实例：六步建立可靠的防火墙规则集

核心提示： 惟一的从Internet到内部网络的通话是远程管理，我们必须让系统管理员能远程地访问他们的系统，实例：六步建立可靠的防火墙规则集(2)，我们实现它的方式是只允许加密服务进入内部网络，还有一样东西我们必须添加，允许内部出网我们的规则是允许内部网络的任何人出网，与安全策略中所规定的一样，那就是

惟一的从Internet到内部网络的通话是远程管理。我们必须让系统管理员能远程地访问他们的系统。我们实现它的方式是只允许加密服务进入内部网络。

还有一样东西我们必须添加，那就是DNS。虽然我们没有在安全策略中陈述它，但我们必须提供这项服务。作为安全管理员，我们要实现Split DNS。Split DNS是指在两台不同的服务器上分离DNS的功能。我们通过用一台DNS来分析公司域名的External DNS服务器和一台内部用户使用的Internal DNS服务器来实现该项功能。External DNS服务器与Web和E-mail服务器一起放在有保护的DMZ中，Internal DNS服务器放在内部网络中。

第三步：制定规则次序

在建立规则集之前，有一件事必须提及，即规则次序。哪条规则放在哪条之前是非常关键的。同样的规则，以不同的次序放置，可能会完全改变防火墙的运转情况。很多防火墙（例如SunScreen EFS、Cisco IOs、FW-1）以顺序方式检查信息包，当防火墙接收到一个信息包时，它先与第一条规则相比较，然后是第二条、第三条……当它发现一条匹配规则时，就停止检查并应用那条规则。如果信息包经过每一条规则而没有发现匹配，这个信息包便会被拒绝。一般来说，通常的顺序是，较特殊的规则在前，较普通的规则在后，防止在找到一个特殊规则之前一个普通规则便被匹配，这可以使你的防火墙避免配置错误。

第四步：落实规则集

选好素材就可以建立规则集了，下面就简要概述每条规则。

切断默认

通常在默认情况下，DS2000有多种服务是不公开的。我们的第一步需要切断默认性能。

允许内部出网

我们的规则是允许内部网络的任何人出网，与安全策略中所规定的一样，所有的服务都被许可。