萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 網絡防火牆的設置技巧

網絡防火牆的設置技巧

2009-5-13 7:25:24

網絡防火牆的設置技巧

如今網絡防火牆已經成為了各位網友上網,但是又有對少人能讓他的網絡防火牆真正發揮他的作用呢?

.

  CIO頻道每周熱"點"文章 .

  CIO如何化解IT團隊人際沖突?抱守與放棄:CIO該如何抉擇 .

  如何重塑政府CIO職能?2009年CIO面臨的挑戰以及應對策略 .

  三個教訓 我親歷的戰略轉型故事遠離CEO“直覺決策” CIO如何把握時機? .

  許多人對於網絡防火牆的功能不加以設置,對網絡防火牆的規則不加以設置——這樣,網絡防火牆作用就會大大減弱…… .

  網絡防火牆的默認設置一般都只能是普遍的設置,也就是說這樣的設置要大致適合成千上百用戶。試問,這樣的設置就一定會100%適合你嗎?肯定不可能。下面,我就以我自己實踐的經驗,談談我自己的看法。 .

  功能設置篇 .

  功能設置屬於外部設置。為什麼這樣說呢?主要因為,這些設置不會改變規則中要求攔截和放行對象。 .

  對於我這個經常上網的寬帶用戶來說,隨機啟動是絕對不可少的。如果是撥號用戶或不常上網的用戶來說,防火牆的啟動有兩種方案: .

  方案一:上網前手動開啟防火牆(一般用戶) .

  方案二:用一個文件使防火牆和網絡連接一起啟動(高級用戶) .

  通常,網絡防火牆都會有一個安全等級選項。對於這個選擇,絕對不可以隨便選。因為,有不少用戶就是因為不根據實際情況選擇,而導致無法使用某些網絡資源或被黑客有機可乘。 .

  像我這樣的固定ip的技術性局域網用戶來說,我認為設置為中等即可。因為,我們不像某些用戶那樣可以隨意改變自己的ip,所以我們的防御必須比動態ip用戶要高一些。 .

  但是,是不是越高越好呢?不是。某些用戶,因為不切實際的把安全等級設置為高級,而又不會在規則中設置相應網絡規則,而導致無法使用某些網絡資源,如在線直播等。 .

  因此,我建議一般用戶將規則設置為中低即可。 .

  至於其他報警設置等,我也不想多說了。但是,我還是要提醒一句,攔截一定要記錄在日志裡。這樣才以便我們復查。 .

  規則設置篇

.

  ICMP IGMP炸彈都讓一些用戶感到心驚膽戰。所以,某些用戶索性禁止所有ICMP和IGMP。

.

  這樣,顯然是不大好的設置。為什麼呢?因為ICMPIGMP固然被人利用來做炸彈,但是總不能“寧可殺錯一萬,不能放走一個”的全部攔截。且不說別的,就說因為全部攔截ICMPIGMP所耗費的系統資源就數不勝數……

.

  我建議,攔截的只需是ICMP的1型(即echorequset)就已經足夠了。為什麼呢?攔截ICMP的1型主要是為了防黑客用ping命令查詢你是否在線,所以此類ICMP必須攔截。 .

  如果你還是擔心ICMP IGMP炸彈,不妨去微軟那打個補丁。 .

  網絡防火牆的一大功能就是防木馬和防黑客,所以自己設置規則攔截木馬和阻截黑客是必要的。 .

  你也許會說,網絡防火牆不是有默認的規則嗎?的確,有。但是,這只是最常見的木馬和漏洞。對於新的危害大的木馬和漏洞,恐怕原先的規則就不能勝任他的任務了。

.

  那麼,我們怎樣設置規則呢? .

copyright © 萬盛學電腦網 all rights reserved