实例:六步建立可靠的防火墙规则集
2008-11-14 12:16:39 来源:WEB开发网核心提示: 惟一的从Internet到内部网络的通话是远程管理,我们必须让系统管理员能远程地访问他们的系统,实例:六步建立可靠的防火墙规则集(2),我们实现它的方式是只允许加密服务进入内部网络,还有一样东西我们必须添加,允许内部出网我们的规则是允许内部网络的任何人出网,与安全策略中所规定的一样,那就是
惟一的从Internet到内部网络的通话是远程管理。我们必须让系统管理员能远程地访问他们的系统。我们实现它的方式是只允许加密服务进入内部网络。
还有一样东西我们必须添加,那就是DNS。虽然我们没有在安全策略中陈述它,但我们必须提供这项服务。作为安全管理员,我们要实现Split DNS。Split DNS是指在两台不同的服务器上分离DNS的功能。我们通过用一台DNS来分析公司域名的External DNS服务器和一台内部用户使用的Internal DNS服务器来实现该项功能。External DNS服务器与Web和E-mail服务器一起放在有保护的DMZ中,Internal DNS服务器放在内部网络中。
第三步:制定规则次序
在建立规则集之前,有一件事必须提及,即规则次序。哪条规则放在哪条之前是非常关键的。同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。很多防火墙(例如SunScreen EFS、Cisco IOs、FW-1)以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后是第二条、第三条……当它发现一条匹配规则时,就停止检查并应用那条规则。如果信息包经过每一条规则而没有发现匹配,这个信息包便会被拒绝。一般来说,通常的顺序是,较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被匹配,这可以使你的防火墙避免配置错误。
第四步:落实规则集
选好素材就可以建立规则集了,下面就简要概述每条规则。
切断默认
通常在默认情况下,DS2000有多种服务是不公开的。我们的第一步需要切断默认性能。
允许内部出网
我们的规则是允许内部网络的任何人出网,与安全策略中所规定的一样,所有的服务都被许可。
更多精彩
赞助商链接