世界顶级防火墙LooknStop的配置详解

但是在把安全策略转化为规则实体之前，我们还必须慎密的思考一件事情，那就是“安全体系结构”。

所谓“安全体系结构”，就是整个防火墙最终为用户带来的安全效果，安全策略可以是片面的，管理员在思考策略的时候不一定要考虑到整体效果，但是当一条条安全策略作为规则集合出现之前，它就必须先转化为面向整体的“安全体系结构”， 这是一种考虑全局的策略集，还是上面的网站服务器例子，管理员需要开放基本的80端口，如果有FTP，还要开放21端口，甚至SSL端口443，这个环境的安全策略则可以描述为以下列表：

1. 开放80端口

2. 开放443端口

3. 开放21端口

但是光有这些还不够，管理员必须保证它与已有的规则集合不会发生冲突以及实际环境中的应用效率，例如，实际生活中，防火墙在开放端口的同时还要对数据进行监控，以防止SYN洪水等，另外还要检查防火墙默认规则集合里有没有与之冲突的描述，如果你增加了一条“开放80端口”的规则，但是规则集合里却存在着“限制所有端口连接”的规则，那么其中一条规则就会失效，管理员的预期设想也就得不到正确实施了。

所以管理员在做好自己的安全策略后，还要检查已有的规则集，删除会导致策略冲突的规则，并可能根据实际应用环境做出策略调整，最后得出最终的安全策略列表，这一步就叫做“安全体系结构”：

1. 开放21、80、443端口

2. 在80端口上设置SYN计数防止DoS攻击

3. 继续阻止其他端口访问，如135、139等

4. 允许ICMP回显

5. 允许管理员能从内部网络远程登录配置服务器

6. 更多规则设置列表……