WEB开发网
开发学院网络安全防火墙 实例:六步建立可靠的防火墙规则集 阅读

实例:六步建立可靠的防火墙规则集

 2008-11-14 12:16:39 来源:WEB开发网   
核心提示: 惟一的从Internet到内部网络的通话是远程管理,我们必须让系统管理员能远程地访问他们的系统,实例:六步建立可靠的防火墙规则集(2),我们实现它的方式是只允许加密服务进入内部网络,还有一样东西我们必须添加,允许内部出网我们的规则是允许内部网络的任何人出网,与安全策略中所规定的一样,那就是

惟一的从Internet到内部网络的通话是远程管理。我们必须让系统管理员能远程地访问他们的系统。我们实现它的方式是只允许加密服务进入内部网络。

还有一样东西我们必须添加,那就是DNS。虽然我们没有在安全策略中陈述它,但我们必须提供这项服务。作为安全管理员,我们要实现Split DNS。Split DNS是指在两台不同的服务器上分离DNS的功能。我们通过用一台DNS来分析公司域名的External DNS服务器和一台内部用户使用的Internal DNS服务器来实现该项功能。External DNS服务器与Web和E-mail服务器一起放在有保护的DMZ中,Internal DNS服务器放在内部网络中。

第三步:制定规则次序

在建立规则集之前,有一件事必须提及,即规则次序。哪条规则放在哪条之前是非常关键的。同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。很多防火墙(例如SunScreen EFS、Cisco IOs、FW-1)以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后是第二条、第三条……当它发现一条匹配规则时,就停止检查并应用那条规则。如果信息包经过每一条规则而没有发现匹配,这个信息包便会被拒绝。一般来说,通常的顺序是,较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被匹配,这可以使你的防火墙避免配置错误。

第四步:落实规则集

选好素材就可以建立规则集了,下面就简要概述每条规则。

切断默认

通常在默认情况下,DS2000有多种服务是不公开的。我们的第一步需要切断默认性能。

允许内部出网

我们的规则是允许内部网络的任何人出网,与安全策略中所规定的一样,所有的服务都被许可。

上一页  1 2 3 4  下一页

Tags:实例 建立 可靠

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接