合理的配置防火墙

今天我们所处的信息时代,也可以说也是病毒与黑客大行其道的时代,这样说确实有些悲观但今天的网络的确如此,从Internet到企业内网、从个人电脑到可上网的手机平台,没有地方是安全的。每一次网络病毒的攻击,都会让家庭用户、企业用户、800热线甚至是运营商头痛脑热。不过经历过了一次又一次的病毒危机后,人们已经开始思考网络的安全了。现在任何一个企业组建网络都会考虑到购买防火墙,且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙,相信不久的将来,我们可以看到在手机上也会出现防火墙。

  但是防火墙不是一道用于心理安慰的屏障,只有会用防火墙才能够真正将威胁挡在门外。就许多中小企业而言,防火墙的配置往往没有反映出企业的业务需求。如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义,添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过,从而给企业网络带来不必要的危险与麻烦。防火墙可以比做一道数据的过滤网,如果事先制定了合理的过滤规则,它将可以截住不合规则的数据报文,从而起到过滤的作用。相反,如果规则不正确,将适得其反。 

  中小企业防火墙应具有哪些功能:

  如何合理实施防火墙的配置呢?首先,让我们来看看中小企业防火墙一般都应具有哪些功能:

  1. 动态包过滤技术,动态维护通过防火墙的所有通信的状态(连接),基于连接的过滤;

  2. 可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题;

  3. 可以设置信任域与不信任域之间数据出入的策略;

  4. 可以定义规则计划,使得系统在某一时可以自动启用和关闭策略;

  5. 具有详细的日志功能,提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录,并支持日志服务器和日志导出;

  6. 具有IPSec VPN功能,可以实现跨互联网安全的远程访问;

  7. 具有邮件通知功能,可以将系统的告警通过发送邮件通知网络管理员;

  8. 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃;

  9. Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。

  以上是中小企业防火墙所应具备的一些防护特性,当然随着技术的发展中小企业防火墙的功能会变得越来越丰富;但有再多功能的防火墙如果没有合理的配置和管理,那么这只是一件IT摆设.  

  如何实施防火墙配置

  如何实施防火墙配置呢?我们分别从以下几方面来讨论:

  规则实施

  规则实施看似简单,其实需要经过详尽的信息统计才可以得以实施。在过程中我们需要了解公司对内对外的应用以及所对应的源地址、目的地址、TCP或UDP的端口,并根据不同应用的执行频繁程度对策率在规则表中的位置进行排序,然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的,如果将常用的规则放在首位就可以提高防火墙的工作效率。另外,应该及时地从病毒监控部门得到病毒警告,并对防火墙的策略进行更新也是制定策略所必要的手段。

  规则启用计划

  通常有些策略需要在特殊时刻被启用和关闭,比如凌晨3:00。而对于网管员此时可能正在睡觉,为了保证策略的正常运作,可以通过规则启用计划来为该规则制定启用时间。另外,在一些企业中为了避开上网高峰和攻击高峰,往往将一些应用放到晚上或凌晨来实施,比如远程数据库的同步、远程信息采集等等,遇到这些需求网管员可以通过制定详细的规则和启用计划来自动维护系统的安全。

  日志监控

  日志监控是十分有效的安全管理手段,往往许多管理员认为只要可以做日志的信息,都去采集,比如说对所有的告警或所有与策略匹配或不匹配的流量等等,这样的做法看似日志信息十分完善,但可以想一下每天进出防火墙的数据报文有上百万甚至更多,你如何在这些密密麻麻的条目中分析你所需要的信息呢?虽然有一些软件可以通过分析日志来获得图形或统计数据,但这些软件往往需要去二次开发或制定,而且价格不菲。所以只有采集到最关键的日志才是真正有用的日志。

  一般而言,系统的告警信息是有必要记录的,但对于流量信息是应该有选择的。有时候为了检查某个问题我们可以新建一条与该问题匹配的策略并对其进行观测。比如:内网发现蠕虫病毒,该病毒可能会针对主机系统某UDP端口进行攻击,网管员虽然已经将该病毒清除,但为了监控有没有其他的主机受感染,我们可以为该端口增加一条策略并进行日志来检测网内的流量。

  另外,企业防火墙可以针对超出经验阀值的报文做出响应,如丢弃、告警、日志等动作,但是所有的告警或日志是需要认真分析的,系统的告警支持根据经验值来确定的,比如对于工作站和服务器来说所产生的会话数是完全不同的,所以有时会发现系统告知一台邮件服务器在某端口发出攻击,而很有可能是这台服务器在不断的重发一些没有响应的邮件造成的。

  设备管理

  对于企业防火墙而言,设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现,但这种方式是不太安全的,因为有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应该通过IPsec VPN的方式来实现对内端口网管地址的管理.

