防火牆作爲企業網絡安全防護的第一道閘門,重要性自然不必多說。我們就直奔主題吧!
首先,必要的準備工作還是必不可少的,把相關的設備、配件、文檔、手冊、CD、license等相關許可保存好。把啊相關技術人員電話、郵件等聯繫方式記錄好!
好了,開始吧,首先登陸防火牆這個設備,要做的第一步就是對防火牆做相關的網絡設置,保證網絡的連通性。WAN口、LAN口、DMZ口(如果需要的話)的IP地址、掩碼、網關、DNS服務器,端口的速率、雙工模式、MTU值等等。另外一個重要的地方是路由設置等,當然包括靜態和動態(如果需要)或策略路由,優先級等!還包括VLAN、子接口等等可能的情況!
當網絡配置好以後,基本上,我們要對防火牆的安全策略、規則做一個規劃,首先,應該建立一條禁止外網去訪問內網和DMZ的規則,同樣也要禁止DMZ訪問內網。把內網的電腦規劃接入防火牆的LAN口,需要對外提供服務的服務器如對外的Web服務器、FTP服務器、郵件服務器等,規劃放置在DMZ口,WAN口接到Internet。現在,我們已經禁止了WAN到LAN和DMZ的訪問,也禁止了DMZ到LAN的訪問。也應該禁止LAN到DMZ和WAN的訪問。現在,任何一個區域都不能夠互相訪問。這也許是防火牆能做到的最安全狀態,可是對我們一點用處都沒有,我們什麼也幹不了。我們把內網需要訪問外網的電腦的IP、MAC、用戶組,訪問的服務、目的IP、時間、帶寬、優先級等做一個全面的統計,並做相應的策略和規則,做到該擁有的權利,一個不少;不該擁有的權利,一個沒有!爲了能對外提供服務,我們還需要添加從WAN到DMZ的規則,以開放我們想要提供的服務。在做服務的時候,一定要遵從先禁止,再開啓的方法,寧可錯殺,不可漏過!
做完以上兩步,一個防火牆基本上就已經配置完成了,更多的是隨着網絡環境的變化、人員的變化、權限的變化等,做相應規則的調整,這是一個長期的維護過程!
但是,在今天,大部分的企業都有***的需求。不管是有分支機構的公司還是有出差員工的情況,都需要我們做不同的***策略。現在大部分的防火牆都帶有IPsec ***。而分之機構和總公司之間做***屬於Site 2 Site 的***,通常需要在兩個防火牆之間來做。如果是有多個分支的情況,並且,分支之間也有數據傳輸,就需要做成hub-spoken這樣的星型***網絡(當然,也不反對做全網狀***)。另一個是出差人員或回家辦公人員需要做client 2 site的***,在其電腦上安裝一個***軟件並做好相應配置即可。如果不想在其電腦上安裝軟件,也不做配置,那可能需要SSL ***,這通常是一款獨立的設備,就不做說明。在做***的時候,同樣需要設置相關的權限控制,允許其訪問應該訪問的資源,禁止其訪問不該訪問的資源!
並且,在做***的時候,建議防火牆應該擁有一個固定的公網IP,在提供對外的服務時,也建議有至少一個固定IP。這樣才能更好的、更穩定的提供相應的服務!