实例：六步建立可靠的防火墙规则集

核心提示：建立一个可靠的规则集对于实现一个成功的、安全的防火墙来说是非常关键的一步，因为如果你的防火墙规则集配置错误，实例：六步建立可靠的防火墙规则集，再好的防火墙也只是摆设，在安全审计中，有保护的DMZ是与防火墙脱离的孤立的部分；无保护的DMZ是介于路由器和防火墙之间的网络部分，这里建议使用有保护的DMZ，经常能看到一个巨资购

建立一个可靠的规则集对于实现一个成功的、安全的防火墙来说是非常关键的一步。因为如果你的防火墙规则集配置错误，再好的防火墙也只是摆设。在安全审计中，经常能看到一个巨资购入的防火墙由于某个规则配置的错误而将机构暴露于巨大的危险之中。本文的目的就是帮助网络管理员设计、建立和维护一个可靠的、安全的防火墙规则集，这里以高阳信安的DS2000防火墙为例，不过其中包含的信息是适用于大多数的防火墙的。

如何建立一个安全的规则集呢？下面我们就从一个虚构机构的安全策略开始，基于此策略，来设计一个防火墙规则集。

第一步：制定安全策略

防火墙和防火墙规则集只是安全策略的技术实现。管理层规定实施什么样的安全策略，防火墙是策略得以实施的技术工具。所以，在建立规则集之前，我们必须首先理解安全策略，假设它包含以下3方面内容：

1. 内部雇员访问Internet不受限制。

2. 规定Internet有权使用公司的Webserver和Internet Email。

3. 任何进入公用内部网络的通话必须经过安全认证和加密。

显然，大多数机构的安全策略要远远比这复杂，对本文来说，这就够了。

第二步：搭建安全体系结构

作为一个安全管理员，第一步是将安全策略转化为安全体系结构。现在，我们来讨论把每一项安全策略核心如何转化为技术实现。

第一项很容易，内部网络的任何东西都允许输出到Internet上。

第二项安全策略核心很微妙，这就要求我们要为公司建立Web和E-mail服务器。由于任何人都能访问Web和E-mail服务器，所以我们不能信任它们。我们通过把它们放入DMZ（Demilitarized Zone，中立区）来实现该项策略。DMZ是一个孤立的网络，通常把不信任的系统放在那里，DMZ中的系统不能启动连接内部网络。DMZ有两种类型，有保护的和无保护的。有保护的DMZ是与防火墙脱离的孤立的部分；无保护的DMZ是介于路由器和防火墙之间的网络部分。这里建议使用有保护的DMZ，我们把Web和E-mail服务器放在那里。