企业防火墙安全防护配置七大问题

核心提示： 问题二：关于防火墙DMZ区的使用和防火墙的DMZ区域规则的配置，现在很多企业网络一般都是很简单，企业防火墙安全防护配置七大问题(2)，防火墙部署在企业网出口，后面接内网核心交换机，或者在需要时动态添加，当业务完成后，核心交换机再接分支交换机，用户主机接各个分支交换机进行网络访问

问题二：

关于防火墙DMZ区的使用和防火墙的DMZ区域规则的配置。

现在很多企业网络一般都是很简单，防火墙部署在企业网出口，后面接内网核心交换机，核心交换机再接分支交换机，用户主机接各个分支交换机进行网络访问。笔者在用户使用大唐龙创防火墙或者其他品牌的调查中发现，由于一些网络集成商，对于防火墙的DMZ区没有深刻认识，有些企业防火墙的DMZ口并没有使用，企业网内部对外开放的服务器与所有上网办公主机是混在一起的。而有一些企业，虽然使用了DMZ接口，但由于设置的规则不合理，其实并没有起到DMZ区隔离安全效果。这其实都存在很大的安全隐患。

DMZ，即非军事化缓冲区，是当网络内部有服务需要开放给公网用户时而设置的独立区域。由于这些开放服务器要面对的是大量公网的任意未知用户，因此，在接入时一般必须使用防火墙的独立DMZ接口进行隔离，同时需要设置严格的防火墙控制策略，以防止入侵者的破坏。内部服务器要作为功能独立的主机要与单位用户的个人主机分开，同时为便于管理，一般地址段也是独立的，以区分于个人用户的地址段。

如果内部服务器是与其他主机混在一起，没有放在独立的DMZ区进行隔离，其后果可能是，一旦服务器被黑客利用其漏洞攻击成功，则整个网络就暴露在黑客面前，黑客将很轻松的以服务器为跳板攻击整个网络。

因此，我们在配置开放服务的防火墙DMZ区策略时，也一定要严格，一般都细化到服务器每个端口，开放了什么服务，才在防火墙规则中打开什么端口号。对于不使用的端口号，要全部禁止。同时，特别要注意的是，千万不要在防火墙中加DMZ区到内网区的全通规则，如果这样，DMZ区也就失去了防护的意义。如果确实有到内网的通信需求，也要细化到哪个IP地址的哪个端口，或者在需要时动态添加，当业务完成后，就要马上将规则删除。