很多人认为,安装一套防火墙设备,就可以解决他们的安全问题,因此,不惜重金购买防火墙,但却忽视了防火墙的合理配置。防火墙功能的强大与否,除了防火墙本身的性能外,主要是取决对防火墙的正确配置。建立一个条理清楚的防火墙规则集是实现防火墙产品安全的非常关键的一环。安全、可靠防火墙的实现取决于以下的过程:
1.制定安全策略,搭建安全体系结构
安全策略要靠防火墙的规则集来实现,防火墙是安全策略得以实现的技术工具。所以,必须首先制定安全策略,也就是说防火墙要保护的是什么,要防止的是什么,并将要求细节化,使之全部转化成防火墙规则集。
2.制定规则的合理次序
一般防火墙产品在缺省状态下有两种默认规则:一种是没有明确允许,一律禁止;另一种是没有明确禁止,一律允许。因此,用户首先要理解自己所用产品的默认状态,这样才能开始配置其它的规则。
在防火墙产品规则列表中,最一般的规则往往被列在最后,而最具体的规则通常被列在最前面。在列表中,每一个列在前面的规则都比列在后面的规则更加具体,而列表中列在后面的规则比列在前面的规则更加一般。
按以上规则要求,规则放置的次序是非常关键的。同样的规则以不同的次序放置,可能会完全改变防火墙产品的运行状况。大部分防火墙产品以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后才是第二条、第三条……当它发现一条匹配规则时,就停止检查,并应用那条规则。如果信息包经过每一条规则而没有发现匹配的,那么,默认的规则就将起作用,这个信息包便会被拒绝。
另外,有些防火墙产品专门针对防火墙本身的访问列出规则,这要比一般的包过滤规则严格得多,通过这一规则的合理配置,可阻塞对防火墙的任何恶意访问,提高防火墙本身的安全性。
3.注释详细可以帮助理解
在恰当地组织好规则之后,这里还建议写明注释,并经常更新它们。注释可以帮助明白,哪条规则做什么。对规则理解得越好,错误配置的可能性就越小。同时建议,当修改规则时,把规则更改者的名字、变更的日期、规则变更的原因等信息加入注释中,这可以帮助你跟踪谁修改了哪条规则,以及修改的原因。
4.做好日志工作
日志的记录内容通常由防火墙管理员制定,可记录在防火墙中,也可放置在其它的主机上。建议防火墙管理员定期查看日志的内容,并归档,以便于分析。同时,要将被规则阻塞的包及时地通报管理员,以便及时了解网络攻击的状况,采取应急措施,保护网络安全。
请记住,只有合理的使用和良好的配置,才能使用户的安全策略很好地融入到防火墙产品中。