前幾天在書店看一本書《Cisco ASA、PIX與FWSM防火墻手冊》感覺很,現(xiàn)把其中一小部分抄下來。和大家一起分享。
《》
一、定期收集并查看防火墻日志
在配置防火墻之后會產(chǎn)生大量的日志信息。收集這些日志最重要的原因是對網(wǎng)絡(luò)活動的審計跟蹤。如果網(wǎng)絡(luò)遭受攻擊或者網(wǎng)絡(luò)資源的惡意使用,可以依據(jù)系統(tǒng)日志記錄作為證據(jù)。計算機(jī)
二、制定精確的入站ACL
必須嚴(yán)格控制流量從公共網(wǎng)絡(luò)或者不安全的方面進(jìn)入到受保護(hù)網(wǎng)絡(luò)。
三、在不同方面保護(hù)DMZ
一些不懷好意的人會通過DMZ區(qū)攻擊內(nèi)部網(wǎng)絡(luò),如果在DMZ服務(wù)器和內(nèi)部區(qū)域之間開放訪問(任何協(xié)議或端口),DMZ區(qū)就會成為一個跳板,使外部的惡意用戶能夠危害DMZ服務(wù)器,并使用它來危害內(nèi)部其他主機(jī)。
四、多留意ICMP流量
當(dāng)需要診斷到某臺主機(jī)的訪問時間或網(wǎng)絡(luò)響應(yīng)時間時,ICMP數(shù)據(jù)包是十分有用的。外部的惡意用戶可能使用ICMP來偵測或者攻擊位于DMZ或者內(nèi)部網(wǎng)絡(luò)的活動的主機(jī)。最佳做法,只允許指定類型的ICMP數(shù)據(jù)包從外部進(jìn)入網(wǎng)絡(luò)。
五、保存所有安全的防火墻管理流量
六、定時檢查防火墻規(guī)則
以上是轉(zhuǎn)載《Cisco ASA PIX與FWSM防火墻操作手冊》,每一章,防火墻概述。希望大家多出點意見。
上海廣樂網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號盛銀大廈E棟 13151091625
