外围防火墙规则
通常情况下,您的外围防火墙需要以默认的形式或者通过配置来实现下列规则:
• 拒绝所有通信,除非显式允许的通信。
• 阻止声明具有内部或者外围网络源地址的外来数据包。
• 阻止声明具有外部源 IP 地址的外出数据包(通信应该只源自堡垒主机)。
• 允许从 DNS 解析程序到 Internet 上的DNS 服务器的基于 UDP 的 DNS 查询和应答。
• 允许从 Internet DNS 服务器到 DNS 解析程序的基于 UDP 的 DNS 查询和应答。
• 允许基于 UDP 的外部客户端查询 DNS 解析程序并提供应答。
• 允许从 Internet DNS 服务器到 DNS 解析程序的基于 TCP 的 DNS 查询和应答。
• 允许从出站 SMTP 堡垒主机到 Internet 的外出邮件。
• 允许外来邮件从 Internet 到达入站 SMTP 堡垒主机。
• 允许从代理发起的通信从代理服务器到达 Internet。
• 允许代理应答从 Internet 定向到外围上的代理服务器
内部防火墙规则
内部防火墙监视外围区域和信任的内部区域之间的通信。
• 默认情况下,阻止所有数据包。
• 在外围接口上,阻止看起来好像来自内部 IP 地址的传入数据包,以阻止欺骗。
• 在内部接口上,阻止看起来好像来自外部 IP 地址的传出数据包以限制内部攻击。
• 允许从内部 DNS 服务器到 DNS 解析程序 Bastion 主机的基于 UDP 的查询和响应。
• 允许从 DNS 解析程序 Bastion 主机到内部 DNS 服务器的基于 UDP 的查询和响应。
• 允许从内部 DNS 服务器到 DNS 解析程序 Bastion 主机的基于 TCP 的查询,包括对这些查询的响应。
• 允许从 DNS 解析程序 Bastion 主机到内部 DNS 服务器的基于 TCP 的查询,包括对这些查询的响应。
• 允许 DNS 广告商 Bastion 主机和内部 DNS 服务器主机之间的区域传输。
• 允许从内部 SMTP 邮件服务器到出站 SMTP Bastion 主机的传出邮件。
• 允许从入站 SMTP Bastion 主机到内部 SMTP 邮件服务器的传入邮件。
• 允许来自 VPN 服务器上后端的通信到达内部主机并且允许响应返回到 VPN 服务器。
• 允许验证通信到达内部网络上的 RADUIS 服务器并且允许响应返回到 VPN 服务器。
• 来自内部客户端的所有出站 Web 访问将通过代理服务器,并且响应将返回客户端。
• 在外围域和内部域的网段之间支持 Microsoft Windows 2000/2003 域验证通信。
• 至少支持五个网段。
• 在所有加入的网段之间执行数据包的状态检查(线路层防火墙 – 第 3 层和第 4 层)。
• 支持高可用性功能,如状态故障转移。
• 在所有连接的网段之间路由通信,而不使用网络地址转换。