ是介于路由器和防火墻之間的網(wǎng)絡(luò)部分。這里建議使用有保護(hù)的DMZ,我們把Web和E-mail服務(wù)器放在那里。

惟一的從Internet到內(nèi)部網(wǎng)絡(luò)的通話是遠(yuǎn)程管理。我們必須讓系統(tǒng)管理員能遠(yuǎn)程地訪問他們的系統(tǒng)。我們實(shí)現(xiàn)它的方式是只允許加密服務(wù)進(jìn)入內(nèi)部網(wǎng)絡(luò)。

還有一樣?xùn)|西我們必須添加,那就是DNS。雖然我們沒有在安全策略中陳述它,但我們必須提供這項(xiàng)服務(wù)。作為安全管理員,我們要實(shí)現(xiàn)Split DNS。Split DNS是指在兩臺(tái)不同的服務(wù)器上分離DNS的功能。我們通過用一臺(tái)DNS來分析公司域名的External DNS服務(wù)器和一臺(tái)內(nèi)部用戶使用的Internal DNS服務(wù)器來實(shí)現(xiàn)該項(xiàng)功能。External DNS服務(wù)器與Web和E-mail服務(wù)器一起放在有保護(hù)的DMZ中,Internal DNS服務(wù)器放在內(nèi)部網(wǎng)絡(luò)中。

防火墻規(guī)則集第三步:制定規(guī)則次序

在建立規(guī)則集之前,有一件事必須提及,即規(guī)則次序。哪條規(guī)則放在哪條之前是非常關(guān)鍵的。同樣的規(guī)則,以不同的次序放置,可能會(huì)完全改變防火墻的運(yùn)轉(zhuǎn)情況。很多防火墻(例如SunScreen EFS、Cisco IOs、FW-1)以順序方式檢查信息包,當(dāng)防火墻接收到一個(gè)信息包時(shí),它先與***條規(guī)則相比較,然后是第二條、第三條……當(dāng)它發(fā)現(xiàn)一條匹配規(guī)則時(shí),就停止檢查并應(yīng)用那條規(guī)則。如果信息包經(jīng)過每一條規(guī)則而沒有發(fā)現(xiàn)匹配,這個(gè)信息包便會(huì)被拒絕。一般來說,通常的順序是,較特殊的規(guī)則在前,較普通的規(guī)則在后,防止在找到一個(gè)特殊規(guī)則之前一個(gè)普通規(guī)則便被匹配,這可以使你的防火墻避免配置錯(cuò)誤。#p#

防火墻規(guī)則集第四步:落實(shí)規(guī)則集

選好素材就可以建立規(guī)則集了,下面就簡(jiǎn)要概述每條規(guī)則。

切斷默認(rèn)

通常在默認(rèn)情況下,DS2000有多種服務(wù)是不公開的。我們的***步需要切斷默認(rèn)性能。

允許內(nèi)部出網(wǎng)

我們的規(guī)則是允許內(nèi)部網(wǎng)絡(luò)的任何人出網(wǎng),與安全策略中所規(guī)定的一樣,所有的服務(wù)都被許可。

添加鎖定

現(xiàn)在我們添加鎖定規(guī)則,阻塞對(duì)防火墻的任何訪問,這是所有規(guī)則集都應(yīng)有的一條標(biāo)準(zhǔn)規(guī)則,除了防火墻管理員,任何人都不能訪問防火墻。

丟棄不匹配的信息包

在默認(rèn)情況下,丟棄所有不能與任何規(guī)則匹配的信息包。但這些信息包并沒有被記錄。我們把它添加到規(guī)則集末尾來改變這種情況,這是每個(gè)規(guī)則集都應(yīng)有的標(biāo)準(zhǔn)規(guī)則。

丟棄并不記錄

通常網(wǎng)絡(luò)上大量被防火墻丟棄并記錄的通信通話會(huì)很快將日志填滿。我們創(chuàng)立一條規(guī)則丟棄/拒絕這種通話但不記錄它。這是一條你需要的標(biāo)準(zhǔn)規(guī)則。

允許DNS 訪問

我們?cè)试SInternet用戶訪問我們的DNS服務(wù)器。

允許郵件訪問

我們希望Internet和內(nèi)部用戶通過SMTP(簡(jiǎn)單郵件傳遞協(xié)議)訪問我們的郵件服務(wù)器。

允許Web 訪問

我們希望Internet和內(nèi)部用戶通過HTTP(服務(wù)程序所用的協(xié)議)訪問我們的Web服務(wù)器。

阻塞DMZ

內(nèi)部用戶公開訪問我們的DMZ,這是我們必須阻止的.

允許內(nèi)部的POP訪問

讓內(nèi)部用戶通過POP(郵局協(xié)議)訪問我們的郵件服務(wù)器。

強(qiáng)化DMZ的規(guī)則

你的DMZ應(yīng)該從不啟動(dòng)與內(nèi)部網(wǎng)絡(luò)的連接。如果你的DMZ能這樣做,就說明它是不安全的。這里希望加上這樣一條規(guī)則,只要有從DMZ到內(nèi)部用戶的通話,它就會(huì)發(fā)出拒絕、做記錄并發(fā)出警告。

允許管理員訪問

我們?cè)试S管理員(受限于特殊的資源IP)以加密方式訪問內(nèi)部網(wǎng)絡(luò)。

提高性能

***,我們回顧一下規(guī)則集來考慮性能問題,只要有可能,就把最常用的規(guī)則移到規(guī)則集的頂端。因?yàn)榉阑饓χ环治鲚^少數(shù)的規(guī)則,這樣能提高防火墻性能。

增加IDS

對(duì)那些喜歡基礎(chǔ)掃描檢測(cè)的人來說,這會(huì)有幫助。

附加規(guī)則

你可以添加一些附加規(guī)則,例如:

阻塞與AOL ICQ的連接,不要阻塞入口,只阻塞目的文件AOL服務(wù)器。

防火墻規(guī)則集第五步:注意更換控制

在你恰當(dāng)?shù)亟M織好規(guī)則之后,還建議你寫上注釋并經(jīng)常更新它們。注釋可以幫助你明白哪條規(guī)則做什么,對(duì)規(guī)則理解得越好,錯(cuò)誤配置的可能性就越小。對(duì)那些有多重防火墻管理員的大機(jī)構(gòu)來說,建議當(dāng)規(guī)則被修改時(shí)??

規(guī)則更改者的名字。

規(guī)則變更的日期/時(shí)間。

規(guī)則變更的原因。

防火墻規(guī)則集第六步:做好審計(jì)工作

當(dāng)你建立好規(guī)則集后,檢測(cè)它很關(guān)鍵。我們所犯的錯(cuò)誤由好的管理員去跟蹤并找到它們。

防火墻實(shí)際上是一種隔離內(nèi)外網(wǎng)的工具。在如今Internet訪問的動(dòng)態(tài)世界里,在實(shí)現(xiàn)過程中很容易犯錯(cuò)誤。通過建立一個(gè)可靠的、簡(jiǎn)單的規(guī)則集,你可以創(chuàng)建一個(gè)更安全的被你的防火墻所隔離的網(wǎng)絡(luò)環(huán)境。

成功的訣竅:規(guī)則越簡(jiǎn)單越好


文章名稱:如何建立可靠的防火墻規(guī)則集
轉(zhuǎn)載源于:http://www.dlmjj.cn/article/djcdjep.html