正文

防火墻策略配置的原則（防火墻策略配置的原則包括）

發(fā)布時間：2023-03-21 01:26:10 稿源：創(chuàng)意嶺閱讀： 1016 問大家

大家好！今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于防火墻策略配置的原則的問題，以下是小編對此問題的歸納整理，讓我們一起來看看吧。

開始之前先推薦一個非常厲害的Ai人工智能工具，一鍵生成原創(chuàng)文章、方案、文案、工作計劃、工作報告、論文、代碼、作文、做題和對話答疑等等

只需要輸入關(guān)鍵詞，就能返回你想要的內(nèi)容，越精準(zhǔn)，寫出的就越詳細，有微信小程序端、在線網(wǎng)頁版、PC客戶端

官網(wǎng)：https://ai.de1919.com

本文目錄:

1、防火墻的作用是什么
2、防火墻怎么配置
3、防火墻支持策略路由嗎？用到什么場景？怎么配置？
4、什么是硬件防火墻？怎么配置

防火墻策略配置的原則（防火墻策略配置的原則包括）

一、防火墻的作用是什么

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務(wù)，具體功能如下：

1、控制在計算機網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。它有控制信息基本的任務(wù)在不同信任的區(qū)域。典型信任的區(qū)域包括互聯(lián)網(wǎng)和一個內(nèi)部網(wǎng)絡(luò)。最終目標(biāo)是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運行和連通性模型之間根據(jù)最少特權(quán)原則。

2、網(wǎng)絡(luò)安全：通過過濾不安全的服務(wù)而降低風(fēng)險。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

3、強化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計等）配置在防火墻上。

4、監(jiān)控網(wǎng)絡(luò)存取和訪問：如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。

5、防止內(nèi)部信息的外泄：通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

6、實現(xiàn)數(shù)據(jù)庫安全的實時防護：數(shù)據(jù)庫防火墻通過SQL協(xié)議分析，根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫的外圍防御圈,實現(xiàn)SQL危險操作的主動預(yù)防、實時審計。

/iknow-pic.cdn.bcebos.com/4e4a20a4462309f77aaedc477c0e0cf3d6cad6a6"target="_blank"title="點擊查看大圖"class="ikqb_img_alink">/iknow-pic.cdn.bcebos.com/4e4a20a4462309f77aaedc477c0e0cf3d6cad6a6?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"/>

擴展資料：

主要優(yōu)點：

1、防火墻能強化安全策略。

2、防火墻能有效地記錄Internet上的活動。

3、防火墻限制暴露用戶點。防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣，能防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。

4、防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

參考資料來源：/baike.baidu.com/item/%E9%98%B2%E7%81%AB%E5%A2%99/52767#3_2"target="_blank"title="百度百科-防火墻">百度百科-防火墻

二、防火墻怎么配置

在使用防火墻之前，需要對防火墻進行一些必要的初始化配置。出廠配置的防火墻需要根據(jù)實際使用場景和組網(wǎng)來配置管理IP、登陸方式、用戶名/密碼等。下面以我配置的華為USG防火墻為例，說明一下拿到出廠的防火墻之后應(yīng)該怎么配置。

1. 設(shè)備配置連接

一般首次登陸，我們使用的是Console口登陸。只需要使用串口網(wǎng)線連接防火墻和PC，使用串口連接工具即可。從串口登陸到防火墻之后，可以配置用戶，密碼，登陸方式等。這些配置在后面有記錄。

直接使用一根網(wǎng)線連接PC和設(shè)備的管理口。管理口是在設(shè)備面板上一個寫著MGMT的一個網(wǎng)口，一般默認(rèn)配置了IP，如192.168.0.1/24。我們在對端PC上配置同網(wǎng)段的IP，如192.168.0.10/24，我們就可以通過PC上的telnet客戶端登陸到防火墻設(shè)備上。

