本篇要为大家介绍一些实用的知识, 那就是如何配置防火中的安全策略。 但
要注意的是, 防火墙的具体配置方法也不是千篇一律的, 不要说不同品牌, 就是
同一品牌的不同型号也不完全一样, 所以在此也只能对一些通用防火墙配置方法
作一基本介绍。 同时,具体的防火墙策略配置会因具体的应用环境不同而有较大
区别。首先介绍一些基本的配置原则。
一. 防火墙的基本配置原则
默认情况下,所有的防火墙都是按以下两种情况配置的:
●拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些
类型。
●允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,
大多数防火墙默认都是拒绝所有的流量作为安全选项。 一旦你安装防火墙后, 你
需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。 换
句话说,如果你想让你的员工们能够发送和接收 Email,你必须在防火墙上设置
相应的规则或开启允许 POP3和 SMTP 的进程。
在防火墙的配置中, 我们首先要遵循的原则就是安全实用, 从这个角度考虑, 在
防火墙的配置过程中需坚持以下三个基本原则:
(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也
是任何事物的基本原则。 越简单的实现方式, 越容易理解和使用。 而且是设计越
简单,越不容易出错, 防火墙的安全功能越容易得到保证, 管理也越可靠和简便。
每种产品在开发前都会有其主要功能定位, 比如防火墙产品的初衷就是实现网络
之间的安全控制, 入侵检测产品主要针对网络非法行为进行监控。 但是随着技术
的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功
能,比如在防火墙上增加了查杀病毒、 入侵检测等功能, 在入侵检测上增加了病
毒查杀功能。 但是这些增值功能并不是所有应用环境都需要, 在配置时我们也可
针对具体应用环境进行配置, 不必要对每一功能都详细配置, 这样一则会大大增
强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。
(2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、
多层次的深层防御战略体系才能实现系统的真正安全。 在防火墙配置中, 我们不
要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,
尽量使各方面的配置相互加强, 从深层次上防护整个系统。 这方面可以体现在两
个方面:一方面体现在防火墙系统的部署上, 多层次的防火墙部署体系, 即采用
集互联网边界防火墙、 部门边界防火墙和主机防火墙于一体的层次防御; 另一方
面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。
(3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境中,
80%以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那
