部署網(wǎng)絡防火墻確實為企業(yè)安全防護的不二選擇，然而如果沒有一個正確的防火墻規(guī)則集設置，所謂的防火墻也只能是泡沫而已。本文的目的就是幫助網(wǎng)絡管理員設計、建立和維護一個可靠的、安全的防火墻規(guī)則集，這里以高陽信安的DS2000防火墻為例，不過其中包含的信息是適用于大多數(shù)的防火墻的。

如何建立一個安全的規(guī)則集呢?下面我們就從一個虛構(gòu)機構(gòu)的安全策略開始，基于此策略，來設計一個防火墻規(guī)則集。

防火墻規(guī)則集***步：制定安全策略

防火墻和防火墻規(guī)則集只是安全策略的技術(shù)實現(xiàn)。管理層規(guī)定實施什么樣的安全策略，防火墻是策略得以實施的技術(shù)工具。所以，在建立規(guī)則集之前，我們必須首先理解安全策略，假設它包含以下3方面內(nèi)容：

1. 內(nèi)部雇員訪問Internet不受限制。

2. 規(guī)定Internet有權(quán)使用公司的Webserver和Internet Email。

3. 任何進入公用內(nèi)部網(wǎng)絡的通話必須經(jīng)過安全認證和加密。

顯然，大多數(shù)機構(gòu)的安全策略要遠遠比這復雜，對本文來說，這就夠了。

防火墻規(guī)則集第二步：搭建安全體系結(jié)構(gòu)

作為一個安全管理員，***步是將安全策略轉(zhuǎn)化為安全體系結(jié)構(gòu)?，F(xiàn)在，我們來討論把每一項安全策略核心如何轉(zhuǎn)化為技術(shù)實現(xiàn)。

***項很容易，內(nèi)部網(wǎng)絡的任何東西都允許輸出到Internet上。

第二項安全策略核心很微妙，這就要求我們要為公司建立Web和E-mail服務器。由于任何人都能訪問Web和E-mail服務器，所以我們不能信任它們。我們通過把它們放入DMZ(Demilitarized Zone，中立區(qū))來實現(xiàn)該項策略。DMZ是一個孤立的網(wǎng)絡，通常把不信任的系統(tǒng)放在那里，DMZ中的系統(tǒng)不能啟動連接內(nèi)部網(wǎng)絡。DMZ有兩種類型，有保護的和無保護的。有保護的DMZ是與防火墻脫離的孤立的部分;無保護的DMZ是介于路由器和防火墻之間的網(wǎng)絡部分。這里建議使用有保護的DMZ，我們把Web和E-mail服務器放在那里。

惟一的從Internet到內(nèi)部網(wǎng)絡的通話是遠程管理。我們必須讓系統(tǒng)管理員能遠程地訪問他們的系統(tǒng)。我們實現(xiàn)它的方式是只允許加密服務進入內(nèi)部網(wǎng)絡。

還有一樣東西我們必須添加，那就是DNS。雖然我們沒有在安全策略中陳述它，但我們必須提供這項服務。作為安全管理員，我們要實現(xiàn)Split DNS。Split DNS是指在兩臺不同的服務器上分離DNS的功能。我們通過用一臺DNS來分析公司域名的External DNS服務器和一臺內(nèi)部用戶使用的Internal DNS服務器來實現(xiàn)該項功能。External DNS服務器與Web和E-mail服務器一起放在有保護的DMZ中，Internal DNS服務器放在內(nèi)部網(wǎng)絡中。

防火墻規(guī)則集第三步：制定規(guī)則次序

在建立規(guī)則集之前，有一件事必須提及，即規(guī)則次序。哪條規(guī)則放在哪條之前是非常關(guān)鍵的。同樣的規(guī)則，以不同的次序放置，可能會完全改變防火墻的運轉(zhuǎn)情況。很多防火墻(例如SunScreen EFS、Cisco IOs、FW-1)以順序方式檢查信息包，當防火墻接收到一個信息包時，它先與***條規(guī)則相比較，然后是第二條、第三條……當它發(fā)現(xiàn)一條匹配規(guī)則時，就停止檢查并應用那條規(guī)則。如果信息包經(jīng)過每一條規(guī)則而沒有發(fā)現(xiàn)匹配，這個信息包便會被拒絕。一般來說，通常的順序是，較特殊的規(guī)則在前，較普通的規(guī)則在后，防止在找到一個特殊規(guī)則之前一個普通規(guī)則便被匹配，這可以使你的防火墻避免配置錯誤。#p#

