发信人: literr(一线天)
整理人: ipaq(2001-05-28 15:33:01), 站内信件
|
安全审计中,我们经常能看到一个巨资购入的防火墙由于一个规则配置的错误而将机构暴露于巨大的危险中。本文的目地是帮助你设计、建立和维护一个可靠的、安全的防火墙规则集。这里包含的信息适用于大多数的防火墙,以高阳信安的DS2000防火墙作为例子。不管你用的是那种类型的防火墙,设计规则集的基本原理是相同的。
成功的关键
在我们深入探讨之前,强调一个简单的规则集是建立一个安全的防火墙关键所在。你的网络的头号敌人是错误配置。为什么当你意外地将消息访问协议(Imap)公开时,那些坏家伙会试图悄悄携带欺骗性的、片断的信息包通过你的防火墙?保持你的规则集简洁和简短,规则越多,你或其他人就越可能犯错误。
安全策略
防火墙(和防火墙规则集)只是安全策略的技术实现。管理层建立规定实施什么样的安全策略,防火墙是策略得以实施的技术工具。所以,在建立规则集之前,我们必须理解安全策略。既然本文强调规则集设计,对安全策略的论述就相对简单。幸运的是,我们的机构有一个简单的安全策略,管理层将其概述如下:
1. 内部雇员访问Internet不受限制。
2. 规定Internet有权使用公司的websever和Internet E-mail。
3. 任何进入公用内部网络的通话必须经过安全认证和加密。
显然,大多数机构的安全策略要远远比这复杂,但对本文来说,这就够了。但你会很快会看到这个策略是如何变得复杂的。
安全体系结构
作为一个管理员,我们的第一步是将安全策略转化为安全体系结构。现在,我们来讨论把每一项安全策略核心转化为技术实现。
1. 第一项很容易。内部网络的任何东西都允许输出到Internet。
2. 第二项安全策略核心很微妙。我们要为公司建立web和E-mail服务器。我们通过把它们放入一个DMZ(Demilitarized Zone)来实现该项策略核心。
3. 唯一的从Internet到内部网络的通话是远程管理。我们必须让系统管理员能远程地访问他们的系统。我们实现它的方式是只允许加密服务进入内部网络。
4. 有一样东西我们必须添加,DNS。虽然我们没有在安全策略中陈述它,但我们必须提供这项服务。作为安全管理员,我们要实现Split DNS。
规则次序
在建立规则集之前,有一件事必须提及,即规则次序。你很快会认识到哪条规则放在哪个之上是非常关键的。同样的规则,以不同的次序放置,可能完全改变防火墙的运转情况。
更换控制
你恰当地组织好规则之后,我建议你写上注释校正它们并经常更新它们。注释帮助你明白哪条规则做什么。对规则理解得越好,错误配置的可能性就越小。对那些有多重防火墙管理员的大机构来说,我建议,当规则被修改时,把下列信息加入注释中。这帮助你跟踪谁修改了哪条规则以及修改的原因。
|
|