防火墻的創(chuàng)建

1、防火墻的創(chuàng)建成功創(chuàng)建一個防火墻系統(tǒng)一般需要六個步驟： 制定安全策略、搭建安全體系結構、制定規(guī)則次序、落實規(guī)則 集、注意更換控制和做好審計工作。 建立一個可靠的規(guī)則集對于實現(xiàn) 一個成功的、 安全的防火墻來說是非常關鍵的一步。 如果防火墻規(guī)則 集配置錯誤，再好的防火墻也只是擺設。在安全審計中，經(jīng)常能看到 一個巨資購入的防火墻由于某個規(guī)則配置的錯誤而將機構暴露于巨 大的危險之中。一、制定安全策略 防火墻和防火墻規(guī)則集只是安全策略的技術實現(xiàn)。在建立規(guī)則 集之前，必須首先理解安全策略。安全策略一般由管理人員制定，假 設它包含以下三方面內容：(1) 內部員工訪問因特網(wǎng)不受限制。(2) 因特網(wǎng)用戶有權訪問公

2、司的 Web服務器和E-mail服務器。(3) 任何進入公用內部網(wǎng)綹的數(shù)據(jù)必須經(jīng)過安全認證和加密。 實際的安全策略要遠遠比這復雜。實際應用中，需要根據(jù)網(wǎng)絡實際環(huán)境情況制定詳細的安全策略，如哪些資源可以被訪問、讀取、 刪除、下載等行為的規(guī)范，以及哪些人擁有這些權力等。1網(wǎng)絡服務訪問策略 網(wǎng)絡服務訪問策略是一種高層次的、具體到事件的策略，主要 用于定義在網(wǎng)絡中允許的或禁止的網(wǎng)絡服務， 還包括對撥號訪問以及 PPP(點對點協(xié)議)連接的限制。這是因為對一種網(wǎng)絡服務的限制可 能會促使用戶使用其他的方法， 所以其他的途徑也應受到保護。 比如， 如果一個防火墻阻止用戶使用 Tel net服務訪問因特網(wǎng)，一些

3、人可能會 使用撥號連接來獲得這些服務， 這樣就可能會使網(wǎng)絡受到攻擊。 網(wǎng)絡 服務訪問策略不但應該是一個站點安全策略的延伸， 而且對于機構內 部資源的保護也起全局的作用。 這種策略可能包括許多事情， 從文件 切碎條例到病毒掃描程序，從遠程訪問到移動介質的管理。2防火墻的設計策略 防火墻的設計策略是具體地針對防火墻，負責制定相應的規(guī)章 制度來實施網(wǎng)絡服務訪問策略。 在制定這種策略之前， 必須了解這種 防火墻的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。3安全策略設計時需要考慮的問題 為了確定防火墻安全設計策略，進而構建實現(xiàn)預期安全策略的 防火墻，應從最安全的防火墻設計策略開始，即除非明確

4、允許，否則 禁止某種服務。二、搭建安全體系結構 作為一個安全管理員，需要將安全策略轉化為安全體系結構三、制定規(guī)則次序 在建立規(guī)則集時，需要注意規(guī)則的次序，哪條規(guī)則放在哪條之 前是非常關鍵的。 同樣的規(guī)則以不同的次序放置， 可能會完全改變防 火墻的運轉情況。 很多防火墻以順序方法檢查信息包， 當防火墻接收 到一個信息包時，它先與第 1 條規(guī)則相比較，然后是第 2 條、第 3 條、，當它發(fā)現(xiàn)一條匹配規(guī)則時，就停止檢查并應用這條規(guī)則。通常的順序是，較特殊的規(guī)則在前，較普通的規(guī)則在后，這樣就防止 在找到一個特殊規(guī)則之前一個普通規(guī)則便被匹配。四、落實規(guī)則集 選擇好素材后就可以建立規(guī)則集。一個典型的防火墻

5、的規(guī)則集 包括 12 個方面，下面作一簡單介紹：(1)切斷默認。第 1 步需要切斷數(shù)據(jù)包的默認設置。(2) 允許內部出網(wǎng)。允訐內部網(wǎng)絡的任何人出網(wǎng)，與安全策略中 所規(guī)定的一樣，所有的服務都被許可。(3) 添加鎖定。添加鎖定規(guī)則，阻塞對防火墻的訪問，這是所有 規(guī)則集都應有的一條標準規(guī)格， 除了防火墻管理員， 任何人都不能訪 問防火墻。(4) 丟棄不匹配的信息包。在默認情況下，丟棄所有不能與任何 規(guī)則匹配的信息包， 但這些信息包并沒被記錄。 把它添加到規(guī)則集末 尾來改變這種情況，這是每個規(guī)則集都應有的標準規(guī)則。(5) 丟棄并不記錄。通常網(wǎng)絡上大量被防火墻丟棄并記錄的通信 通話會很快將日志填滿。 創(chuàng)

6、立一條規(guī)則丟棄或拒絕這種通話但不記錄 它。(6) 允許DNS訪問。允許因特網(wǎng)用戶訪問內部的 DNS服務器。(7) 允許郵件訪問。允許因特網(wǎng)用戶和內部用戶通過SMTP 協(xié)議訪問郵件服務器。(8) 允許Web訪問。允許因特網(wǎng)用戶和內部用戶通過 r-rrrP協(xié)議 訪閩 Web 服務器。(9) 阻塞DMZ。禁止內部用戶公開訪問 DMZ區(qū)。(10) 允許內部的POP訪問。允許內部用戶通過 POP協(xié)議訪問郵 件服務器。(11) 強化DMZ的規(guī)則。DMZ區(qū)域應該從不啟動與內部網(wǎng)絡的連 接。(12) 允許管理員訪問。允許管理員以加密方式訪問司令部網(wǎng)絡。五、注意更換控制 當規(guī)則組織好后，應該寫上注釋并經(jīng)常更新，注釋可以幫助理 解每一條規(guī)則做什么。 對規(guī)則理解得越好，錯誤配置的可能性就越小。六、做好審計工作 建立好規(guī)則集后，檢測是否可以安全地工作是關鍵的一步。防 火墻實際上是一種隔離內外網(wǎng)的工具。 在因特網(wǎng)中，很容易犯一些配 置上的錯誤。通過建立一個可靠的、簡單的規(guī)則集，可以在防火墻之 后創(chuàng)建一個更安全的網(wǎng)絡環(huán)境。需要注意的是：規(guī)則越簡