防火墙策略配置范文
发布者:丁熙东2019-12-30
防火墙配置策略
pix515防火墙配置策略实例
#转换特权用户
pixfirewall>ena
pixfirewall#
#进入全局配置模式
pixfirewall# conf t
#激活内外端口
interface ethernet0 auto
interface ethernet1 auto
#下面两句配置内外端口的安全级别
nameif ethernet0 outside security0
nameif ethernet1 inside security100
#配置防火墙的用户信息
enable password pix515
hostname pix515
domain-name domain
#下面几句配置内外网卡的IP地址
ip address inside 192.168.4.1 255.255.255.0
ip address outside 公网IP 公网IP子网掩码
global (outside) 1 interface
nat (inside) 1 192.168.4.0 255.255.255.0 0 0
#下面两句将定义转发公网IP的ssh和www服务到192.168.4.2
static (inside,outside) tcp 公网IP www 192.168.4.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp 公网IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0
#下面两句将定义外部允许访问内部主机的服务
conduit permit tcp host 公网IP eq www any
conduit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255
#允许内部服务器telnet pix
telnet 192.168.4.2 255.255.255.0 inside
#下面这句允许ping
conduit permit icmp any any
#下面这句路由网关
route outside 0.0.0.0 0.0.0.0 公网IP网关 1
#保存配置
write memory
各种防火墙的配置及维护
防火墙不是万无一失的安全策略,对它们必须加以合理的管理。
说到保护网络资产和业务关键基础设施免受攻击,大多数组织设立的第一道防线就是防火墙,但遗憾的是,防火墙往往又是最后一道防线。许多组织认为,防火墙就是保护基础设施投资的护身盔甲。更贴切的说法应该是胸甲――它护得了要害部位,但护不住头和脚。有鉴于此,防火墙应当仍然构成第一道防线,但必须同时得到其它深度防御安全策略的援助。
专业人员进行安全评估时,强调从现场部件开始着手的必要性,即对每个网段的每个主机进行“在线式”攻击测试。客户的第一个反应往往是“我不要这样,我只对网络黑客会干什么有兴趣。我有防火墙来保护。”如果客户觉得对防火墙不太放心,可能会添加IP地址作为远程攻击的一部分。遗憾的是,他们没有领会到要义。既然明知防火墙对基础设施的投资这么重要,为什么不进行检查,确保防火墙提供理应提供的所有保护呢?
尽管业界已尽了最大努力,但没有哪个防火墙能保护主机避免针对网络服务的“零时间”漏洞(zero-day exploit)。然而,如果配置及维护得当,就有助于约束攻击者通过被入侵主机进行的破坏行为。控制离开被入侵网络的网络流量(譬如禁止HTTP或FTP出站),这往往能阻挠攻击者获得进一步获取权限或者入侵其它内部主机所必要的工具。
防火墙往往是项目安全预算当中最大的单笔开支。防火墙安装在环境内时备受关注,而且往往配置准确。然而,等到基础设施运行了一年半载,防火墙却通常再也无法提供过去的那种保护。
专业人员在评估及审查了众多防火墙策略(有时含有成百上千条规则)之后,强烈建议:应当对防火墙策略安排年度审查以及“彻底清理”。防火墙管理员和基础设施的开发人员及维护人员都能够出面评估所需的策略更改,这很重要。重点应当放在尽量降低策略的复杂性,同时确保进出网络流量得到控制。
