文章內(nèi)容

部署防火墻策略的十六條守則

發(fā)布時(shí)間: 2012/5/16 10:22:24

部署防火墻策略的十六條守則

內(nèi)容概述：在部署防火墻策略時(shí)，你需要遵守一些規(guī)則。以下是我總結(jié)出來(lái)的十六條守則，希望你能夠認(rèn)真的看一下，并且牢牢的記住，這樣，你才能最有效的、最高效的、最安全的、最穩(wěn)定的部署你的防火墻策略。如果你有些不能理解，請(qǐng)先參見(jiàn)站內(nèi)其他技術(shù)文章，當(dāng)你對(duì)ISA有了更深的認(rèn)識(shí)時(shí)，你就能夠徹底的理解了。

1、計(jì)算機(jī)沒(méi)有大腦。所以，當(dāng)ISA的行為和你的要求不一致時(shí)，請(qǐng)檢查你的配置而不要埋怨ISA。
2、只允許你想要允許的客戶、源地址、目的地和協(xié)議。仔細(xì)的檢查你的每一條規(guī)則，看規(guī)則的元素是否和你所需要的一致，盡量避免使用拒絕規(guī)則。
3、針對(duì)相同用戶或含有相同用戶子集的訪問(wèn)規(guī)則，拒絕的規(guī)則一定要放在允許的規(guī)則前面。
4、當(dāng)需要使用拒絕時(shí)，顯式拒絕是首要考慮的方式。
5、在不影響防火墻策略執(zhí)行效果的情況下，請(qǐng)將匹配度更高的規(guī)則放在前面。
6、在不影響防火墻策略執(zhí)行效果的情況下，請(qǐng)將針對(duì)所有用戶的規(guī)則放在前面。
7、盡量簡(jiǎn)化你的規(guī)則，執(zhí)行一條規(guī)則的效率永遠(yuǎn)比執(zhí)行兩條規(guī)則的效率高。
8、永遠(yuǎn)不要在商業(yè)網(wǎng)絡(luò)中使用 Allow 4 ALL規(guī)則（Allow all users use all protocols from all networks to all networks），這樣只是讓你的ISA形同虛設(shè)。
9、如果可以通過(guò)配置系統(tǒng)策略來(lái)實(shí)現(xiàn)，就沒(méi)有必要再建立自定義規(guī)則。
10、ISA的每條訪問(wèn)規(guī)則都是獨(dú)立的，執(zhí)行每條訪問(wèn)規(guī)則時(shí)不會(huì)受到其他訪問(wèn)規(guī)則的影響。
11、永遠(yuǎn)也不要允許任何網(wǎng)絡(luò)訪問(wèn)ISA本機(jī)的所有協(xié)議。內(nèi)部網(wǎng)絡(luò)也是不可信的。
12、SNat客戶不能提交身份驗(yàn)證信息。所以，當(dāng)你使用了身份驗(yàn)證時(shí)，請(qǐng)配置客戶為Web代理客戶或防火墻客戶。
13、無(wú)論作為訪問(wèn)規(guī)則中的目的還是源，最好使用IP地址。
14、如果你一定要在訪問(wèn)規(guī)則中使用域名集或URL集，最好將客戶配置為Web代理客戶。
15、請(qǐng)不要忘了，防火墻策略的最后還有一條DENY 4 ALL。
16、最后，請(qǐng)記住，防火墻策略的測(cè)試是必需的。
本文出自：億恩科技【1tcdy.com】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]