登陸到設(shè)備之后，默認(rèn)是在防火墻的用戶視圖下?？梢允褂胹ystem-view進入系統(tǒng)視圖，interface GigabitEthernet 0/0/0進入接口視圖，diagnose進入診斷視圖，security-policy進入安全策略視圖，firewall zone trust進入trust安全區(qū)域視圖，aaa進入aaa視圖等。

2. Telnet配置

配置VTY界面：

user-interface vty 0 4

authentication-mode aaa

user privilege level 3

protocol inbound all

配置aaa用戶：

manager-user admin

password cipher admin@123

service-type telnet

level 15

使能telnet服務(wù)：

telnet server enable

3. FTP配置

在aaa里配置：

manager-user admin

password cipher admin@123

service-type ftp

level 15

ftp-directory cfcard:/

使能ftp服務(wù)：

ftp server enable

4. SFTP配置

配置VTY界面：

user-interface vty 0 4

authentication-mode aaa

user privilege level 3

protocol inbound ssh

配置aaa用戶：

manager-user admin

password cipher admin@123

service-type ftp ssh

level 15

ftp-directory cfcard:/

使能sftp服務(wù)：

sftp server enable

配置Password認(rèn)證方式：

ssh user admin authentication-type password

ssh user admin service-type sftp

ssh user admin sftp-directory cfcard:/

5. SNMP配置

SNMPv1、SNMPv2c：

snmp-agent community write Admin@123

snmp-agent sys-info version v1 v2c

SNMPv3：

snmp-agent sys-info version v3

snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso

snmp-agent mib-view included iso iso

snmp-agent usm-user v3 admin

snmp-agent usm-user v3 admin group admingroup

snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123

6. Web配置

配置aaa用戶：

manager-user admin

password cipher admin@123

service-type web

level 15

使能web服務(wù)：

web-manager enable

配置完Web之后，其他配置就可以登陸到Web頁面進行可視化配置了。

三、防火墻支持策略路由嗎？用到什么場景？怎么配置？

支持，一般企業(yè)雙出口的時候可以使用，有5種方式，基于應(yīng)用協(xié)議的，基于源地址，基于用戶，基于運營商，基于只能選路，配置的5個步驟1接口2安全策略3iplink探測4策略路由，其中基于運營商的需要在安全策略中加nat策略

四、什么是硬件防火墻？怎么配置

硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負(fù)擔(dān)，使路由更穩(wěn)定。

硬件防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障。它的安全和穩(wěn)定，直接關(guān)系到整個內(nèi)部網(wǎng)絡(luò)的安全。因此，日常例行的檢查對于保證硬件防火墻的安全是非常重要的。

系統(tǒng)中存在的很多隱患和故障在暴發(fā)前都會出現(xiàn)這樣或那樣的苗頭，例行檢查的任務(wù)就是要發(fā)現(xiàn)這些安全隱患，并盡可能將問題定位，方便問題的解決。

一般來說，硬件防火墻的例行檢查主要針對以下內(nèi)容：

1.硬件防火墻的配置文件

不管你在安裝硬件防火墻的時候考慮得有多么的全面和嚴(yán)密，一旦硬件防火墻投入到實際使用環(huán)境中，情況卻隨時都在發(fā)生改變。硬件防火墻的規(guī)則總會不斷地變化和調(diào)整著，配置參數(shù)也會時常有所改變。作為網(wǎng)絡(luò)安全管理人員，最好能夠編寫一套修改防火墻配置和規(guī)則的安全策略，并嚴(yán)格實施。所涉及的硬件防火墻配置，最好能詳細到類似哪些流量被允許，哪些服務(wù)要用到代理這樣的細節(jié)。

在安全策略中，要寫明修改硬件防火墻配置的步驟，如哪些授權(quán)需要修改、誰能進行這樣的修改、什么時候才能進行修改、如何記錄這些修改等。安全策略還應(yīng)該寫明責(zé)任的劃分，如某人具體做修改，另一人負(fù)責(zé)記錄，第三個人來檢查和測試修改后的設(shè)置是否正確。詳盡的安全策略應(yīng)該保證硬件防火墻配置的修改工作程序化，并能盡量避免因修改配置所造成的錯誤和安全漏洞。

