企业防火墙安全防护配置七大问题
2007-07-23 12:46:23 来源:WEB开发网核心提示: 问题二:关于防火墙DMZ区的使用和防火墙的DMZ区域规则的配置,现在很多企业网络一般都是很简单,企业防火墙安全防护配置七大问题(2),防火墙部署在企业网出口,后面接内网核心交换机,或者在需要时动态添加,当业务完成后,核心交换机再接分支交换机,用户主机接各个分支交换机进行网络访问
问题二:
关于防火墙DMZ区的使用和防火墙的DMZ区域规则的配置。
现在很多企业网络一般都是很简单,防火墙部署在企业网出口,后面接内网核心交换机,核心交换机再接分支交换机,用户主机接各个分支交换机进行网络访问。笔者在用户使用大唐龙创防火墙或者其他品牌的调查中发现,由于一些网络集成商,对于防火墙的DMZ区没有深刻认识,有些企业防火墙的DMZ口并没有使用,企业网内部对外开放的服务器与所有上网办公主机是混在一起的。而有一些企业,虽然使用了DMZ接口,但由于设置的规则不合理,其实并没有起到DMZ区隔离安全效果。这其实都存在很大的安全隐患。
DMZ,即非军事化缓冲区,是当网络内部有服务需要开放给公网用户时而设置的独立区域。由于这些开放服务器要面对的是大量公网的任意未知用户,因此,在接入时一般必须使用防火墙的独立DMZ接口进行隔离,同时需要设置严格的防火墙控制策略,以防止入侵者的破坏。内部服务器要作为功能独立的主机要与单位用户的个人主机分开,同时为便于管理,一般地址段也是独立的,以区分于个人用户的地址段。
如果内部服务器是与其他主机混在一起,没有放在独立的DMZ区进行隔离,其后果可能是,一旦服务器被黑客利用其漏洞攻击成功,则整个网络就暴露在黑客面前,黑客将很轻松的以服务器为跳板攻击整个网络。
因此,我们在配置开放服务的防火墙DMZ区策略时,也一定要严格,一般都细化到服务器每个端口,开放了什么服务,才在防火墙规则中打开什么端口号。对于不使用的端口号,要全部禁止。同时,特别要注意的是,千万不要在防火墙中加DMZ区到内网区的全通规则,如果这样,DMZ区也就失去了防护的意义。如果确实有到内网的通信需求,也要细化到哪个IP地址的哪个端口,或者在需要时动态添加,当业务完成后,就要马上将规则删除。
更多精彩
赞助商链接