十大技巧打造固若金汤的企业级防火墙(上)

安全研究支持这样一个事实：一台没有安全保护措施的计算机一旦连接到宽带网，不到20分钟便会遭到黑客攻击。设想一下，如果你在没有任何安全措施的情况下把企业网络连接到互联网，那会发生什么事情？您无法想象的网络攻击会涌向你的开放的端口，感染你的企业计算机，甚至窃取你的知识产权。

　　面对这种情况，许多企业依靠网络防火墙监视企业网络与互联网之间的通讯的保护。防火墙作为一个守门员，决定允许什么数据进出网络和在什么环境条件下可以进出网络。

　　购买防火墙是保护你的网络的关键的第一步。但是，保证防火墙的设置符合行业的最佳做法是同样重要的。如何配置防火墙对于防火墙性能的发挥有重要区别。通过学习IT专家网提供的以下10条技巧你可以学会调整防火墙和增强您的安全。

　　1.增强你的系统

　　“增强”是减少你的硬件安全漏洞的一种做法。在安装防火墙之前，你要关闭本地主机使用的任何端口，关闭你不使用的任何协议或者用户账户以增强本地主机。理想的情况是防火墙应该成为你已经建在系统中的安全措施的一个补充。

　　硬件防火墙厂商经常吹嘘他们的设备是“预先增强的”产品。但是，如果你已经购买了软件解决方案，你必须要自己做。幸运的是有许多资源介绍如何增强不同的机器。你的硬件厂商应该也会提供帮助。

　　2.保持简单

　　防火墙是用来增强网络安全政策的。因此，你在编写政策集之前需要有一套明确的机构指南。一旦你有一个书面的安全政策，在保持政策的一致性的同时应该尽可能使设置简单一些。如果你使用一个老的安全手册，这个时候正好可以把安全政策简化为只有实际内容的东西。如果你消除了不需要的和多余的规则，你的防火墙的效率就会更高和更容易维护。

　　3.编辑规则以便迅速评估

　　防火墙流程规则按照你设置的顺序执行。因此，你要保证在你的清单上排在前面的是最容易处理的规则。如果一个请求与你的前几个规则匹配，这个防火墙就不用耗费时间处理随后的规则。

　　容易处理的规则包括源端口信息、协议定义、IP地址和时间安排等。比较难处理的复杂规则包括域名和URL集以及内容类型和用户。

　　4.拒绝，拒绝，拒绝

　　因为你仅允许批准的通讯经过你的网络，你应该拒绝默认的一切通讯，然后启用必要的设备。你可以使用全球拒绝和全球允许规则做这个事情。全球允许规则向所有的用户提供具体的访问能力，而全球拒绝规则限制多有的用户的具体访问能力。

　　例如，你可以使用一个DNS协议为用户设置一个访问的允许规则，为设法使用一个P2P协议的用户设置一个拒绝规则。

　　这些类型的规则将减少防火墙使用后面的规则处理器的通讯，从而更容易强制执行某些访问政策。

　　5.监视出网通讯

　　我们通常认为网络安全是保护我们的系统不受病毒和蠕虫等外部威胁的侵害，但是，从网络内部实施攻击也是同样容易的。这是你设置防火墙过滤出网通讯和入网通讯的一个原因。这种过滤也称作出口过滤，防止没有经过批准的通讯离开公司计算机和服务器。这种过滤也能够防止内部计算机被用来对其它服务器实施僵尸网络攻击。

　　在默认情况下使用出口过滤封锁全部通讯，然后，允许诸如电子邮件、Web和DNS通讯等具体服务器的某种类型的通讯。