防火墙和系统安全防护的优化
防火墙
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
策略配置与优化
防火墙策略优化与调整是网络维护工作的重要内容,策略是否优化将对设备运行性能产
生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多,因此建议在设置策略时尽量
保证统一规划以提高设置效率,提高可读性,降低维护难度。
策略配置与维护需要注意地方有:
试运行阶段最后一条 策略定义为所有访问允许并记录日志,以便在不影响业务的情况下
找漏补遗;当确定把所有的业务流量都调查清楚并放行后,可将最后-条定义为所有访问禁止
并记录8志,以便在试运行阶段观察非法流量行踪。试运行阶段结束后,再将最后一条“禁止
所有访问”策略删除。
防火墙按从上至下顺序搜索策略表进行策略匹配,策略顺序对连接建立速度会有影响,
建议将流量大的应用和延时敏感应用放于策略表的顶部,将较为特殊的策略定位在不太特殊的
策略上面。
策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作,但启用此功能会耗用
部分资源。建议在业务量大的网络上有选择采用,或仅在必要时采用。
简化的策略表不仅便于维护,而且有助于快速匹配。尽量保持策略表简洁和简短,规则
越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。
策略用于区域间单方向网络访问控制。如果源区域和目的区域不同,则防火墙在区域间
策略表中执行策略查找。如果源区域和目的区域相同并启用区域内阻断,则防火墙在区域内部
策略表中执行策略查找。如果在区域间或区域内策略表中没有找到匹配策略,则安全设备会检
查相关区域的缺省访问权限以查找匹配策略。
策略变更控制。组织好策略规则后,应写上注释并及时更新。注释可以帮助管理员了解
每条策略的用途,对策略理解得越全面,错误配置的可能性就越小。如果防火墙有多个管理员,
建议策略调整时,将变更者、变更具体时间、变更原因加入注释中,便于后续跟踪维护。