部署網絡防火墻確實為企業安全防護的不二選擇，然而如果沒有一個正確的防火墻規則集設置，所謂的防火墻也只能是泡沫而已。本文的目的就是幫助網絡管理員設計、建立和維護一個可靠的、安全的防火墻規則集，這里以高陽信安的DS2000防火墻為例，不過其中包含的信息是適用于大多數的防火墻的。

如何建立一個安全的規則集呢?下面我們就從一個虛構機構的安全策略開始，基于此策略，來設計一個防火墻規則集。

防火墻規則集***步：制定安全策略

防火墻和防火墻規則集只是安全策略的技術實現。管理層規定實施什么樣的安全策略，防火墻是策略得以實施的技術工具。所以，在建立規則集之前，我們必須首先理解安全策略，假設它包含以下3方面內容：

1. 內部雇員訪問Internet不受限制。

2. 規定Internet有權使用公司的Webserver和Internet Email。

3. 任何進入公用內部網絡的通話必須經過安全認證和加密。

顯然，大多數機構的安全策略要遠遠比這復雜，對本文來說，這就夠了。

防火墻規則集第二步：搭建安全體系結構

作為一個安全管理員，***步是將安全策略轉化為安全體系結構。現在，我們來討論把每一項安全策略核心如何轉化為技術實現。

***項很容易，內部網絡的任何東西都允許輸出到Internet上。

第二項安全策略核心很微妙，這就要求我們要為公司建立Web和E-mail服務器。由于任何人都能訪問Web和E-mail服務器，所以我們不能信任它們。我們通過把它們放入DMZ(Demilitarized Zone，中立區)來實現該項策略。DMZ是一個孤立的網絡，通常把不信任的系統放在那里，DMZ中的系統不能啟動連接內部網絡。DMZ有兩種類型，有保護的和無保護的。有保護的DMZ是與防火墻脫離的孤立的部分;無保護的DMZ是介于路由器和防火墻之間的網絡部分。這里建議使用有保護的DMZ，我們把Web和E-mail服務器放在那里。

惟一的從Internet到內部網絡的通話是遠程管理。我們必須讓系統管理員能遠程地訪問他們的系統。我們實現它的方式是只允許加密服務進入內部網絡。

還有一樣東西我們必須添加，那就是DNS。雖然我們沒有在安全策略中陳述它，但我們必須提供這項服務。作為安全管理員，我們要實現Split DNS。Split DNS是指在兩臺不同的服務器上分離DNS的功能。我們通過用一臺DNS來分析公司域名的External DNS服務器和一臺內部用戶使用的Internal DNS服務器來實現該項功能。External DNS服務器與Web和E-mail服務器一起放在有保護的DMZ中，Internal DNS服務器放在內部網絡中。

防火墻規則集第三步：制定規則次序

在建立規則集之前，有一件事必須提及，即規則次序。哪條規則放在哪條之前是非常關鍵的。同樣的規則，以不同的次序放置，可能會完全改變防火墻的運轉情況。很多防火墻(例如SunScreen EFS、Cisco IOs、FW-1)以順序方式檢查信息包，當防火墻接收到一個信息包時，它先與***條規則相比較，然后是第二條、第三條……當它發現一條匹配規則時，就停止檢查并應用那條規則。如果信息包經過每一條規則而沒有發現匹配，這個信息包便會被拒絕。一般來說，通常的順序是，較特殊的規則在前，較普通的規則在后，防止在找到一個特殊規則之前一個普通規則便被匹配，這可以使你的防火墻避免配置錯誤。#p#

防火墻規則集第四步：落實規則集

選好素材就可以建立規則集了，下面就簡要概述每條規則。

切斷默認

通常在默認情況下，DS2000有多種服務是不公開的。我們的***步需要切斷默認性能。

允許內部出網

我們的規則是允許內部網絡的任何人出網，與安全策略中所規定的一樣，所有的服務都被許可。

添加鎖定

現在我們添加鎖定規則，阻塞對防火墻的任何訪問，這是所有規則集都應有的一條標準規則，除了防火墻管理員，任何人都不能訪問防火墻。

丟棄不匹配的信息包

在默認情況下，丟棄所有不能與任何規則匹配的信息包。但這些信息包并沒有被記錄。我們把它添加到規則集末尾來改變這種情況，這是每個規則集都應有的標準規則。

丟棄并不記錄

通常網絡上大量被防火墻丟棄并記錄的通信通話會很快將日志填滿。我們創立一條規則丟棄/拒絕這種通話但不記錄它。這是一條你需要的標準規則。

允許DNS 訪問

我們允許Internet用戶訪問我們的DNS服務器。

允許郵件訪問

我們希望Internet和內部用戶通過SMTP(簡單郵件傳遞協議)訪問我們的郵件服務器。

允許Web 訪問

我們希望Internet和內部用戶通過HTTP(服務程序所用的協議)訪問我們的Web服務器。

阻塞DMZ

內部用戶公開訪問我們的DMZ，這是我們必須阻止的.

允許內部的POP訪問

讓內部用戶通過POP(郵局協議)訪問我們的郵件服務器。

強化DMZ的規則

你的DMZ應該從不啟動與內部網絡的連接。如果你的DMZ能這樣做，就說明它是不安全的。這里希望加上這樣一條規則，只要有從DMZ到內部用戶的通話，它就會發出拒絕、做記錄并發出警告。

允許管理員訪問

我們允許管理員(受限于特殊的資源IP)以加密方式訪問內部網絡。

提高性能

***，我們回顧一下規則集來考慮性能問題，只要有可能，就把最常用的規則移到規則集的頂端。因為防火墻只分析較少數的規則，這樣能提高防火墻性能。

增加IDS

對那些喜歡基礎掃描檢測的人來說，這會有幫助。

附加規則

你可以添加一些附加規則，例如：

阻塞與AOL ICQ的連接，不要阻塞入口，只阻塞目的文件AOL服務器。

防火墻規則集第五步：注意更換控制

在你恰當地組織好規則之后，還建議你寫上注釋并經常更新它們。注釋可以幫助你明白哪條規則做什么，對規則理解得越好，錯誤配置的可能性就越小。對那些有多重防火墻管理員的大機構來說，建議當規則被修改時??

規則更改者的名字。

規則變更的日期/時間。

規則變更的原因。

防火墻規則集第六步：做好審計工作

當你建立好規則集后，檢測它很關鍵。我們所犯的錯誤由好的管理員去跟蹤并找到它們。

防火墻實際上是一種隔離內外網的工具。在如今Internet訪問的動態世界里，在實現過程中很容易犯錯誤。通過建立一個可靠的、簡單的規則集，你可以創建一個更安全的被你的防火墻所隔離的網絡環境。

成功的訣竅：規則越簡單越好
 

【編輯推薦】

1. Web專用網站服務器的安全設置
2. 怎樣進行路由器的安全設置
3. 安全設置策略及自帶防火墻介紹
4. 企業如何對員工進行網絡安全培訓
5. 企業如何在復雜環境中降低安全風險