(0)

相关推荐

  • CentOS 配置防火墙详解及实例

     CentOS配置防火墙 昨天帮朋友配置CentOS服务器,一开始为了方便测试直接把防火墙关了,之后便需要配置好防火墙,网上找了几个防火墙规则都有错误,后来发现是博主发帖不认真,有太多字符错误,下面是我整理的亲测可用的防火墙规则的配置过程: 修改 iptables-config 首先修改iptables-config文件的一个配置项 $ vi /etc/sysconfig/iptables-config 把文件最后一行IPTABLES_MODULES="ip_conntrack_ftp"

  • Windows Server 2008配置防火墙策略详解

    Windows Server 2008配置防火墙策略详解

    目录 什么是防火墙 墙和门卫的区别 Windows Server 2008 防火墙 windows 防火墙配置 如何创建一个定制的入站规则? 什么是防火墙 防火墙一般都是指网络防火墙,是一个位于计算机和它所连接的网络之间的软件.计算机流入流出的所有网络通信均要经过网络防火墙.防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行.防火墙还可以关闭不使用的端口.而且它还能禁止特定端口的流出通信.最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信. 讲

  • 合理的配置防火墙

    今天我们所处的信息时代,也可以说也是病毒与黑客大行其道的时代,这样说确实有些悲观但今天的网络的确如此,从Internet到企业内网.从个人电脑到可上网的手机平台,没有地方是安全的.每一次网络病毒的攻击,都会让家庭用户.企业用户.800热线甚至是运营商头痛脑热.不过经历过了一次又一次的病毒危机后,人们已经开始思考网络的安全了.现在任何一个企业组建网络都会考虑到购买防火墙,且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙,相信不久的将来,我们可以看到在手机上也会出现防火墙. 但是防火

  • Linux配置防火墙,开启80、3306端口的实例方法

    Linux配置防火墙,开启80、3306端口的实例方法

    80端口同样配置,首先进入防火墙配置文件 shell># vim /etc/sysconfig/iptables 添加如下两条规则: -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 特别提示:很多网友把这两条规则添加到防火墙配置的最后一行,导致防火墙启动失败 正确的应该是添加到默认的

  • 如何配置WindowsXPSP2防火墙

    简介 Microsoft Windows XP Service Pack 2 (SP2) 引入了一种新的防火墙,可有 助于保护系统,更好地抵御恶意用户或恶意软件(如病毒软件)的攻击.我们建议您始终在执行计算机 时使用防火墙.如果不使用防火 墙,可能更容易出现安全问题.我们建议您不要关闭 Windows 防火墙 ,但还是为您提供了一个关闭选项.本文介绍了如何禁用 Windows 防火墙.如果您关闭了 Windows 防 火墙,请采取适当的附加措施以帮助保护您的系统.我们建议,为了使您的系统更加安全

  • win2008内置防火墙配置方法说明

    而随着Windows Server 2008的日渐向我们走近,其内置的防火墙功能得到了巨大的改进.下面让我们一起来看一下这个新的高级防火墙将如何帮助我们防护系统,以及如何使用管理控制台单元来配置它. 为什么你应该使用这个Windows的基于主机的防火墙? 今天许多公司正在使用外置安全硬件的方式来加固它们的网络. 这意味着,它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁,保护它们自然免受互联网上恶意攻击者的入侵.但是,如果一个攻击者能够攻 破外围的防线,从而获得对内部网络的访问,

  • 宽带ADSL猫防火墙配置教程

    一.登陆宽带猫   登陆宽带猫的方法很多,为了便于文章说明,我们这里以所见即所得的WEB管理方式登陆. 打开IE浏览器,在地址栏内输入宽带猫的IP后按回车键,出现所示的登陆框,输入用户名和密码后单击"确定"按钮.这时我们就可以看到宽带猫的配置界面了. 提示:宽带猫的IP可以参照说明书输入! 二.配置防火墙 单击展开"服务"列表,选择"防火墙"命令项,这时我们就可以在窗口右侧看到防火墙的详细配置项目了.下面我们对防火墙的各项配置向读者作一介绍. 

  • 阿里云Centos配置iptables防火墙教程

    虽说阿里云推出了云盾服务,但是自己再加一层防火墙总归是更安全些,下面是我在阿里云vps上配置防火墙的过程,目前只配置INPUT.OUTPUT和FORWORD都是ACCEPT的规则 一.检查iptables服务状态 首先检查iptables服务的状态 [root@woxplife ~]# service iptables status iptables: Firewall is not running. 说明iptables服务是有安装的,但是没有启动服务. 如果没有安装的话可以直接yum安装 y

  • 实战宽带ADSL防火墙配置

    实战宽带ADSL防火墙配置

    如今是黑客平民化的时代,呆在自己家里上网都有可能会"中枪",时不时的攻击你一下,一定会让你头大.好在许多的宽带猫都内置了防火墙功能,只要我们开启该功能,就可以让我们的ADSL上网更加安全,更加有保障. 一.登陆宽带猫. 登陆宽带猫的方法很多,为了便于文章说明,我们这里以所见即所得的WEB管理方式登陆. 打开IE浏览器,在地址栏内输入宽带猫的IP后按回车键,出现如图1所示的登陆框,输入用户名和密码后单击"确定"按钮.这时我们就可以看到宽带猫的配置界面了. 提示:宽带猫

  • linux防火墙配置教程之允许转发实验(2)

    linux防火墙配置教程之允许转发实验(2)

    一.实验目标 在上一次"Linux基础网络搭建实验"中,内.外网虚拟机之所以能Ping通,是因为暂时关闭了防火墙,然而现实中这样操作显然存在很大的安全隐患,所以本次实验在上次实验的基础下,开启防火墙,并配置防火墙规则,使得内.外网虚拟机任然能够Ping通. (Linux基础网络搭建实验:Linux网络搭建基础实验(1) ) 网络拓扑图: 二.实验步骤 1.搭建如图所示的网络(参考"Linux基础网络搭建实验") 2.在网关上开启防火墙,此时内网虚拟机不能Ping通外

随机推荐