部署防火墙策略的十六条守则

   Updated: 2009-06-15 13:18       部署防火墙策略的十六条守则无评论

摘自 ISA 中文站,作者:风间子,原文

内容概述:在部署防火墙策略时,你需要遵守一些规则。以下是我总结出来的十六条守则,希望你能够认真的看一下,并且牢牢的记住,这样,你才能最有效的、最高效的、最安全的、最稳定的部署你的防火墙策略。如果你有些不能理解,请先参见站内其他技术文章,当你对 ISA 有了更深的认识时,你就能够彻底的理解了。

  1. 计算机没有大脑。所以,当 ISA 的行为和你的要求不一致时,请检查你的配置而不要埋怨 ISA。
  2. 只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致,尽量避免使用拒绝规则。
  3. 针对相同用户或含有相同用户子集的访问规则,拒绝的规则一定要放在允许的规则前面。
  4. 当需要使用拒绝时,显式拒绝是首要考虑的方式。
  5. 在不影响防火墙策略执行效果的情况下,请将匹配度更高的规则放在前面。
  6. 在不影响防火墙策略执行效果的情况下,请将针对所有用户的规则放在前面。
  7. 尽量简化你的规则,执行一条规则的效率永远比执行两条规则的效率高。
  8. 永远不要在商业网络中使用 Allow 4 ALL 规则(Allow all users use all protocols from all networks to all networks),这样只是让你的 ISA 形同虚设。
  9. 如果可以通过配置系统策略来实现,就没有必要再建立自定义规则。
  10. ISA 的每条访问规则都是独立的,执行每条访问规则时不会受到其他访问规则的影响。
  11. 永远也不要允许任何网络访问 ISA 本机的所有协议。内部网络也是不可信的。
  12. SNat 客户不能提交身份验证信息。所以,当你使用了身份验证时,请配置客户为 Web 代理客户或防火墙客户。
  13. 无论作为访问规则中的目的还是源,最好使用 IP 地址
  14. 如果你一定要在访问规则中使用域名集URL 集,最好将客户配置为 Web 代理客户
  15. 请不要忘了,防火墙策略的最后还有一条 DENY 4 ALL。
  16. 最后,请记住,防火墙策略的测试是必需的

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注