邪恶八进制信息安全团队技术讨论组's Archiver

金州 2006-2-4 10:00

[转载]部署防火墙策略的十六条守则

<P>信息来源:<A href="http://www.isacn.org/info/info.php?sessid=&infoid=194">[url]http://www.isacn.org/info/info.php?sessid=&infoid=194[/url]</A></P>
<P><I><FONT face=Verdana>内容概述:在部署防火墙策略时,你需要遵守一些规则。以下是我总结出来的十六条守则,希望你能够认真的看一下,并且牢牢的记住,这样,你才能最有效的、最高效的、最安全的、最稳定的部署你的防火墙策略。如果你有些不能理解,请先参见站内其他技术文章,当你对ISA有了更深的认识时,你就能够彻底的理解了。</FONT></I>
<P> 
<P><FONT face=Verdana size=4>1、<FONT color=#006699><B>计算机没有大脑</B></FONT>。所以,当ISA的行为和你的要求不一致时,请检查你的配置而不要埋怨ISA。</FONT>
<P><FONT face=Verdana size=4>2、<B><FONT color=#006699>只允许你想要允许的</FONT></B>客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致,尽量避免使用拒绝规则。</FONT><FONT face=Verdana size=4>
<P><FONT face=Verdana size=4>3、针对相同用户或含有相同用户子集的访问规则,<B><FONT color=#006699>拒绝的规则</FONT></B>一定要放在允许的规则前面。</FONT></FONT><FONT face=宋体> </FONT>
<P><FONT face=Verdana size=4>4、当需要使用拒绝时,<B><FONT color=#006699>显式拒绝</FONT></B>是首要考虑的方式。</FONT>
<P><FONT face=Verdana size=4>5、在不影响防火墙策略执行效果的情况下,请将<B><FONT color=#006699>匹配度更高的规则</FONT></B>放在前面。</FONT>
<P><FONT face=Verdana size=4>6、在不影响防火墙策略执行效果的情况下,请将<B><FONT color=#006699>针对所有用户的规则</FONT></B>放在前面。</FONT>
<P><FONT face=Verdana size=4>7、尽量<B><FONT color=#006699>简化你的规则</FONT></B>,执行一条规则的效率永远比执行两条规则的效率高。</FONT>
<P><FONT face=Verdana size=4>8、永远不要在商业网络中使用<FONT color=#006699><B> Allow</B> <FONT color=#000000></FONT><FONT color=#ff0000><B>4 ALL</B></FONT></FONT><FONT color=#000000>规则</FONT>(<B><FONT color=#006699>Allow</FONT></B> <FONT color=#ff0000>all</FONT> users use <FONT color=#ff0000>all</FONT> protocols from <FONT color=#ff0000>all</FONT> networks to<FONT color=#ff0000> all</FONT> networks),这样只是让你的ISA形同虚设。</FONT>
<P><FONT face=Verdana size=4>9、如果可以通过<FONT color=#006699><B>配置系统策略</B></FONT>来实现,就没有必要再建立自定义规则。</FONT>
<P><FONT face=Verdana size=4>10、ISA的<FONT color=#006699><B>每条访问规则都是独立的</B></FONT>,执行每条访问规则时不会受到其他访问规则的影响。</FONT>
<P><FONT face=Verdana size=4>11、永远也<FONT color=#006699><B>不要允许任何网络访问ISA本机的所有协议</B></FONT>。内部网络也是不可信的。</FONT>
<P><FONT face=Verdana size=4>12、<FONT color=#006699><B>SNat客户不能提交身份验证信息</B></FONT>。所以,当你使用了身份验证时,请配置客户为Web代理客户或防火墙客户。</FONT>
<P><FONT face=Verdana size=4>13、无论作为访问规则中的目的还是源,<FONT color=#006699><B>最好使用IP地址</B></FONT>。</FONT>
<P><FONT face=Verdana size=4>14、如果你一定要在访问规则中使用<FONT color=#006699><B>域名集</B></FONT>或<FONT color=#006699><B>URL集</B></FONT>,最好将客户配置为<FONT color=#006699><B>Web代理客户</B></FONT>。</FONT>
<P><FONT face=Verdana size=4>15、请不要忘了,<B><FONT color=#006699>防火墙策略的最后</FONT></B>还有一条<FONT color=#ff0000>DENY 4 ALL</FONT>。</FONT>
<P><FONT face=Verdana size=4>16、最后,请记住,防火墙策略的<FONT color=#006699><B>测试是必需的</B></FONT>。</FONT> </P>

页: [1]
© 1999-2008 EvilOctal Security Team