成功创建一个防火墙系统一般需要6个步骤:制订安全策略、搭建安全体系结构、制订规则次序、落实规则集、注意更换控制和做好审计工作。建立一个可靠的规则集对于实现一个成功、安全的防火墙来说是非常关键的一步。如果防火墙规则集配置错误,再好的防火墙也只是摆设。在安全审计中,经常能看到一个巨资购入的防火墙由于某个规则配置的错误而将机构暴露于巨大的危险之中。
1.制订安全策略
防火墙和防火墙规则集只是安全策略的技术实现,在建立规则集之前,必须首先理解安全策略。安全策略一般由管理人员制订,假设它包含以下三方面内容。
(1)内部员工访问,因特网不受限制。
(2)因特网用户有权访问公司的Web服务器和E-mail服务器。
(3)任何进入公用内部网络的数据必须经过安全认证和加密实际的安全策略要远比这些复杂。在实际应用中,需要根据公司的实际情况制订细的安全策略。
2.设计安全体系结构
作为一个安全管理员,需要将安全策略转化为安全体系结构。根据安全策略“因特网用户有权访问公司的Web服务器和E-mail服务器”,首先为公司建立Web和E-mail服务器。由于任何人都能访问Web和E-mail服务器,所以这些服务器是不安全的,通过把这些服务器放入DMZ来实现该项策略。
3.制订规则次序
在建立规则集时,需要注意规则的次序,哪条规则放在哪条之前是非常关键的、同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。
4.落实规则集
选择好素材后就可以建立规则集。一个典型的防火墙的规则集合包括12个方面,下面简单介绍一下。
(1)切断默认。首先需要切断数据包的认设置。
(2)允许内部出网。允许内部网络的任何人出网,与安全策略中所规定的一样,所有的服务都被许可。
(3)添加锁定。添加锁定规则,阻塞对防火墙的访问,这是所有规则集都应有的一条标准规则,除了防火墙管理员,任何人都不能访问防火墙。(www.xing528.com)
(4)丢弃不匹配的信息包。在默认情况下,丢弃所有不能与任何规则匹配的信息包,但这些信息包并没有被记录。把它添加到规则集末尾来改变这种情况,这是每个规则集都应有的标准规则。
(5)丢弃并不记录。通常网络上大量被防火墙丢弃并记录的通信通话会很快将日志填满创立一条规则丢弃或拒绝这种通话但不记录它。
(6)允许DNS访问。允许因特网用户访问内部的DNS服务器
(7)允许邮件访问。允许因特网用户和内部用户通过SMTP协议访问邮件服务器
(8)允许W出访问。允许因特网用户和内部用户通过HTTP协议访问Web服务器。
(9)阻塞DMZ。禁止内部用户公开访问DM
(10)允许内部的POP访问。允许内部用户通过POP协议访问邮件服务器。
(11)强化DMZ的规则。DMZ应该从不启动与内部网络的连接
(12)允许管理员访问。允许管理员以加密方式问内部网络
5.更换控制
当规则组织好后,应该写上注释并经常更新,注释可以帮助理解每一条规则做什么。对规则理解得越好,错误配置的可能性就越小。对那些有多重防火墙管理员的大机构来说,建议当规则被修改时,把下列信息加入注释中,这可以帮助管理员跟踪谁修改了哪条规则及修改的原因。
(1)规则更改者的名字。
(2)规则变更的日期/时间。
(3)规则变更的原因。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
