前幾天在書店看一本書《Cisco ASA、PIX與FWSM防火牆手冊》感覺很,現把其中一小部分抄下來。和大家一起分享。
《防火牆基本安全策略准則》
一、定期收集並查看防火牆日志
在配置防火牆之後會產生大量的日志信息。收集這些日志最重要的原因是對網絡活動的審計跟蹤。如果網絡遭受攻擊或者網絡資源的惡意使用,可以依據系統日志記錄作為證據。計算機
二、制定精確的入站ACL
必須嚴格控制流量從公共網絡或者不安全的方面進入到受保護網絡。
三、在不同方面保護DMZ
一些不懷好意的人會通過DMZ區攻擊內部網絡,如果在DMZ服務器和內部區域之間開放訪問(任何協議或端口),DMZ區就會成為一個“跳板”,使外部的惡意用戶能夠危害DMZ服務器,並使用它來危害內部其他主機。http://.
四、多留意ICMP流量
當需要診斷到某台主機的訪問時間或網絡響應時間時,ICMP數據包是十分有用的。外部的惡意用戶可能使用ICMP來偵測或者攻擊位於DMZ或者內部網絡的活動的主機。最佳做法,只允許指定類型的ICMP數據包從外部進入網絡。
五、保存所有安全的防火牆管理流量
六、定時檢查防火牆規則
以上是轉載《Cisco ASA PIX與FWSM防火牆操作手冊》,每一章,防火牆概述。希望大家多出點意見。
防火牆基本安全策略准則.