防火墙的安全配置.doc

《防火墙的安全配置.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、1、防火墙的基本准则 防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则：其一、未经说明允可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。企业防火墙端口均应配置为默认拒绝状态。其二、未说明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的不足在于它将可用性置于比安全更为重要的地位，增加了保证私有网安全性的难度。此方案

2、不建议在企业中使用。2、企业网的安全配置原则（1）应按照权责分置的原则设置管理员、审计员等角色。管理员可做修改配置等操作，审计员只可做查看配置、查阅日志等操作，日常非配置操作时使用审计员登录，可有效避免误操作。（2）在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定（3）防火墙闲置10分钟以上的登陆，控制连接要被强制掉线。（4）策略配置时应按照IP地址逐个配置，如有相同属性地址，则应配置为组，按组分配相应策略。应严格禁止按网段划分的策略（5）每条

3、对内策略中均应对端口进行控制。应严格禁止any访问权限。（6）防火墙应配置NTP服务器，保证防火墙时间准确（部分策略可能会控制访问时间，如果时间不准确则策略可能会受到影响）。（7）策略中应将较特殊的规则放在靠前的位置，较普通的规则在后，防止在找到一个特殊规则之前一个普通规则便被匹配，这可以避免防火墙配置错误。