企业防火墙构建的误区和实施策略

核心提示： 关键在于防火墙能够限制不同网络区域的通信，这些区域是根据逻辑组织和功能目的划分的，企业防火墙构建的误区和实施策略(3)，但防火墙不能限制并保护主机免受同一子网内的其它主机的威胁，因为数据绝对不会通过防火墙接受检查，只要部署了这种策略，即使服务器没有打补丁，这也就是为什么防火墙支持的区域越多

关键在于防火墙能够限制不同网络区域的通信，这些区域是根据逻辑组织和功能目的划分的。但防火墙不能限制并保护主机免受同一子网内的其它主机的威胁，因为数据绝对不会通过防火墙接受检查。这也就是为什么防火墙支持的区域越多，它在一个设计科学的企业网络中也就越有用。由于一些主要的厂商都支持接口的汇聚，所以区域划分实现起来也就简单多了。单独一个千兆比特的端口可以轻松地支持多个区域，并且比几个快速以太网端口的执行速度更快。

实施一套良好的防火墙策略

安全防火墙架构的首要关键组件是策略的设计。实现这些目标的最为重要的概念是使用原则的需要。在防火墙的策略中，这只是意味着除非有一个明确的原因要求使用某种服务，这种服务默认地必须被阻止或拒绝。为实施默认的服务阻止规则，在所有策略集的末尾只需要全局性地实施一种防火墙策略，即丢弃一切的规则，意思就是防火墙的默认行为是丢弃来自任何源到达任何目的地的任何服务的数据包。这条规则在任何的防火墙策略中是最后一条规则，因为在某种通信在有机会进入之前，它已经被封杀了。一旦实施了这种基本的行为，就需要对特定的源、特定的服务、对特定的目标地址的访问等实施在一些精心设计的规则。一般而言，这些规则越精密，网络也就越安全。

例如，用户可被准许使用对外的一些常见服务端口，如HTTP，FTP，媒体服务等，但其它的服务和程序除非有了明确的原因才准许通信。在根据企业的需要找到一种特别的原因后，就需要在验证和核准后增加一些严格控制的针对性规则。管理员们常犯的一个错误是他们将用户的权限扩展到了服务和DMZ网络。适用于用户的向外转发数据的规则通常并不适用于服务器。在认真考虑之后，管理员会找到Web服务器并不需要浏览Web的理由。服务器就是服务器，它主要是提供服务，而很少成为客户端。一个根本的问题是DMZ或服务器几乎不应当首先发起通信。服务器典型情况下会接受请求，但几乎不可能接受来自公共的互联网的请求服务，除非是企业合伙人的XML及EDI应用。其它的例外还有一些，如提供驱动程序和软件更新的合法厂商的站点，但所有的例外，都应当严格而精密地定义。遵循这些严格的标准可以极大地减少服务器被损害的可能，最好能达到这样一种程度，只要部署了这种策略，即使服务器没有打补丁，也能防止内部子网的蠕虫传播。