防火牆基本安全策略准則

        前幾天在書店看一本書《Cisco ASA、PIX與FWSM防火牆手冊》感覺很，現把其中一小部分抄下來。和大家一起分享。

                                                                《防火牆基本安全策略准則》

          一、定期收集並查看防火牆日志

                  在配置防火牆之後會產生大量的日志信息。收集這些日志最重要的原因是對網絡活動的審計跟蹤。如果網絡遭受攻擊或者網絡資源的惡意使用，可以依據系統日志記錄作為證據。計算機

           二、制定精確的入站ACL

                   必須嚴格控制流量從公共網絡或者不安全的方面進入到受保護網絡。

           三、在不同方面保護DMZ

                    一些不懷好意的人會通過DMZ區攻擊內部網絡，如果在DMZ服務器和內部區域之間開放訪問（任何協議或端口），DMZ區就會成為一個“跳板”，使外部的惡意用戶能夠危害DMZ服務器，並使用它來危害內部其他主機。http://.

            四、多留意ICMP流量

                    當需要診斷到某台主機的訪問時間或網絡響應時間時,ICMP數據包是十分有用的。外部的惡意用戶可能使用ICMP來偵測或者攻擊位於DMZ或者內部網絡的活動的主機。最佳做法，只允許指定類型的ICMP數據包從外部進入網絡。

            五、保存所有安全的防火牆管理流量

            六、定時檢查防火牆規則

以上是轉載《Cisco ASA PIX與FWSM防火牆操作手冊》，每一章，防火牆概述。希望大家多出點意見。

防火牆基本安全策略准則.