顶级防火墙LooknStop的配置详解(3)

  　所谓“安全体系结构”，就是整个防火墙最终为用户带来的安全效果，安全策略可以是片面的，管理员在思考策略的时候不一定要考虑到整体效果，但是当一条条安全策略作为规则集合出现之前，它就必须先转化为面向整体的“安全体系结构”， 这是一种考虑全局的策略集，还是上面的网站服务器例子，管理员需要开放基本的80端口，如果有FTP，还要开放21端口，甚至SSL端口443，这个环境的安全策略则可以描述为以下列表：

  　1. 开放80端口

　　2. 开放443端口

　　3. 开放21端口

　　但是光有这些还不够，管理员必须保证它与已有的规则集合不会发生冲突以及实际环境中的应用效率，例如，实际生活中，防火墙在开放端口的同时还要对数据进行监控，以防止SYN洪水等，另外还要检查防火墙默认规则集合里有没有与之冲突的描述，如果你增加了一条“开放80端口”的规则，但是规则集合里却存在着“限制所有端口连接”的规则，那么其中一条规则就会失效，管理员的预期设想也就得不到正确实施了。

　　所以管理员在做好自己的安全策略后，还要检查已有的规则集，删除会导致策略冲突的规则，并可能根据实际应用环境做出策略调整，最后得出最终的安全策略列表，这一步就叫做“安全体系结构”：

　　1. 开放21、80、443端口

　　2. 在80端口上设置SYN计数防止DoS攻击

　　3. 继续阻止其他端口访问，如135、139等

　　4. 允许ICMP回显

　　5. 允许管理员能从内部网络远程登录配置服务器

　　6. 更多规则设置列表……

　　这些策略列表的集合描述，就是“安全体系结构”的具体形态。

　　管理员决定了整体的安全体系结构后，就要开始着手实施防火墙规则的修改了，但是在“动”规则之前，还有最后一个注意事项——“规则次序”。

　　“规则次序”是一个不可忽略的配置部分，因为大部分防火墙产品是顺序读取规则设置的，如果发现了一条匹配的规则，那么下面的其他规则描述则被忽略掉，所以规则的排列次序决定着防火墙的运作情况，管理员在配置规则时必须把属于特殊性质而又不容易与其他现存规则发生冲突的规则放到最前面，最大限度防止防火墙在找到一个特殊规则之前与普通规则相匹配，导致管理员精心设置的安全规则失效。