防火墻規(guī)則集第四步：落實規(guī)則集

選好素材就可以建立規(guī)則集了，下面就簡要概述每條規(guī)則。

切斷默認

通常在默認情況下，DS2000有多種服務是不公開的。我們的***步需要切斷默認性能。

允許內(nèi)部出網(wǎng)

我們的規(guī)則是允許內(nèi)部網(wǎng)絡的任何人出網(wǎng)，與安全策略中所規(guī)定的一樣，所有的服務都被許可。

添加鎖定

現(xiàn)在我們添加鎖定規(guī)則，阻塞對防火墻的任何訪問，這是所有規(guī)則集都應有的一條標準規(guī)則，除了防火墻管理員，任何人都不能訪問防火墻。

丟棄不匹配的信息包

在默認情況下，丟棄所有不能與任何規(guī)則匹配的信息包。但這些信息包并沒有被記錄。我們把它添加到規(guī)則集末尾來改變這種情況，這是每個規(guī)則集都應有的標準規(guī)則。

丟棄并不記錄

通常網(wǎng)絡上大量被防火墻丟棄并記錄的通信通話會很快將日志填滿。我們創(chuàng)立一條規(guī)則丟棄/拒絕這種通話但不記錄它。這是一條你需要的標準規(guī)則。

允許DNS 訪問

我們允許Internet用戶訪問我們的DNS服務器。

允許郵件訪問

我們希望Internet和內(nèi)部用戶通過SMTP(簡單郵件傳遞協(xié)議)訪問我們的郵件服務器。

允許Web 訪問

我們希望Internet和內(nèi)部用戶通過HTTP(服務程序所用的協(xié)議)訪問我們的Web服務器。

阻塞DMZ

內(nèi)部用戶公開訪問我們的DMZ，這是我們必須阻止的.

允許內(nèi)部的POP訪問

讓內(nèi)部用戶通過POP(郵局協(xié)議)訪問我們的郵件服務器。

強化DMZ的規(guī)則

你的DMZ應該從不啟動與內(nèi)部網(wǎng)絡的連接。如果你的DMZ能這樣做，就說明它是不安全的。這里希望加上這樣一條規(guī)則，只要有從DMZ到內(nèi)部用戶的通話，它就會發(fā)出拒絕、做記錄并發(fā)出警告。

允許管理員訪問

我們允許管理員(受限于特殊的資源IP)以加密方式訪問內(nèi)部網(wǎng)絡。

提高性能

***，我們回顧一下規(guī)則集來考慮性能問題，只要有可能，就把最常用的規(guī)則移到規(guī)則集的頂端。因為防火墻只分析較少數(shù)的規(guī)則，這樣能提高防火墻性能。

增加IDS

對那些喜歡基礎掃描檢測的人來說，這會有幫助。

附加規(guī)則

你可以添加一些附加規(guī)則，例如：

阻塞與AOL ICQ的連接，不要阻塞入口，只阻塞目的文件AOL服務器。

防火墻規(guī)則集第五步：注意更換控制

在你恰當?shù)亟M織好規(guī)則之后，還建議你寫上注釋并經(jīng)常更新它們。注釋可以幫助你明白哪條規(guī)則做什么，對規(guī)則理解得越好，錯誤配置的可能性就越小。對那些有多重防火墻管理員的大機構(gòu)來說，建議當規(guī)則被修改時??

規(guī)則更改者的名字。

規(guī)則變更的日期/時間。

規(guī)則變更的原因。

防火墻規(guī)則集第六步：做好審計工作

當你建立好規(guī)則集后，檢測它很關(guān)鍵。我們所犯的錯誤由好的管理員去跟蹤并找到它們。

防火墻實際上是一種隔離內(nèi)外網(wǎng)的工具。在如今Internet訪問的動態(tài)世界里，在實現(xiàn)過程中很容易犯錯誤。通過建立一個可靠的、簡單的規(guī)則集，你可以創(chuàng)建一個更安全的被你的防火墻所隔離的網(wǎng)絡環(huán)境。

成功的訣竅：規(guī)則越簡單越好
 

【編輯推薦】

1. Web專用網(wǎng)站服務器的安全設置
2. 怎樣進行路由器的安全設置
3. 安全設置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進行網(wǎng)絡安全培訓
5. 企業(yè)如何在復雜環(huán)境中降低安全風險