电脑|网络十大技巧打造固若金汤的企业级防火墙

米花 发表 于:10年前 浏览量:226

安全研究支持这样一个事实:一台没有安全保护措施的计算机一旦连接到宽带网,不到20分钟便会遭到黑客攻击。设想一下,如果你在没有任何安全措施的情况下把企业网络连接到互联网,那会发生什么事情?您无法想象的网络攻击会涌向你的开放的端口,感染你的企业计算机,甚至窃取你的知识产权。

  面对这种情况,许多企业依靠网络防火墙监视企业网络与互联网之间的通讯的保护。防火墙作为一个守门员,决定允许什么数据进出网络和在什么环境条件下可以进出网络。

  购买防火墙是保护你的网络的关键的第一步。但是,保证防火墙的设置符合行业的最佳做法是同样重要的。如何配置防火墙对于防火墙性能的发挥有重要区别。通过学习IT专家网提供的以下10条技巧你可以学会调整防火墙和增强您的安全。

  1.增强你的系统

  “增强”是减少你的硬件安全漏洞的一种做法。在安装防火墙之前,你要关闭本地主机使用的任何端口,关闭你不使用的任何协议或者用户账户以增强本地主机。理想的情况是防火墙应该成为你已经建在系统中的安全措施的一个补充。

  硬件防火墙厂商经常吹嘘他们的设备是“预先增强的”产品。但是,如果你已经购买了软件解决方案,你必须要自己做。幸运的是有许多资源介绍如何增强不同的机器。你的硬件厂商应该也会提供帮助。

  2.保持简单

  防火墙是用来增强网络安全政策的。因此,你在编写政策集之前需要有一套明确的机构指南。一旦你有一个书面的安全政策,在保持政策的一致性的同时应该尽可能使设置简单一些。如果你使用一个老的安全手册,这个时候正好可以把安全政策简化为只有实际内容的东西。如果你消除了不需要的和多余的规则,你的防火墙的效率就会更高和更容易维护。

  3.编辑规则以便迅速评估

  防火墙流程规则按照你设置的顺序执行。因此,你要保证在你的清单上排在前面的是最容易处理的规则。如果一个请求与你的前几个规则匹配,这个防火墙就不用耗费时间处理随后的规则。

  容易处理的规则包括源端口信息、协议定义、IP地址和时间安排等。比较难处理的复杂规则包括域名和URL集以及内容类型和用户。

  4.拒绝,拒绝,拒绝

  因为你仅允许批准的通讯经过你的网络,你应该拒绝默认的一切通讯,然后启用必要的设备。你可以使用全球拒绝和全球允许规则做这个事情。全球允许规则向所有的用户提供具体的访问能力,而全球拒绝规则限制多有的用户的具体访问能力。

  例如,你可以使用一个DNS协议为用户设置一个访问的允许规则,为设法使用一个P2P协议的用户设置一个拒绝规则。

  这些类型的规则将减少防火墙使用后面的规则处理器的通讯,从而更容易强制执行某些访问政策。

  5.监视出网通讯

  我们通常认为网络安全是保护我们的系统不受病毒和蠕虫等外部威胁的侵害,但是,从网络内部实施攻击也是同样容易的。这是你设置防火墙过滤出网通讯和入网通讯的一个原因。这种过滤也称作出口过滤,防止没有经过批准的通讯离开公司计算机和服务器。这种过滤也能够防止内部计算机被用来对其它服务器实施僵尸网络攻击。

  在默认情况下使用出口过滤封锁全部通讯,然后,允许诸如电子邮件、Web和DNS通讯等具体服务器的某种类型的通讯。

  6.设置一个DMA

  DMZ(隔离区)是内部(企业)网络与互联网之间的一个小网络。DMZ阻止外部用户直接访问公司计算机。在典型的设置中,DMZ会收到公司用户要访问网站和外部网其它信息的请求。DMZ开始处理这个信息的请求并且把这个数据包发回提出请求的机器。公司经常把Web服务器放在DMZ,这样,外部用户就可以访问它们的网站,但是不能访问公司网络托管的内部数据。

  有两种类型的DMZ。第一种称作“three-homed”边界网络。在这种设置中,防火墙有三个连接:第一个是内部网络连接、第二个是互联网连接、第三个是DMZ连接。第二种类型的DMZ称作背靠背边界网络,它使用两个防火墙。第一个防火墙连接到互联网和DMZ,第二个防火墙连接到你的内部网络和这个DMZ。这样,DMZ就位于内部和外部网络中间了。

  在这两种设置中,你要设置防火墙限制进出每一个网络的通讯。

  7.设置NTP(网络时间协议)

  NTP是一个协议的名称和一种客户机/服务器程序,允许你对一个网络上的计算机的时间进行同步。同步的时间对于在网络上的分布式程序和提供文件系统更新是非常重要的。当你按照顺序发布程序时,计算机时钟的一个小的差别都回造成灾难性的后果。NTP使用协调世界时间(UTC)把时间的同步程度精确到毫秒。

  NTP对于保证你的防火墙日记记录的事件的准确性是特别重要的。你也许会通过检查通讯记录来调查对你的网络实施的攻击。这个时间对于发现发生了什么事情是非常重要的。

  8.像入侵检测系统一样设置防火墙

  入侵检测系统(IDS)有时候是作为一种单独的设备销售的。这种设备可以检测网络上或者计算机上的攻击。但是,你要把防火墙设置得能够像IDS系统一样工作。关键是认真检查你的防火墙有关端口扫描、黑客企图或者其它任何可疑事件的记录。要特别关注离开你的DMZ的通讯,因为你在那里经常会发现攻击的第一个迹象。

  一旦你拥有那个数据,你可以把这个数据用图表描绘出来并且寻找各种趋势。这种做法有助于你编写更严格的规则。你还可以安装一个活动的记录文件监视工具向你报告异常的活动。

  9.测试安全漏洞

  一旦你设置完成并且开始运行一个防火墙,你就要用已知的安全漏洞对这个防火墙进行测试。为了进行全面的测试,你应该对防火墙的每一个接口和每一个方向进行测试。你还要关闭一些规则进行测试,看看一旦防火墙出现故障你的系统会出现什么漏洞。

  新的利用安全漏洞的代码总是不断出现的。因此,你要定期测试和审计你的防火墙。

  10.打开防火墙日记

  防火墙的日记记录有关你的网络通讯信息。当你调查可疑的通讯和攻击时,这个记录是非常珍贵的。由于这些日记记录能够让你识别和跟踪新的通讯方式,因此,当你编写针对新威胁的规则时,这些记录是非常重要的。要保证你的防火墙打开记录功能。如果你的防火墙有报警功能,你也应该打开这个功能。

  如果你有多个防火墙,你也许还会感兴趣调查远程系统记录服务器。这个好处是集中管理记录,更方便地访问这些记录以便进行审计和更容易安全地保留这些记录。远程服务器还能够使恶意黑客更难修改或者伪造记录。

来自:http://security.ctocio.com.cn/whitepapers/8/7756508.shtml?ticket=ST-27102-02cJbgR6PsvM73sGPTud

本文由 米花发表。转载请注明出处:https://www.mihua.net/list/0/1598.html

发表评论

您的昵称:

猜你喜欢

最近更新