十大技巧打造固若金汤的企业级防火墙

核心提示： 3.编辑规则以便迅速评估防火墙流程规则按照你设置的顺序执行，因此，十大技巧打造固若金汤的企业级防火墙(2)，你要保证在你的清单上排在前面的是最容易处理的规则，如果一个请求与你的前几个规则匹配，这样，外部用户就可以访问它们的网站，这个防火墙就不用耗费时间处理随后的规则，容易处理的规则包括源端

3.编辑规则以便迅速评估

防火墙流程规则按照你设置的顺序执行。因此，你要保证在你的清单上排在前面的是最容易处理的规则。如果一个请求与你的前几个规则匹配，这个防火墙就不用耗费时间处理随后的规则。

容易处理的规则包括源端口信息、协议定义、IP地址和时间安排等。比较难处理的复杂规则包括域名和URL集以及内容类型和用户。

4.拒绝，拒绝，拒绝

因为你仅允许批准的通讯经过你的网络，你应该拒绝默认的一切通讯，然后启用必要的设备。你可以使用全球拒绝和全球允许规则做这个事情。全球允许规则向所有的用户提供具体的访问能力，而全球拒绝规则限制多有的用户的具体访问能力。

例如，你可以使用一个DNS协议为用户设置一个访问的允许规则，为设法使用一个P2P协议的用户设置一个拒绝规则。

这些类型的规则将减少防火墙使用后面的规则处理器的通讯，从而更容易强制执行某些访问政策。

5.监视出网通讯

我们通常认为网络安全是保护我们的系统不受病毒和蠕虫等外部威胁的侵害，但是，从网络内部实施攻击也是同样容易的。这是你设置防火墙过滤出网通讯和入网通讯的一个原因。这种过滤也称作出口过滤，防止没有经过批准的通讯离开公司计算机和服务器。这种过滤也能够防止内部计算机被用来对其它服务器实施僵尸网络攻击。

在默认情况下使用出口过滤封锁全部通讯，然后，允许诸如电子邮件、Web和DNS通讯等具体服务器的某种类型的通讯。

6.设置一个DMA

DMZ(隔离区)是内部(企业)网络与互联网之间的一个小网络。DMZ阻止外部用户直接访问公司计算机。在典型的设置中，DMZ会收到公司用户要访问网站和外部网其它信息的请求。DMZ开始处理这个信息的请求并且把这个数据包发回提出请求的机器。公司经常把Web服务器放在DMZ，这样，外部用户就可以访问它们的网站，但是不能访问公司网络托管的内部数据。