部署网络防火墙策略的16条守则

1、计算机没有大脑。所以,当ISA的行为和你的要求不一致时,请检查你的配 置而不要埋怨ISA。

2、只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一 条规则,看规则的元素是否和你所需要的一致。

3、拒绝的规则一定要放在允许的规则前面。

4、当需要使用拒绝时,显式拒绝是首要考虑的方式。

5、在不影响防火墙策略执行效果的情况下,请将匹配度更高的规则放在前面 。

6、在不影响防火墙策略执行效果的情况下,请将针对所有用户的规则放在前 面。

7、尽量简化你的规则,执行一条规则的效率永远比执行两条规则的效率高。

8、永远不要在商业网络中使用Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks),这样只是让你的ISA形同虚 设。

9、如果可以通过配置系统策略来实现,就没有必要再建立自定义规则。

10、ISA的每条访问规则都是独立的,执行每条访问规则时不会受到其他访问 规则的影响。

11、永远也不要允许任何网络访问ISA本机的所有协议。内部网络也是不可信 的。

12、SNat客户不能提交身份验证信息。所以,当你使用了身份验证时,请配置 客户为Web代理客户或防火墙客户。

13、无论作为访问规则中的目的还是源,最好使用IP地址。

14、如果你一定要在访问规则中使用域名集或URL集,最好将客户配置为Web代 理客户。

15、请不要忘了,防火墙策略的最后还有一条DENY 4 ALL.

16、最后,请记住,防火墙策略的测试是必需的。

时间: 2024-07-31 16:32:12

部署网络防火墙策略的16条守则的相关文章

网络防火墙策略限制定位问题

问题描述 各位好,遇到一个问题想请教各位帮忙,万分火急,在此先谢过.我们一个B/S的系统在一个跨域的网络中运行,中间有若干防火墙,现在是对方能够telnet我的数据库,而我telnet不同对方的数据库,中间各防火墙因为需要电话沟通,所以也无法确定他们是否配置正确.想问各位有什么办法能让我确认到我发送的请求到哪一步被限制了. 解决方案 解决方案二:有没有谁能给个思路

如何使用组策略部署Windows防火墙

在管理规模较大的网络环境时,网络安全往往是花费精力最多的一环.就拿配置Windows XP SP2的防火墙来说,如果让网管为网内计算机逐一进行配置的话,工作量会非常大,而且在细节配置上也容易出错.那么,如何才能提高规模化环境内的防火墙配置效率呢? Windows防火墙是Windows XP SP2中一个极为重要的安全设计,它可以有效地协助我们完成计算机的安全管理.今天,笔者将为大家介绍如何使用组策略(Group Policy)在机房中集中部署Windows防火墙,提高为网内计算机配置防火墙的效率

网络防火墙防范溢出策略分析

"溢出"一直以来都是很多黑帽子黑客最常用(或者说是最喜欢用)的手段之一,随安全文化的逐步普及,大量的公开shellcode("溢出"代码)与溢出攻击原理都可以随意在各大的网络安全网站中找得到,由此衍生了一系列的安全隐患...小黑黑使用它们来进行非法的攻击.恶意程序员使用它们来制造蠕虫等等...而网络防火墙作为人们最喜欢的网络安全"设施"之一,它又能如何"拦截"这一类型的攻击呢? 目前大多的防火墙系统都是针对包过滤规则进行安全防

部署基于Windows 2008防火墙策略提升域安全

基于Windows Server 2008的DC,无论在功能上还是安全性上都是有了非常大的提升.同时,我们也知道Windows Server 2008的防火墙也是异常强大.毫无疑问,在Windows Server 2008的DC上部署防火墙策略无疑会极大地提升整个域的安全性.下面笔者搭建环境,结合实例进行防火墙策略部署的一个演示. 1.在DC上部署防火墙策略 (1).配置防火墙策略 点击"开始"在搜索栏中输入"gpmc.msc"打开GPMC的组策略管理工具.依次展开

Linux网络防火墙的实现

防火墙作为一种网络或系统之间强制实行访问控制的机制,是确保网络安全的重要手段.针对不同的需求和应用环境,可以量身定制出不同的防火墙系统.防火墙大到可由若干路由器和堡垒主机构成,也可小到仅仅是网络操作系统上一个防火墙软件包所提供的包过滤功能. 在众多网络防火墙产品中,Linux操作系统上的防火墙软件特点显著.首先是Linux操作系统作为一个类Unix网络操作系统,在系统的稳定性.健壮性及价格的低廉性方面都独具优势.更为重要的是,Linux不但本身的源代码完全开放,而且系统包含了建立Internet

传统的网络防火墙的缺陷

如今,知识渊博的黑客,均能利用网络防火墙开放的端口,巧妙躲过网络防火墙的监测,直接针对目标应用程序.他们想出复杂的攻击方法,能够绕过传统网络防火墙.据专家统计,目前70%的攻击是发生在应用层,而不是网络层.对于这类攻击,传统网络防火墙的防护效果,并不太理想. 传统的网络防火墙,存在着以下不足之处: 1.无法检测加密的Web流量 如果你正在部署一个门户网站,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外.这个需求,对于传统的网络防火墙而言,是个大问题. 由于网络防火墙对于加密的SSL流中的数

《Windows Server 2012活动目录管理实践》——2.2 部署网络第一台域控制器

2.2 部署网络第一台域控制器 本节创建名称为"book.com"的域.Windows Server 2012操作系统安装完成后,需要重命名计算机.更改网络参数,然后才可以安装AD DS域服务.安装AD DS域服务分两个阶段:安装角色和提升域服务.下面详细介绍通过GUI模式部署AD DS域服务过程. 2.2.1 重命名计算机 第1步,以默认管理员"Administrator"登录需要安装AD DS域服务的计算机,切换到Metro界面.右击"计算机"

《Effective Debugging:软件和系统调试的66个有效方法》——第16条:使用专门的监测及测试设备

第16条:使用专门的监测及测试设备 调试嵌入式系统及系统软件的时候,我们可能要对从硬件到应用程序的整个计算栈进行分析.调试工作一旦深入硬件层面,我们就需要关注电流的微小变化以及磁矩的对齐情况等细节.在大多数情况下,可以通过强大的IDE以及一些追踪软件与日志记录软件来探查这些问题,然而有的时候,就连这些工具也帮不上忙.这通常发生在软件与硬件有所接触的场合,也就是说,虽然你认为你所写的软件能够像预期的那样运作,但是硬件却有着它自己的处理方式.例如,你把正确的数据写入磁盘,再将其读取出来,却发现这些数

Windows Server 2008网络保护策略(NPS)应用

单位员工大部分是移动办公一族,由于病毒库更新不及时.系统补丁没有安装,使移动办公设备处于危险状态,访问内部网络时很可能威胁整个网络.该如何防守网络访问这扇门呢? 笔者所在的单位是一家传媒公司,有数百人的记者队伍,每位记者都配备了http://www.aliyun.com/zixun/aggregation/9600.html">笔记本电脑以及上网设备.记者经常携带笔记本电脑出差,很长时间不登录内部网络.网络中统一部署了防病毒软件以及系统补丁更新,记者通过VPN或者其他方式连接公司网络时,连