网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　下面主要win7之家介绍防火墙安令策略的概念、基本原则及定制建议。

　　1、防火墙安全策略的概念

　　安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定，如哪些资源是公共信息所有用户都可以查看、哪些是需要特权才是可查看的及哪些人拥有这种特权。制定一套恰当的安全策略是必需的，因为它可以说是一个组织的安全策略轮廓，尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。防火墙一般执行以下两种基本策略中的一种：

　　①除非明确不允许，否则允许某种服务;

　　②除非明确允许，否则将禁止某项服务。

　　执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第1种)，也可以实施一种限制性的策略(第2种)，这就是制定防火墙策略的入手点。

　　2、防火墙安全策略的基本原则

　　拒绝的规则一定要放在允许的规则前向

　　当需要使用拒绝时，显式拒绝是首要考虑的方式。

　　在不影响防火墙策略执行效果的情况下，莳将匹配度更高的规则放在前面。

　　在不影响防火墙策略执行效果的情况下，请将针对所有用户的规则放在前面。

　　尽量简化你的规则，执行一条规则的效率永远比执行两条规则的效率髙。

　　永远不要在商业网络中使用Allow4ALL规则(允许所有网络中的用户使用所有协议Allowallusersuseallprotocolsfromallnetworkstoallnetworks)，这样只是让你的ISA形同虚设。如果可以通过配置系统策略来实现，就没有必要再建立自定义规则。

　　ISA的每条访问规则都是独立的，执行每条访问规则时不会受到其他访问规则的影响。无论作为访问规则中的目的还是源，最好使用IP地址。

　　如果你一定要在访问规则中使用域名集或UKL集，好将客户配置为Web代理客户。请不要忘了，防火墙策略的最后还有一条DENY4ALL。

　　最后，防火墙安全策略的测试是必需的。

　　3、防火墙安全策略的定制建议

　　防火墙的安全策略涉及账号、权限、认证、过滤、信任等多个方面，具体制定过程中应根据实际情况而定。

　　(1)账号管理策略

　　账号管理涉及用户名、口令、用户所诚工作组、用户在系统中的权限和资源存取许可权等。如果账号管理采用口令方式，应制定口令最长使用时间、口令最短使用时间、口令最小长度以及口令的唯一性。口令必须采用加密机制保存。此外，账号管理还必须对用户在一定时间内多次重复登录系统失败后的账号自动锁定。

　　(2)最小权限策略

　　敁小权限策略是敁基本的信息安全原则，它意味着对任一对象用户、程序、路由器或者其他事物只能赋予它需要完成指定任务所必要的最小权限而绝不超越此权限。

　　(3)多层次保护策略

　　任何单一的安全保护机制都不是绝对安全的，因此构建防火墙时要有多个安全机制、互相支搾的多层次保护借施。例如：外部和内部的路由器保护堡垒主机免受外部的侵袭，而堡垒主机经过精心配置，加强自身保护，从而进一步提高抵御外部攻击的能力。

　　(4)失效保护策略

　　如果防火墙发生运行故障或者安全保护措施失效后，防火墙系统必须遵照“没有允许的服务都是禁止”的安全策略工作。

　　(5)信任关系策略

　　通过信任域和被信任域之间的信任关系在网络中建立域模型的安全性。在建立信任关系时，被信仟域应提供执行信任的用户和口令，信任域则允许被信任域中的用户在其中使用，并赋予相应资源的访问许可权。

　　(6)包过滤策略

　　防火墙应在以下三层中设置控制点：网络层控制点应设在源地址和目的地址;传输层控制点应设在源端口号和H的端n号及标志位上;应爪层控制点应根据使用的网络协议而定。

　　(7)认证、签名和数据加密策略

　　选择安全有效的加密和认证算法，是安全服务和安全体制的基础和核心。

　　(8)密钥管理策略

　　密钥应优先采用自动化管理，特別是密钥分配建议采用离线式密钥中心方式。

　　(9)审计策略

　　审计是用来记录用户的访问对象、访问类型、访问过程等。事件日志的放置位置由防火墙管理员制定，可记录在防火墙中，也可放置在其他的主机上。防火墙管理员应定期查看、分析并及时了解网络运行状况。