作為抵御在線攻擊者的第一道防線，我們的服務(wù)器防火墻是網(wǎng)絡(luò)安全的重要組成部分。那么服務(wù)器防火墻怎么設(shè)置?

第一步：保護(hù)我們的防火墻

如果攻擊者能夠獲得對我們防火墻的管理訪問權(quán)限，那么我們的網(wǎng)絡(luò)安全就“游戲結(jié)束”了。因此，保護(hù)我們的防火墻是此過程的第一步也是最重要的一步。切勿將未通過至少以下配置操作適當(dāng)保護(hù)的防火墻投入生產(chǎn)：

1、將我們的防火墻更新到最新的固件。

2、刪除、禁用或重命名任何默認(rèn)用戶帳戶并更改所有默認(rèn)密碼。確保僅使用復(fù)雜且安全的密碼。

3、如果多個管理員將管理防火墻，請根據(jù)職責(zé)創(chuàng)建具有有限權(quán)限的其他管理員帳戶，切勿使用共享用戶帳戶。

4、禁用簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)或?qū)⑵渑渲脼槭褂冒踩鐓^(qū)字符串。

第二步：構(gòu)建我們的防火墻區(qū)域和IP地址

所有通過Internet提供服務(wù)的服務(wù)器(Web服務(wù)器、電子郵件服務(wù)器、虛擬專用網(wǎng)絡(luò) (VPN) 服務(wù)器等)都應(yīng)放置在專用區(qū)域中，以允許來自Internet的有限入站流量。不應(yīng)直接從Internet訪問的服務(wù)器(例如數(shù)據(jù)庫服務(wù)器)必須放置在內(nèi)部服務(wù)器區(qū)域中。同樣，工作站、銷售點(diǎn)設(shè)備和互聯(lián)網(wǎng)協(xié)議語音 (VOIP) 系統(tǒng)通?？梢苑胖迷趦?nèi)部網(wǎng)絡(luò)區(qū)域中。

一般來說，我們創(chuàng)建的區(qū)域越多，我們的網(wǎng)絡(luò)就越安全。但請記住，管理更多區(qū)域需要額外的時間和資源，因此在決定要使用多少網(wǎng)絡(luò)區(qū)域時需要小心。

如果我們使用的是IP版本 4，則應(yīng)將內(nèi)部IP地址用于所有內(nèi)部網(wǎng)絡(luò)。必須配置網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)以允許內(nèi)部設(shè)備在必要時在Internet上進(jìn)行通信。

一旦我們設(shè)計了網(wǎng)絡(luò)區(qū)域結(jié)構(gòu)并建立了相應(yīng)的IP地址方案，就可以創(chuàng)建我們的防火墻區(qū)域并將它們分配給我們的防火墻接口或子接口。在構(gòu)建網(wǎng)絡(luò)基礎(chǔ)架構(gòu)時，應(yīng)使用支持虛擬LAN (VLAN)的交換機(jī)來維持網(wǎng)絡(luò)之間的2級隔離。

第三步：配置訪問控制列表

現(xiàn)在我們已經(jīng)建立了網(wǎng)絡(luò)區(qū)域并將它們分配給接口，我們應(yīng)該準(zhǔn)確確定哪些流量需要能夠流入和流出每個區(qū)域。

將使用稱為訪問控制列表 (ACL) 的防火墻規(guī)則允許此流量，這些規(guī)則應(yīng)用于防火墻上的每個接口或子接口。盡可能使我們的ACL特定于確切的源和/或目標(biāo)IP地址和端口號。在每個訪問控制列表的末尾，確保有一個“拒絕所有”規(guī)則來過濾掉所有未經(jīng)批準(zhǔn)的流量。將入站和出站ACL應(yīng)用到防火墻上的每個接口和子接口，以便只允許批準(zhǔn)的流量進(jìn)出每個區(qū)域。

只要有可能，通常建議禁止公共訪問您的防火墻管理界面(包括安全外殼(SSH)和Web界面)。這將有助于保護(hù)我們的防火墻配置免受外部威脅。確保禁用所有未加密的防火墻管理協(xié)議，包括Telnet和HTTP連接。

第四步：配置其他防火墻服務(wù)和日志記錄

如果我們的防火墻還能夠充當(dāng)動態(tài)主機(jī)配置協(xié)議 (DHCP) 服務(wù)器、網(wǎng)絡(luò)時間協(xié)議 (NTP) 服務(wù)器、入侵防御系統(tǒng) (IPS) 等，那么請繼續(xù)配置我們希望使用的服務(wù)。禁用所有我們不打算使用的額外服務(wù)。

為滿足PCI DSS要求，配置防火墻以向日志服務(wù)器報告，并確保包含足夠的詳細(xì)信息以滿足PCI DSS的10.2至10.3要求。

第五步：測試我們的防火墻配置

在測試環(huán)境中，驗(yàn)證我們的防火墻是否按預(yù)期工作。不要忘記驗(yàn)證我們的防火墻是否阻止了根據(jù)我們的ACL配置應(yīng)阻止的流量。測試防火墻應(yīng)該包括漏洞掃描和滲透測試。

完成防火墻測試后，我們的防火墻應(yīng)該可以投入生產(chǎn)了。始終記住將防火墻配置的備份保存在安全的地方，這樣我們的所有辛勤工作就不會在硬件出現(xiàn)故障時丟失。

以上是服務(wù)器防火墻設(shè)置的主要步驟的概述。在使用教程時，即使我們決定配置自己的防火墻，也請務(wù)必讓安全專家檢查我們的配置，以確保其設(shè)置能夠盡可能保證我們的數(shù)據(jù)安全。

審核編輯：湯梓紅