科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>安全频道>ZD评测>网络防火墙的设置技巧

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

许多人对于网络防火墙的功能不加以设置,对网络防火墙的规则不加以设置——这样,网络防火墙作用就会大大减弱。

来源:zdnet网络安全 2008年04月14日

关键字:硬件防火墙 防火墙技术 防火墙

  如今网络防火墙已经成为了各位网友上网,但是又有对少人能让他的网络防火墙真正发挥他的作用呢?

  许多人对于网络防火墙的功能不加以设置,对网络防火墙的规则不加以设置——这样,网络防火墙作用就会大大减弱……

  网络防火墙的默认设置一般都只能是普遍的设置,也就是说这样的设置要大致适合成千上百用户。试问,这样的设置就一定会100%适合你吗?肯定不可能。下面,我就以我自己实践的经验,谈谈我自己的看法。

  功能设置篇

  功能设置属于外部设置。为什么这样说呢?主要因为,这些设置不会改变规则中要求拦截和放行对象。

  对于我这个经常上网的宽带用户来说,随机启动是绝对不可少的。如果是拨号用户或不常上网的用户来说,防火墙的启动有两种方案:

  方案一:上网前手动开启防火墙(一般用户)

  方案二:用一个文件使防火墙和网络连接一起启动(高级用户)

  通常,网络防火墙都会有一个安全等级选项。对于这个选择,绝对不可以随便选。因为,有不少用户就是因为不根据实际情况选择,而导致无法使用某些网络资源或被黑客有机可乘。

  像我这样的固定ip的技术性局域网用户来说,我认为设置为中等即可。因为,我们不像某些用户那样可以随意改变自己的ip,所以我们的防御必须比动态ip用户要高一些。

  但是,是不是越高越好呢?不是。某些用户,因为不切实际的把安全等级设置为高级,而又不会在规则中设置相应网络规则,而导致无法使用某些网络资源,如在线直播等。

  因此,我建议一般用户将规则设置为中低即可。

  至于其他报警设置等,我也不想多说了。但是,我还是要提醒一句,拦截一定要记录在日志里。这样才以便我们复查。

  规则设置篇

  ICMP IGMP炸弹都让一些用户感到心惊胆战。所以,某些用户索性禁止所有ICMP和IGMP。

  这样,显然是不大好的设置。为什么呢?因为ICMP IGMP固然被人利用来做炸弹,但是总不能“宁可杀错一万,不能放走一个”的全部拦截。且不说别的,就说因为全部拦截ICMP IGMP所耗费的系统资源就数不胜数……

  我建议,拦截的只需是ICMP的1型(即echo requset)就已经足够了。为什么呢?拦截ICMP的1型主要是为了防黑客用ping命令查询你是否在线,所以此类ICMP必须拦截。

  如果你还是担心ICMP IGMP炸弹,不妨去微软那打个补丁。

  网络防火墙的一大功能就是防木马和防黑客,所以自己设置规则拦截木马和阻截黑客是必要的。

  你也许会说,网络防火墙不是有默认的规则吗?的确,有。但是,这只是最常见的木马和漏洞。对于新的危害大的木马和漏洞,恐怕原先的规则就不能胜任他的任务了。

  那么,我们怎样设置规则呢?

  首先,我们必须利用反病毒厂家网站提供的信息。因为,那里详细记载了许多病毒、木马的分析结果和漏洞的资料。我认为哪怕你有分析木马源程序和找出漏洞的能力,也没必要任何事情都亲力亲为,因为木马和漏洞是在太多了,全部代码都自己分析,根本是不切实际的。

  然后,就设置自己的防火墙。由于不同厂家网络防火墙设置规则上有所不同,所以本文不可能详细讲解。

  当然,这需要一定专业知识。对于一般用户来说,恐怕就有点困难了。怎么办?不怕,可以借用别人的成果。例如,去论坛请教高手或直接发邮件询问高手即可解决。

  还应该提醒大家的是防火墙规则不要重复,更不要矛盾。重复的规则浪费系统资源;矛盾的规则让防火墙左右为难,最终让别人有机可乘……

  网络防火墙设置是一门永远也讲不完的学问,有兴趣你也可以去研究研究。

  神州数码大型企业网络防火墙整体解决方案,在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求,在各分支机构和分公司采用神州数码DCFW-1800S防火墙在满足需要的基础上为用户节约投资成本。

  另一方面,神州数码DCFW-1800系列防火墙还内置了VPN功能,可以实现利用Internet构建企业的虚拟专用网络。

  防火墙VPN解决方案

  作为增值模块,神州数码DCFW-1800防火墙内置了VPN模块支持,既可以利用因特网(Internet)IPSEC通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性:

  -标准的IPSEC,IKE与PPTP协议-支持Gateway-to-Gateway网关至网关模式虚拟专网-支持VPN的星形(star)连接方式- VPN隧道的NAT穿越-支持IP与非IP协议通过VPN-支持手工密钥,预共享密钥与X.509 V3数字证书,PKI体系支持- IPSEC安全策略的灵活启用:管理员可以根据自己的实际需要,手工禁止和启用单条IPSEC安全策略,也为用户提供了更大的方便。

  -支持密钥生存周期可定制-支持完美前项保密-支持多种加密与认证算法:

  -加密算法:DES, 3DES,AES,CAST,BLF,PAP,CHAP-认证算法:SHA, MD5, Rmd160-支持Client-to-Gateway移动用户模式虚拟专网-支持PPTP定制:管理员可以根据自己的实际需要,手工禁止和启用PPTP。  

  

  防火墙双机热备方案

  为了保证网络的高可用性与高可靠性,神州数码DCFW-1800E防火墙提供了双机热备份功能,即在同一个网络节点使用两个配置相同的防火墙。正常情况下主防火墙处于工作状态,另一个防火墙处于备份状态,称为从防火墙。当主防火墙发生意外down机、网络链路发生故障、硬件故障等情况时,从防火墙自动切换工作状态,从防火墙代替主防火墙正常工作,从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与,切换时间少于1秒。 

  网络安全解决方案

  神州数码网络安全解决方案主要由防火墙、入侵检测、防病毒等安全产品以及安全系统集成服务构成。

  由于神州数码DCFW-1800E防火墙支持流量映射功能,也就是说防火墙的HA接口可以复制其他网络接口的流量,因此入侵检测设备可以方便的接入网络,同时神州数码DCFW-1800系列防火墙支持与第三方IDS的联动。

  防病毒方案由四部分构成,即客户机防病毒、服务器防病毒、网关防病毒和防病毒产品管理控制台。管理控制台负责病毒代码、引擎、防病毒程序的升级和更新,管理策略、病毒扫描配置等的分发。

  安全系统集成服务包括两个方面,一方面,是指对不同类安全产品(如防火墙、防病毒等产品)的安装、配置和维护,另一方面,是在漏洞扫描和安全评估的基础上对用户的网络进行安全性增强配置服务。

  安全性增强配置服务主要包括网络设备的安全性增强配置、主机操作系统的安全性增强配置、应用系统安全性增强配置等。

  

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题