然后,利用各种端口扫描和确认方法,测试防火墙的安全性。对防火墙进行扫描本身作用有限,不过有助于发现通常应当禁止的任何服务或系统响应(譬如,对ICMP、路由协议和开放管理端口的响应)。不过,对与防火墙相连的所有网段的每个主机(包括防火墙)进行扫描,并且把发现结果同基于策略的预期结果进行对照,这极其重要。就长期而言,要确保防火墙管理员在使用最新的防火墙和主机操作系统方面接受全面培训。
如果运行基于防火墙的VPN隧道服务,还要评估各种相关的策略及配置。
正如不该把防火墙视为万无一失的安全防御机制那样,还应确保这个重要部件得到妥善维护和管理。毕竟,护身盔甲上的胸甲的保护功效完全取决于钢板和铁匠。
防火墙保护的几个主要漏洞
?防火墙应用系统和主机操作系统没有打上安全补丁,予以更新。
?随意向要求更改防火墙策略的受保护环境添加新主机。增添主机规则时,又往往是千篇一律的规则,从而影响了现有主机的安全性。
?从基础设施移走主机时未对防火墙策略进行相应更改。万一主机遭到远程入侵,就会造成策略“漏洞百出”。
?增添“临时的”策略更改,试图解决一年到头出现的一次性问题。获取及安装受保护主机的最新安全补丁或更新程序的系统管理员往往喜欢这样。
?重新审查防火墙日志的次数越来越少。管理员用于监控防火墙日常运转的时间不是很多,结果没人注意攻击。
?管理防火墙的任务交给了水平较差、更改防火墙策略能力较差的人(因为最初安装防火墙的“技术人员”对此不再有兴趣),尤其是增添的规则往往限制入站流量,却对出站流量未加任何限制。
?许多人获得了管理防火墙的权限,结果弄得谁也不知道为什么要制订某些规则,也不知道更改规则的重要性。
防火墙的需求,规划,架构,选型,策略配置
VPN 客户端和防火墙策略要通过使用 ISA Server 2004 来允许远程虚拟专用网络 (VPN) 客户端,必须启用 VPN 客户端访问。
有关说明,请参阅启用远程 VPN 客户端访问。当启用 VPN 客户端访问时,ISA 服务器启用适当的网络和防火墙策略规则以允许初始访问。
当允许远程 VPN 客户端连接时,ISA Server 2004 使这些客户端成为 VPN 客户端网络的成员。默认系统策略规则允许这些客户端访问 ISA 服务器计算机(本地主机网络)。
系统策略规则启用 VPN 客户端访问时,将启用名为“允许 ISA 服务器的 VPN 客户端通讯”的系统策略规则。根据您为远程客户端访问配置的协议,系统策略规则允许使用点到点隧道协议 (PPTP) 和/或第 2 层隧道协议 (L2TP) 来从外部网络(VPN 客户端的假定位置)连接到 ISA 服务器计算机(本地主机)。
当配置下列远程 VPN 客户端访问属性时,可以修改这一规则:VPN 访问网络。最初设置为外部网络,您可以修改这一属性。
可以为能够连接到 ISA 服务器的 VPN 客户端指定一个或多个网络。当修改此属性时,系统策略规则自动更改,以便可以适用于额外的或其他的网络。
VPN 协议。用于远程 VPN 客户端访问的 VPN 协议可以是 PPTP 和/或 L2TP。
当修改此设置时,系统策略规则得到更新以便允许使用适当的协议。 网络规则安装 ISA 服务器时创建的默认网络规则定义了内部网络与 VPN 客户端网络之间的路由关系。
当安装 ISA 服务器时,还会创建另一条默认规则,允许从 VPN 客户端网络访问外部网络。可以创建新的网络规则,以便允许从 VPN 客户端网络到其他网络的通讯。
有关网络规则的详细信息,请参阅网络规则。ISA 服务器可以充当 VPN 客户端的地址解析协议 (ARP) 代理。
例如,如果分配给 VPN 客户端网络的地址是内部网段的一部分,则无论地址是从静态池中分配的还是由 DHCP 服务器分配的,内部网络中的计算机都会向 VPN 客户端发送 ARP 查询。ISA 服务器将拦截查询,并代表已连接的 VPN 客户端作出答复。
您不必将 VPN 客户端网络子网与内部网络分隔开来。防火墙策略规则要允许远程 VPN 客户端访问内部网络上的资源,必须创建允许适当访问权限的访问规则。
如果您认为从防火墙策略的角度看,VPN 客户端网络与内部网络完全相同,可能还想创建一条访问规则以便允许从内部网络到 VPN 客户端网络的所有通讯。有关防火墙策略的更多信息,请参阅防火墙策略规则概述。
如果要启用并配置隔离,必须针对被隔离的 VPN 客户端网络创建一条访问规则,以便允许适当的权限。有关隔离的详细信息,请参阅 VPN 与隔离。
