作為抵御在線攻擊者的第一道防線，我們的服務(wù)器防火墻是網(wǎng)絡(luò)安全的重要組成部分。那么服務(wù)器防火墻怎么設(shè)置?

第一步：保護(hù)我們的防火墻

如果攻擊者能夠獲得對(duì)我們防火墻的管理訪問權(quán)限，那么我們的網(wǎng)絡(luò)安全就“游戲結(jié)束”了。因此，保護(hù)我們的防火墻是此過程的第一步也是最重要的一步。切勿將未通過至少以下配置操作適當(dāng)保護(hù)的防火墻投入生產(chǎn)：

1、將我們的防火墻更新到最新的固件。

2、刪除、禁用或重命名任何默認(rèn)用戶帳戶并更改所有默認(rèn)密碼。確保僅使用復(fù)雜且安全的密碼。

3、如果多個(gè)管理員將管理防火墻，請(qǐng)根據(jù)職責(zé)創(chuàng)建具有有限權(quán)限的其他管理員帳戶，切勿使用共享用戶帳戶。

4、禁用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)或?qū)⑵渑渲脼槭褂冒踩鐓^(qū)字符串。

第二步：構(gòu)建我們的防火墻區(qū)域和IP地址

所有通過Internet提供服務(wù)的服務(wù)器(Web服務(wù)器、電子郵件服務(wù)器、虛擬專用網(wǎng)絡(luò) (VPN) 服務(wù)器等)都應(yīng)放置在專用區(qū)域中，以允許來自Internet的有限入站流量。不應(yīng)直接從Internet訪問的服務(wù)器(例如數(shù)據(jù)庫服務(wù)器)必須放置在內(nèi)部服務(wù)器區(qū)域中。同樣，工作站、銷售點(diǎn)設(shè)備和互聯(lián)網(wǎng)協(xié)議語音 (VOIP) 系統(tǒng)通?？梢苑胖迷趦?nèi)部網(wǎng)絡(luò)區(qū)域中。

一般來說，我們創(chuàng)建的區(qū)域越多，我們的網(wǎng)絡(luò)就越安全。但請(qǐng)記住，管理更多區(qū)域需要額外的時(shí)間和資源，因此在決定要使用多少網(wǎng)絡(luò)區(qū)域時(shí)需要小心。

如果我們使用的是IP版本 4，則應(yīng)將內(nèi)部IP地址用于所有內(nèi)部網(wǎng)絡(luò)。必須配置網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)以允許內(nèi)部設(shè)備在必要時(shí)在Internet上進(jìn)行通信。

一旦我們?cè)O(shè)計(jì)了網(wǎng)絡(luò)區(qū)域結(jié)構(gòu)并建立了相應(yīng)的IP地址方案，就可以創(chuàng)建我們的防火墻區(qū)域并將它們分配給我們的防火墻接口或子接口。在構(gòu)建網(wǎng)絡(luò)基礎(chǔ)架構(gòu)時(shí)，應(yīng)使用支持虛擬LAN (VLAN)的交換機(jī)來維持網(wǎng)絡(luò)之間的2級(jí)隔離。

第三步：配置訪問控制列表

現(xiàn)在我們已經(jīng)建立了網(wǎng)絡(luò)區(qū)域并將它們分配給接口，我們應(yīng)該準(zhǔn)確確定哪些流量需要能夠流入和流出每個(gè)區(qū)域。

將使用稱為訪問控制列表 (ACL) 的防火墻規(guī)則允許此流量，這些規(guī)則應(yīng)用于防火墻上的每個(gè)接口或子接口。盡可能使我們的ACL特定于確切的源和/或目標(biāo)IP地址和端口號(hào)。在每個(gè)訪問控制列表的末尾，確保有一個(gè)“拒絕所有”規(guī)則來過濾掉所有未經(jīng)批準(zhǔn)的流量。將入站和出站ACL應(yīng)用到防火墻上的每個(gè)接口和子接口，以便只允許批準(zhǔn)的流量進(jìn)出每個(gè)區(qū)域。

只要有可能，通常建議禁止公共訪問您的防火墻管理界面(包括安全外殼(SSH)和Web界面)。這將有助于保護(hù)我們的防火墻配置免受外部威脅。確保禁用所有未加密的防火墻管理協(xié)議，包括Telnet和HTTP連接。

第四步：配置其他防火墻服務(wù)和日志記錄

如果我們的防火墻還能夠充當(dāng)動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP) 服務(wù)器、網(wǎng)絡(luò)時(shí)間協(xié)議 (NTP) 服務(wù)器、入侵防御系統(tǒng) (IPS) 等，那么請(qǐng)繼續(xù)配置我們希望使用的服務(wù)。禁用所有我們不打算使用的額外服務(wù)。

為滿足PCI DSS要求，配置防火墻以向日志服務(wù)器報(bào)告，并確保包含足夠的詳細(xì)信息以滿足PCI DSS的10.2至10.3要求。

第五步：測(cè)試我們的防火墻配置

在測(cè)試環(huán)境中，驗(yàn)證我們的防火墻是否按預(yù)期工作。不要忘記驗(yàn)證我們的防火墻是否阻止了根據(jù)我們的ACL配置應(yīng)阻止的流量。測(cè)試防火墻應(yīng)該包括漏洞掃描和滲透測(cè)試。

完成防火墻測(cè)試后，我們的防火墻應(yīng)該可以投入生產(chǎn)了。始終記住將防火墻配置的備份保存在安全的地方，這樣我們的所有辛勤工作就不會(huì)在硬件出現(xiàn)故障時(shí)丟失。

以上是服務(wù)器防火墻設(shè)置的主要步驟的概述。在使用教程時(shí)，即使我們決定配置自己的防火墻，也請(qǐng)務(wù)必讓安全專家檢查我們的配置，以確保其設(shè)置能夠盡可能保證我們的數(shù)據(jù)安全。

審核編輯：湯梓紅