2.硬件防火墻的磁盤使用情況

如果在硬件防火墻上保留日志記錄，那么檢查硬件防火墻的磁盤使用情況是一件很重要的事情。如果不保留日志記錄，那么檢查硬件防火墻的磁盤使用情況就變得更加重要了。保留日志記錄的情況下，磁盤占用量的異常增長很可能表明日志清除過程存在問題，這種情況相對來說還好處理一些。在不保留日志的情況下，如果磁盤占用量異常增長，則說明硬件防火墻有可能是被人安裝了Rootkit工具，已經(jīng)被人攻破。

因此，網(wǎng)絡(luò)安全管理人員首先需要了解在正常情況下，防火墻的磁盤占用情況，并以此為依據(jù)，設(shè)定一個檢查基線。硬件防火墻的磁盤占用量一旦超過這個基線，就意味著系統(tǒng)遇到了安全或其他方面的問題，需要進一步的檢查。

3.硬件防火墻的CPU負(fù)載

和磁盤使用情況類似，CPU負(fù)載也是判斷硬件防火墻系統(tǒng)運行是否正常的一個重要指標(biāo)。作為安全管理人員，必須了解硬件防火墻系統(tǒng)CPU負(fù)載的正常值是多少，過低的負(fù)載值不一定表示一切正常，但出現(xiàn)過高的負(fù)載值則說明防火墻系統(tǒng)肯定出現(xiàn)問題了。過高的CPU負(fù)載很可能是硬件防火墻遭到DoS攻擊或外部網(wǎng)絡(luò)連接斷開等問題造成的。

4.硬件防火墻系統(tǒng)的精靈程序

每臺防火墻在正常運行的情況下，都有一組精靈程序（Daemon），比如名字服務(wù)程序、系統(tǒng)日志程序、網(wǎng)絡(luò)分發(fā)程序或認(rèn)證程序等。在例行檢查中必須檢查這些程序是不是都在運行，如果發(fā)現(xiàn)某些精靈程序沒有運行，則需要進一步檢查是什么原因?qū)е逻@些精靈程序不運行，還有哪些精靈程序還在運行中。

5.系統(tǒng)文件

關(guān)鍵的系統(tǒng)文件的改變不外乎三種情況：管理人員有目的、有計劃地進行的修改，比如計劃中的系統(tǒng)升級所造成的修改；管理人員偶爾對系統(tǒng)文件進行的修改；攻擊者對文件的修改。

經(jīng)常性地檢查系統(tǒng)文件，并查對系統(tǒng)文件修改記錄，可及時發(fā)現(xiàn)防火墻所遭到的攻擊。此外，還應(yīng)該強調(diào)一下，最好在硬件防火墻配置策略的修改中，包含對系統(tǒng)文件修改的記錄。

6.異常日志

硬件防火墻日志記錄了所有允許或拒絕的通信的信息，是主要的硬件防火墻運行狀況的信息來源。由于該日志的數(shù)據(jù)量龐大，所以，檢查異常日志通常應(yīng)該是一個自動進行的過程。當(dāng)然，什么樣的事件是異常事件，得由管理員來確定，只有管理員定義了異常事件并進行記錄，硬件防火墻才會保留相應(yīng)的日志備查。

上述6個方面的例行檢查也許并不能立刻檢查到硬件防火墻可能遇到的所有問題和隱患，但持之以恒地檢查對硬件防火墻穩(wěn)定可靠地運行是非常重要的。如果有必要，管理員還可以用數(shù)據(jù)包掃描程序來確認(rèn)硬件防火墻配置的正確與否，甚至可以更進一步地采用漏洞掃描程序來進行模擬攻擊，以考核硬件防火墻的能力。

以上就是關(guān)于防火墻策略配置的原則相關(guān)問題的回答。希望能幫到你，如有更多相關(guān)問題，您也可以聯(lián)系我們的客服進行咨詢，客服也會為您講解更多精彩的知識和內(nèi)容。