当 ISA 服务器处理规则,以确定是否允许来自 VPN 客户端的请求时,将使用 VPN 凭据。防火墙客户端与 Web 代理客户端如果 ISA 服务器配置为 VPN 服务器并充当防火墙客户端的防火墙服务器,那么安装了防火墙客户端的 VPN 客户端计算机将使用 ISA 服务器内部网络接口的端口 1745。
有关防火墙客户端的详细信息,请参阅防火墙客户端。类似地,如果 ISA 服务器配置为 VPN 服务器并充当 Web 代理客户端的代理服务器,那么将 ISA 服务器用作代理的 VPN 客户端计算机将使用 ISA 服务器内部网络接口的端口 8080。
有关 Web 代理客户端的详细信息,请参阅 Web 代理客户端。默认情况下,如果定义允许从 VPN 客户端网络访问内部网络的规则,将允许访问所有端口。
但是,如果选择限制端口,则必须允许访问端口 1745(对于防火墙客户端)和 8080(对于 Web 代理客户端)。配置为防火墙客户端的 VPN 客户端计算机将在身份验证时提供防火墙客户端凭据(已登录的用户),而不是 VPN 会话凭据。
基于 VPN 凭据的访问规则将生效。连接到 ISA 服务器的防火墙客户端无法连接到另一台 VPN 服务器。
这是因为防火墙客户端应用程序通过 ISA 服务器发送所有通讯,其中包括 VPN 通讯。因此,在连接到 VPN 服务器时应禁用防火墙客户端。
或者,在为防火墙客户端配置的网络中包括远程网络中的所有地址。 -------------------------------------------------------------------------------- 请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
防火墙设计策略有哪些?
在了解TCP和UDP之前,我们需要来了解俩个概念,面向连接的服务和无连接的服务,应用面向连接的服务时,客户和服务器在发送在进行数据发送前,彼此向对方发送控制分组,这就是所谓的握手过程,使得客户和服务器都做好分组交换准备。
4月到6月,国外传统上称为“防火墙月”,据说这与“防火墙”的诞生有关。此后,每一种革命意义的防火墙技术都在此期间发布。
遵照传统,编辑也收集了国内外论坛中的防火墙专帖,一起分享其中的安全理念与部署技巧。 定义所需要的防御能力 防火墙的监视、冗余度以及控制水平是需要进行定义的。
百事通通过企业系统策略的设计,IT人员要确定企业可接受的风险水平(偏执到何种程度)。接下来IT人员需要列出一个必须监测什么传输、必须允许什么传输通行,以及应当拒绝什么传输的清单。
换句话说,IT人员开始时先列出总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作清单中。 关注财务问题 很多专家建议,企业的IT人员只能以模糊的表达方式论述这个问题。
但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的;从头建立一个高端防火墙可能需要几个月。
另外,系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是,使建立的防火墙不需要高额的维护和更新费用。
体现企业的系统策略 IT人员需要明白,安装后的防火墙是为了明确地拒绝——除对于连接到网络至关重要的服务之外的所有服务。或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问提供一种计量和审计的方法。
在这些选择中存在着某种程度的偏执狂,防火墙的最终功能可能将是行政上的结果,而非工程上的决策。 网络设计 出于实用目的,企业目前关心的是路由器与自身内部网络之间存在的静态传输流路由服务。
因此,基于这一事实,在技术上还需要做出几项决策:传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。 IT人员需要做出的决定是,是否将暴露的简易机放置在外部网络上为Telnet、FTP、News等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机通信。
这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及提供的服务水平的降低。
防火墙设计策略有哪些?
