作为抵御在线攻击者的第一道防线,我们的服务器防火墙是网络安全的重要组成部分。那么服务器防火墙怎么设置?
第一步:保护我们的防火墙
如果攻击者能够获得对我们防火墙的管理访问权限,那么我们的网络安全就“游戏结束”了。因此,保护我们的防火墙是此过程的第一步也是最重要的一步。切勿将未通过至少以下配置操作适当保护的防火墙投入生产:
1、将我们的防火墙更新到最新的固件。
2、删除、禁用或重命名任何默认用户帐户并更改所有默认密码。确保仅使用复杂且安全的密码。
3、如果多个管理员将管理防火墙,请根据职责创建具有有限权限的其他管理员帐户,切勿使用共享用户帐户。
4、禁用简单网络管理协议(SNMP)或将其配置为使用安全社区字符串。
第二步:构建我们的防火墙区域和IP地址
所有通过Internet提供服务的服务器(Web服务器、电子邮件服务器、虚拟专用网络 (VPN) 服务器等)都应放置在专用区域中,以允许来自Internet的有限入站流量。不应直接从Internet访问的服务器(例如数据库服务器)必须放置在内部服务器区域中。同样,工作站、销售点设备和互联网协议语音 (VOIP) 系统通常可以放置在内部网络区域中。
一般来说,我们创建的区域越多,我们的网络就越安全。但请记住,管理更多区域需要额外的时间和资源,因此在决定要使用多少网络区域时需要小心。
如果我们使用的是IP版本 4,则应将内部IP地址用于所有内部网络。必须配置网络地址转换(NAT)以允许内部设备在必要时在Internet上进行通信。
一旦我们设计了网络区域结构并建立了相应的IP地址方案,就可以创建我们的防火墙区域并将它们分配给我们的防火墙接口或子接口。在构建网络基础架构时,应使用支持虚拟LAN (VLAN)的交换机来维持网络之间的2级隔离。
第三步:配置访问控制列表
现在我们已经建立了网络区域并将它们分配给接口,我们应该准确确定哪些流量需要能够流入和流出每个区域。
将使用称为访问控制列表 (ACL) 的防火墙规则允许此流量,这些规则应用于防火墙上的每个接口或子接口。尽可能使我们的ACL特定于确切的源和/或目标IP地址和端口号。在每个访问控制列表的末尾,确保有一个“拒绝所有”规则来过滤掉所有未经批准的流量。将入站和出站ACL应用到防火墙上的每个接口和子接口,以便只允许批准的流量进出每个区域。
只要有可能,通常建议禁止公共访问您的防火墙管理界面(包括安全外壳(SSH)和Web界面)。这将有助于保护我们的防火墙配置免受外部威胁。确保禁用所有未加密的防火墙管理协议,包括Telnet和HTTP连接。
第四步:配置其他防火墙服务和日志记录
如果我们的防火墙还能够充当动态主机配置协议 (DHCP) 服务器、网络时间协议 (NTP) 服务器、入侵防御系统 (IPS) 等,那么请继续配置我们希望使用的服务。禁用所有我们不打算使用的额外服务。
为满足PCI DSS要求,配置防火墙以向日志服务器报告,并确保包含足够的详细信息以满足PCI DSS的10.2至10.3要求。
第五步:测试我们的防火墙配置
在测试环境中,验证我们的防火墙是否按预期工作。不要忘记验证我们的防火墙是否阻止了根据我们的ACL配置应阻止的流量。测试防火墙应该包括漏洞扫描和渗透测试。
完成防火墙测试后,我们的防火墙应该可以投入生产了。始终记住将防火墙配置的备份保存在安全的地方,这样我们的所有辛勤工作就不会在硬件出现故障时丢失。
以上是服务器防火墙设置的主要步骤的概述。在使用教程时,即使我们决定配置自己的防火墙,也请务必让安全专家检查我们的配置,以确保其设置能够尽可能保证我们的数据安全。
文章评论(0条评论)
登录后参与讨论