实例:六步建立可靠的防火墙规则集
2008-11-14 12:16:39 来源:WEB开发网核心提示: 添加锁定现在我们添加锁定规则,阻塞对防火墙的任何访问,实例:六步建立可靠的防火墙规则集(3),这是所有规则集都应有的一条标准规则,除了防火墙管理员,这样能提高防火墙性能,增加IDS对那些喜欢基础扫描检测的人来说,任何人都不能访问防火墙,丢弃不匹配的信息包在默认情况下
添加锁定
现在我们添加锁定规则,阻塞对防火墙的任何访问,这是所有规则集都应有的一条标准规则,除了防火墙管理员,任何人都不能访问防火墙。
丢弃不匹配的信息包
在默认情况下,丢弃所有不能与任何规则匹配的信息包。但这些信息包并没有被记录。我们把它添加到规则集末尾来改变这种情况,这是每个规则集都应有的标准规则。
丢弃并不记录
通常网络上大量被防火墙丢弃并记录的通信通话会很快将日志填满。我们创立一条规则丢弃/拒绝这种通话但不记录它。这是一条你需要的标准规则。
允许DNS 访问
我们允许Internet用户访问我们的DNS服务器。
允许邮件访问
我们希望Internet和内部用户通过SMTP(简单邮件传递协议)访问我们的邮件服务器。
允许Web 访问
我们希望Internet和内部用户通过HTTP(服务程序所用的协议)访问我们的Web服务器。
阻塞DMZ
内部用户公开访问我们的DMZ,这是我们必须阻止的.
允许内部的POP访问
让内部用户通过POP(邮局协议)访问我们的邮件服务器。
强化DMZ的规则
你的DMZ应该从不启动与内部网络的连接。如果你的DMZ能这样做,就说明它是不安全的。这里希望加上这样一条规则,只要有从DMZ到内部用户的通话,它就会发出拒绝、做记录并发出警告。
允许管理员访问
我们允许管理员(受限于特殊的资源IP)以加密方式访问内部网络。
提高性能
最后,我们回顾一下规则集来考虑性能问题,只要有可能,就把最常用的规则移到规则集的顶端。因为防火墙只分析较少数的规则,这样能提高防火墙性能。
增加IDS
对那些喜欢基础扫描检测的人来说,这会有帮助。
更多精彩
赞助商链接