在了解TCP和UDP之前,我们需要来了解俩个概念,面向连接的服务和无连接的服务,应用面向连接的服务时,客户和服务器在发送在进行数据发送前,彼此向对方发送控制分组,这就是所谓的握手过程,使得客户和服务器都做好分组交换准备。
4月到6月,国外传统上称为“防火墙月”,据说这与“防火墙”的诞生有关。此后,每一种革命意义的防火墙技术都在此期间发布。遵照传统,编辑也收集了国内外论坛中的防火墙专帖,一起分享其中的安全理念与部署技巧。
定义所需要的防御能力
防火墙的监视、冗余度以及控制水平是需要进行定义的。
百事通通过企业系统策略的设计,IT人员要确定企业可接受的风险水平(偏执到何种程度)。接下来IT人员需要列出一个必须监测什么传输、必须允许什么传输通行,以及应当拒绝什么传输的清单。换句话说,IT人员开始时先列出总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作清单中。
关注财务问题
很多专家建议,企业的IT人员只能以模糊的表达方式论述这个问题。但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的;从头建立一个高端防火墙可能需要几个月。另外,系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是,使建立的防火墙不需要高额的维护和更新费用。
体现企业的系统策略
IT人员需要明白,安装后的防火墙是为了明确地拒绝——除对于连接到网络至关重要的服务之外的所有服务。或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂,防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
网络设计
出于实用目的,企业目前关心的是路由器与自身内部网络之间存在的静态传输流路由服务。因此,基于这一事实,在技术上还需要做出几项决策:传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。
IT人员需要做出的决定是,是否将暴露的简易机放置在外部网络上为Telnet、FTP、News等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及提供的服务水平的降低。
防火墙配置技巧
防火墙负载过重吗?防火墙负载过重的症状包括CPU占用率高,数据传输慢,应用运行缓慢。在升级硬件之前,有必要查看一下防火墙配置,看看是否可对其进行优化。这里为大家介绍几种优化防火墙的建议,以期帮助大家实现电脑最佳性能,提高传输速度。
此优化配置技巧分为两个部分:常规最佳配置和供应商专用的模式型配置。本文主要介绍常规最佳配置。
方法一:确保流向外部的数据符合策略
清除不好的数据,清理网络。不好的数据包括与策略不符的,未授权的或不受欢迎的数据。如果发生服务器直接用对外否认的DNS,NTP,SMTP,HTTP和HTTPSecure请求等攻击防火墙时,要通知服务器管理员。然后,管理员应重新配置服务器,支起不会发送不受欢迎的对外数据。
方法二:在路由而不是防火墙上过滤不想要的数据
将过滤不受欢迎数据的规则更改到边缘路由上,以平衡安全策略的性能和效用。首先,要将那些通往路由的顶端注入请求当作标准ACL过滤器。这样或许有些耗费时间,但却不失为阻止数据涌入路由的良方,因为这样有利于节约防火墙所占用的CPU和内存。
而后,如果你的网络与防火墙之间具备内部障碍路由,可考虑将普通对外流量转移到该障碍路由上。这样可以释放更多防火墙进程。
方法三:删除不需要使用的规则和对象
删除规则库中不需要使用的规则和对象。虽然清除一个难以控制的规则库听上去有些令人望而生畏,但是还是有许多自动化工具可助你一臂之力。这些自动化工具可以减少防火墙策略管理的困难。
方法四:减少规则库的复杂度
减少规则库的复杂度,而且规则尽可能不要重复。再一次强调,有很多工具可极大减少我们清理和简化规则库的时间和障碍。
方法五:控制传送流量
如果防火墙界面直接连接到LAN部分,那么你应该创建一条规则来控制无记录的传送流量(bootp,TCP/IP协议之上运行的NetBIOS等。)
方法六:将使用较频繁的规则列于规则库靠前位置
将使用较频繁的规则列于规则库靠前位置。注意有些防火墙(如,思科Pix)不依赖于规则顺序执行,因为他们使用优化法则来匹配数据包。
方法七:避免DNS对象
避免那些需要DNS查找的对象。
方法八:防火墙界面的设置应与交换机和路由设置相匹配
你的防火墙界面应该与你的路由和交换机界面相匹配。如果你的录音或交换机是双向100Mbps,那么防火墙也应该是半双工100Mbps。界面设置或许匹配起来有些困难,但应尽可能实现全双工通信制100Mbps。
你的路由与防火墙或者交换机与防火墙应该以同样的模式和速度运作。如果你的交换机和防火墙都是千兆以太网,那么他们都应被设置成自动调节速度与双工。如果你的千兆接口不能与防火墙和交换机,可以尝试更换电缆或插线板端口。无法以1000Mbps全双工连接的千兆接口往往是出现其他问题的症状。
方法九:将防火墙与VPN隔离
将防火墙与VPN隔离以便卸载VPN数据和进程。
方法十:从防火墙卸载性能
从防火墙卸载的统一威胁管理性能包括:反病毒,反垃圾邮件,入侵防御系统以及URL扫描。
方法十一:软件升级到最新版本
将软件升级到最新版本。经验告诉我们,新的软件不仅包含更多对性能的改进,而且还添加了很多新功能——而新的功能并没有安全保障,因而要及时更新防火墙版本。
本文来自电脑知识信息网 谢谢支持!
