先要理解自己所用产品的默认状态,这样才能开始配置其它的规则。Р 在防火墙产品规则列表中,最一般的规则被列在最后,而最具体的规则被列在最前面。在列表中每一个列在前面的规则都比列在后面的规则更加具体,而列表中列在后面的规则比列在前面规则更加一般。Р 按以上规则要求,规则放置的次序是非常关键的。同样的规则,以不同的次序放置,可能会完全改变防火墙产品的运行状况。大部分防火墙产品以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后才是第二条、第三条……,当它发现一条匹配规则时,就停止检查并应用那条规则。如果信息包经过每一条规则而没有发现匹配的规则,那么默认的规则将起作用,这个信息包便会被拒绝。Р 另外有些防火墙产品专门将对防火墙本身的访问列出规则,这要比一般的包过滤规则严格的多,通过这一规则的合理配置,阻塞对防火墙的任何恶意访问,提高防火墙本身的安全性。Р 3、详细的注释,帮助理解Р 恰当地组织好规则之后,还建议写上注释并经常更新它们。注释可以帮助明白哪条规则做什么,对规则理解的越好,错误配置的可能性就越小。同时建议当修改规则时,把规则更改者的名字、规则变更的日期、时间、规则变更的原因等信息加入注释中,这可以帮助你跟踪谁修改了哪条规则,以及修改的原因。Р 4、做好日志工作Р 日志的记录内容由防火墙管理员制定,可记录在防火墙制定,也可放置在其它的主机。建议防火墙管理员定期的查看日志的内容,归档,便于分析。同时要将被规则阻塞的包及时的通报管理员,以便及时了解网络攻击的状况,采取应急措施,保护网络的安全。Р 三.结束语Р 总之,由于防火墙产品的实施相对简单,因此它是维护网络安全普遍采用的安全产品之一。但是防火墙产品仅是给用户提供了一套安全防范的技术手段,只有合理的使用和良好的配置,才能使用户的安全策略很好的融入到防火墙产品之中,使其真正起到保护用户网络安全的作用。
全文预览
