网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　通常网络上大量被防火墙丢弃并记录的通信通话会很快将日志填满。我们创立一条规则丢弃/拒绝这种通话但不记录它。这是一条你需要的标准规则。

　　允许DNS 访问

　　我们允许Internet用户访问我们的DNS服务器。

　　允许邮件访问

　　我们希望Internet和内部用户通过SMTP(简单邮件传递协议)访问我们的邮件服务器。

　　允许Web 访问

　　我们希望Internet和内部用户通过HTTP(服务程序所用的协议)访问我们的Web服务器。

　　阻塞DMZ

　　内部用户公开访问我们的DMZ，这是我们必须阻止的.

　　允许内部的POP访问

　　让内部用户通过POP(邮局协议)访问我们的邮件服务器。

　　强化DMZ的规则

　　你的DMZ应该从不启动与内部网络的连接。如果你的DMZ能这样做，就说明它是不安全的。这里希望加上这样一条规则，只要有从DMZ到内部用户的通话，它就会发出拒绝、做记录并发出警告。

　　允许管理员访问

　　我们允许管理员(受限于特殊的资源IP)以加密方式访问内部网络。

　　提高性能

　　最后，我们回顾一下规则集来考虑性能问题，只要有可能，就把最常用的规则移到规则集的顶端。因为防火墙只分析较少数的规则，这样能提高防火墙性能。

　　增加IDS

　　对那些喜欢基础扫描检测的人来说，这会有帮助。

　　附加规则

　　你可以添加一些附加规则，例如：

　　阻塞与AOL ICQ的连接，不要阻塞入口，只阻塞目的文件AOL服务器。

　　第五步：注意更换控制

　　在你恰当地组织好规则之后，还建议你写上注释并经常更新它们。注释可以帮助你明白哪条规则做什么，对规则理解得越好，错误配置的可能性就越小。对那些有多重防火墙管理员的大机构来说，建议当规则被修改时??

　　规则更改者的名字。

　　规则变更的日期/时间。

　　规则变更的原因。

　　第六步：做好审计工作

　　当你建立好规则集后，检测它很关键。我们所犯的错误由好的管理员去跟踪并找到它们。

　　防火墙实际上是一种隔离内外网的工具。在如今Internet访问的动态世界里，在实现过程中很容易犯错误。通过建立一个可靠的、简单的规则集，你可以创建一个更安全的被你的防火墙所隔离的网络环境。

　　成功的诀窍：规则越简单越好

　　在我们深入探讨之前，要强调一下一个简单的规则集是建立一个安全的防火墙的关键所在。网络的头号敌人是错误配置。为什么当你意外地将消息访问协议(IMAP)公开时，那些坏家伙会试图悄悄携带欺骗性的、片断的信息包通过你的防火墙?请尽量保持你的规则集简洁和简短，因为规则越多，就越可能犯错误，规则越少，理解和维护就越容易。一个好的准则是最好不要超过30条。一旦规则超过50条，你就会以失败而告终。当你要从很多规则入手时，就要认真检查一下你的整个安全体系结构，而不仅仅是防火墙。规则越少，规则集就越简洁，错误配置的可能性就越小，系统就越安全。因为规则少意味着只分析少数的规则，防火墙的CPU周期就短，防火墙效率就可以提高。

未经允许不得转载：DOIT » 安全实例：六步建立可靠的防火墙规则集