保持简单 合理拒绝
最新的安全研究支持这样一个事实:对于一台未受保护的计算机而言,一旦它连上了宽带网络,那么只需花费不到20分钟就会遭受攻击。可以设想,如果我们将公司的网络连到互联网却并没有采取任何的安全措施会发生什么事情。数字网络的入侵者涌集到开放的端口,并致使恶意代码感染计算机,甚至掠夺你的敏感数据、知识产权等。面对这种情况,许多企业已经依靠网络防火墙来监视在公司网络和互联网之间流动的数据。防火墙就像一位看门人,它可以决定在何种情况下,哪些数据可以进入企业网络,哪些可以流出网络。
购买一个防火墙是保障网络安全的首要一步,不过确保防火墙根据业界的最佳方法进行了正确的配置是非常重要的。你如何设置防火墙会影响到它是否正常运行,因此花费点儿时间关注其配置方法是很值得的。你可以根据专家提供的以下技巧来调整并提升防火墙的安全性。
1. 强化你的系统
强化是减少硬件漏洞的重要方法。甚至在你安装一个防火墙之前,就希望关闭未用的端口并禁用任何不用的协议或用户账户来强化主机。理想情况下,防火墙应当能够补充内建于系统的安全性。
硬件防火墙厂商通常都称赞其设备是“预强化”的,不过如果你购买了一个软件防火墙方案,你可能需要自己动手操作。幸运的是,现在存在着关于如何强化不同机器的大量资源,而且你的硬件厂商还有可能提供帮助。
2. 保持简单
防火墙用于强化网络安全策略,因此,在你开始编写规则时,你需要一套清楚的组织指导方针,尽可能保持配置的简单化,并保持与策略的一致性。如果你需要清理以前留下来的安全手册,这正是精兵简政的好时机。如果你清除了不需要的和冗余的规则,那防火墙将会变得更有效率并易于管理。
3. 创建规则以实施快速评估
防火墙按照你设置的顺序处理规则,因此你要确保最容易处理的规则位于列表的顶端。如果一个请求与最前面的几条规则相匹配,那么防火墙就不必为后面的耗时规则而“费心”了。
容易处理的规则包括源端口信息、协议定义、互联网协议地址和定制计划等。难于处理的规则包括域名和URL集,以及内容类型和用户等。
4. 合理拒绝
因为你只想让经认可的通信在你的网络上流通,因此默认情况下你应当拒绝所有的通信,然后再启用必要的服务。你可以用全局允许和全局拒绝规则。全局允许规则将特定的访问给所有的用户,而全局拒绝规则却向所有的用户限制特定的访问。
例如,你可以对使用DNS协议的访问设置一个允许规则,而对使用P2P协议的用户设置拒绝规则。
这些规则减少了防火墙必须用后续规则处理的通信,并轻易地强化了某些访问规则。
5. 监视通信记录
我们通常都认为网络安全就是保护我们的系统免受病毒、rootkit、间谍软件等来自外部的恶意代码的威胁,不过攻击可以轻易地从内部发起。这就是我们为什么要设置防火墙既过滤发出的数据通信,又要过滤传入的数据通信。这种过滤称为出口过滤,它可阻止未授权的通信离开公司的计算机和服务器。它可以防止内部的机器被用来发动对其它服务器的僵尸攻击。
一般而言,应当先用出口过滤来阻止所有的通信,然后仅允许对特定类型服务器(如电子邮件服务器、WEB服务器和DNS服务器等)的通信。
1
2
下一页>>
