十大措施打造固若金汤安全防火墙

　　保持简单 合理拒绝

　　最新的安全研究支持这样一个事实：对于一台未受保护的计算机而言，一旦它连上了宽带网络，那么只需花费不到20分钟就会遭受攻击。可以设想，如果我们将公司的网络连到互联网却并没有采取任何的安全措施会发生什么事情。数字网络的入侵者涌集到开放的端口，并致使恶意代码感染计算机，甚至掠夺你的敏感数据、知识产权等。面对这种情况，许多企业已经依靠网络防火墙来监视在公司网络和互联网之间流动的数据。防火墙就像一位看门人，它可以决定在何种情况下，哪些数据可以进入企业网络，哪些可以流出网络。

　　购买一个防火墙是保障网络安全的首要一步，不过确保防火墙根据业界的最佳方法进行了正确的配置是非常重要的。你如何设置防火墙会影响到它是否正常运行，因此花费点儿时间关注其配置方法是很值得的。你可以根据专家提供的以下技巧来调整并提升防火墙的安全性。

　　1. 强化你的系统

　　强化是减少硬件漏洞的重要方法。甚至在你安装一个防火墙之前，就希望关闭未用的端口并禁用任何不用的协议或用户账户来强化主机。理想情况下，防火墙应当能够补充内建于系统的安全性。

　　硬件防火墙厂商通常都称赞其设备是“预强化”的，不过如果你购买了一个软件防火墙方案，你可能需要自己动手操作。幸运的是，现在存在着关于如何强化不同机器的大量资源，而且你的硬件厂商还有可能提供帮助。

　　2. 保持简单

　　防火墙用于强化网络安全策略，因此，在你开始编写规则时，你需要一套清楚的组织指导方针，尽可能保持配置的简单化，并保持与策略的一致性。如果你需要清理以前留下来的安全手册，这正是精兵简政的好时机。如果你清除了不需要的和冗余的规则，那防火墙将会变得更有效率并易于管理。

　　3. 创建规则以实施快速评估

　　防火墙按照你设置的顺序处理规则，因此你要确保最容易处理的规则位于列表的顶端。如果一个请求与最前面的几条规则相匹配，那么防火墙就不必为后面的耗时规则而“费心”了。

　　容易处理的规则包括源端口信息、协议定义、互联网协议地址和定制计划等。难于处理的规则包括域名和URL集，以及内容类型和用户等。

　　4. 合理拒绝

　　因为你只想让经认可的通信在你的网络上流通，因此默认情况下你应当拒绝所有的通信，然后再启用必要的服务。你可以用全局允许和全局拒绝规则。全局允许规则将特定的访问给所有的用户，而全局拒绝规则却向所有的用户限制特定的访问。

　　例如，你可以对使用DNS协议的访问设置一个允许规则，而对使用P2P协议的用户设置拒绝规则。

　　这些规则减少了防火墙必须用后续规则处理的通信，并轻易地强化了某些访问规则。

　　5. 监视通信记录

　　我们通常都认为网络安全就是保护我们的系统免受病毒、rootkit、间谍软件等来自外部的恶意代码的威胁，不过攻击可以轻易地从内部发起。这就是我们为什么要设置防火墙既过滤发出的数据通信，又要过滤传入的数据通信。这种过滤称为出口过滤，它可阻止未授权的通信离开公司的计算机和服务器。它可以防止内部的机器被用来发动对其它服务器的僵尸攻击。

　　一般而言，应当先用出口过滤来阻止所有的通信，然后仅允许对特定类型服务器(如电子邮件服务器、WEB服务器和DNS服务器等)的通信。

　　测试漏洞 记录日志

　　6. 建立并设置隔离区(DMZ)

　　隔离区是一个位于内部(公司)网络和互联网之间的小型网络。它可以防止外部用户直接访问公司计算机。在一个典型的设置中，DMZ会接收公司用户访问WEB站点和外部网络其它信息的请求。隔离区会对访问对信息的请求进行初始化并将数据包转到后端的请求机。一般来说公司都将其WEB服务器放置到隔离区，这样外部用户就可以访问其WEB站点，但却不能访问驻存于公司网络上的私有数据。

　　有两种类型的隔离区。第一种称为“三宿主”外部网络。在这种设置中，防火墙拥有三个连接，一个用于内部网络，一个用于互联网，另外一个用于隔离区。第二种类型的DMZ称为“背靠背”外围网络，它使用两个防火墙。一个防火墙拥有对互联网和隔离区的连接，而另外一个拥有对内部网络和隔离区的连接。在这种情况下，隔离区位于内部和外部网络之间。

　　在这种两种设置中，你需要配置防火墙来限制通信的进入和从网络发出的通信。

　　7. 配置NTP(网络时间协议)

　　NTP是一个协议名称，它是一个客户端/服务器程序，它允许你使网络上计算机时钟的时间保持同步。时间的同步对在一个网络上实施分布式进程和文件系统的更新是很重要的。在你依次发布程序时，即使计算机时间的一个很小的不同也可能引起破坏。NTP使用全球标准时间，可将时间同步达到毫秒级。

　　NTP对于保障你的防火墙日志记录事件的准确性是极其重要的。你可能需要通过检查通信日志来调查对网络的一次攻击，而计时或时间因素对于查明真相是至关重要的。

　　8. 将防火墙配置为一个入侵检测系统(IDS)

　　入侵检测系统有时以一个独立的设备销售，它可以检测对网络或计算机的攻击，不过我们可以将防火墙配置为一个入侵检测系统。其关键是密切地检查防火墙对端口扫描、黑客企图或任何其它的可疑事件的日志。要密切地关注离开隔离区的数据通信，因为由此我们可以看到一次破坏活动的最初征兆。

　　一旦你获得这种数据，就可以将其以图形的方式表示出来，你可以借此观察其发展趋势，以帮助你编写更为严格的规则。你还可以安装一个活动日志文件监视工具，它可以针对一些可疑的活动向你发出警告。

　　9. 测试漏洞

　　一旦你安装了防火墙并使其正常运行，你需要对它进行一些测试，查找一些已知的漏洞。为了彻底地进行，你应当对防火墙的每一个接口在所有的方向上进行测试.。你还可以用禁用的规则来测试它，借以查看如果防火墙失效，你的系统是否易于遭受攻击。

　　经常有新的漏洞被发现，因此你最好定期地或经常地检查和审核你的防火墙。

　　10. 记录

　　防火墙的日志记录了流经网络的信息，在你打算调查可疑的通信和攻击时，这种信息是极有价值的。在你想针对新的威胁编写规则时，日志也是至关重要的，因为这些日志允许你确认和跟踪新的通信模式。要确保启用防火墙上的日志功能，如果防火墙拥有警告特性，也可启用之。

　　如果你拥有多个防火墙，你可能对调查一个远程的系统日志服务器感兴趣。其好处是集中化的日志管理、为进行审核在访问日志时也更容易。远程服务器也使得恶意的黑手在调整或操纵日志时更加困难。