十大技巧打造固若金汤的企业级防火墙

核心提示： 有两种类型的DMZ，第一种称作“three-homed”边界网络，十大技巧打造固若金汤的企业级防火墙(3)，在这种设置中，防火墙有三个连接：第一个是内部网络连接、第二个是互联网连接、第三个是DMZ连接，这个好处是集中管理记录，更方便地访问这些记录以便进行审计和更容易

有两种类型的DMZ。第一种称作“three-homed”边界网络。在这种设置中，防火墙有三个连接：第一个是内部网络连接、第二个是互联网连接、第三个是DMZ连接。第二种类型的DMZ称作背靠背边界网络，它使用两个防火墙。第一个防火墙连接到互联网和DMZ，第二个防火墙连接到你的内部网络和这个DMZ。这样，DMZ就位于内部和外部网络中间了。

在这两种设置中，你要设置防火墙限制进出每一个网络的通讯。

7.设置NTP(网络时间协议)

NTP是一个协议的名称和一种客户机/服务器程序，允许你对一个网络上的计算机的时间进行同步。同步的时间对于在网络上的分布式程序和提供文件系统更新是非常重要的。当你按照顺序发布程序时，计算机时钟的一个小的差别都回造成灾难性的后果。NTP使用协调世界时间(UTC)把时间的同步程度精确到毫秒。

NTP对于保证你的防火墙日记记录的事件的准确性是特别重要的。你也许会通过检查通讯记录来调查对你的网络实施的攻击。这个时间对于发现发生了什么事情是非常重要的。

8.像入侵检测系统一样设置防火墙

入侵检测系统(IDS)有时候是作为一种单独的设备销售的。这种设备可以检测网络上或者计算机上的攻击。但是，你要把防火墙设置得能够像IDS系统一样工作。关键是认真检查你的防火墙有关端口扫描、黑客企图或者其它任何可疑事件的记录。要特别关注离开你的DMZ的通讯，因为你在那里经常会发现攻击的第一个迹象。

一旦你拥有那个数据，你可以把这个数据用图表描绘出来并且寻找各种趋势。这种做法有助于你编写更严格的规则。你还可以安装一个活动的记录文件监视工具向你报告异常的活动。

9.测试安全漏洞

一旦你设置完成并且开始运行一个防火墙，你就要用已知的安全漏洞对这个防火墙进行测试。为了进行全面的测试，你应该对防火墙的每一个接口和每一个方向进行测试。你还要关闭一些规则进行测试，看看一旦防火墙出现故障你的系统会出现什么漏洞。

新的利用安全漏洞的代码总是不断出现的。因此，你要定期测试和审计你的防火墙。

10.打开防火墙日记

防火墙的日记记录有关你的网络通讯信息。当你调查可疑的通讯和攻击时，这个记录是非常珍贵的。由于这些日记记录能够让你识别和跟踪新的通讯方式，因此，当你编写针对新威胁的规则时，这些记录是非常重要的。要保证你的防火墙打开记录功能。如果你的防火墙有报警功能，你也应该打开这个功能。

如果你有多个防火墙，你也许还会感兴趣调查远程系统记录服务器。这个好处是集中管理记录，更方便地访问这些记录以便进行审计和更容易安全地保留这些记录。远程服务器还能够使恶意黑客更难修改或者伪造记录。