部署防火墻策略的十六條守則

發布時間: 2012/5/16 10:22:24

部署防火墻策略的十六條守則

內容概述：在部署防火墻策略時，你需要遵守一些規則。以下是我總結出來的十六條守則，希望你能夠認真的看一下，并且牢牢的記住，這樣，你才能最有效的、最高效的、最安全的、最穩定的部署你的防火墻策略。如果你有些不能理解，請先參見站內其他技術文章，當你對ISA有了更深的認識時，你就能夠徹底的理解了。

1、計算機沒有大腦。所以，當ISA的行為和你的要求不一致時，請檢查你的配置而不要埋怨ISA。
2、只允許你想要允許的客戶、源地址、目的地和協議。仔細的檢查你的每一條規則，看規則的元素是否和你所需要的一致，盡量避免使用拒絕規則。
3、針對相同用戶或含有相同用戶子集的訪問規則，拒絕的規則一定要放在允許的規則前面。
4、當需要使用拒絕時，顯式拒絕是首要考慮的方式。
5、在不影響防火墻策略執行效果的情況下，請將匹配度更高的規則放在前面。
6、在不影響防火墻策略執行效果的情況下，請將針對所有用戶的規則放在前面。
7、盡量簡化你的規則，執行一條規則的效率永遠比執行兩條規則的效率高。
8、永遠不要在商業網絡中使用 Allow 4 ALL規則（Allow all users use all protocols from all networks to all networks），這樣只是讓你的ISA形同虛設。
9、如果可以通過配置系統策略來實現，就沒有必要再建立自定義規則。
10、ISA的每條訪問規則都是獨立的，執行每條訪問規則時不會受到其他訪問規則的影響。
11、永遠也不要允許任何網絡訪問ISA本機的所有協議。內部網絡也是不可信的。
12、SNat客戶不能提交身份驗證信息。所以，當你使用了身份驗證時，請配置客戶為Web代理客戶或防火墻客戶。
13、無論作為訪問規則中的目的還是源，最好使用IP地址。
14、如果你一定要在訪問規則中使用域名集或URL集，最好將客戶配置為Web代理客戶。
15、請不要忘了，防火墻策略的最后還有一條DENY 4 ALL。
16、最后，請記住，防火墻策略的測試是必需的。
本文出自：億恩科技【www.vbseamall.com】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]