标签：源地址 策略 对象 端口 防火墙 用户 防护 系统安全

一、防火墙是什么？

防火墙代主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为，并进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，而计算机系统的内部中具有的日志功能，其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。

二、防火墙的种类有哪些？

防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。

三、防火墙的优化

防火墙策略安全风险列表

• 源地址any、目的地址any、目的端口any、any to any

  检查动作为Permit的策略源地址对象、目的地址对象、端口对象任何一个对象中是否含有Any。

• 没启用策略

  检查策略启用是否为0。

• 最后一条不是Deny All策略

  检查防火墙最大策略序号的策略源地址对象、目的地址对象、端口对象是否为any，同时动作为Permit。

• 高风险端口

  检查动作为Permit的策略端口对象，用户可以自定义端口进行检查。

• 对称性策略

  源地址对象和目的地址对象一致的策略。状态过滤防火墙不需要这样配置。

• 太多IP地址

  检查动作为Permit的策略源地址对象、目的地址对象看是否为Class A、Class B、Class C或用户指定IP范围。

• 太多端口

  检查动作为Permit的策略端口对象中端口数量，用户可以指定端口数量多少（端口对象为any的策略除外）。

• 策略没有记录日志

  检查日志为0的策略，用户可以指定动作字段属性。

除了上述这些风险点一定要检查以外，防火墙业务相关策略也需要进行优化。

防火墙策略优化分为两类场景：

1. 最后一条策略是Deny all，没有Permit all策略

   这种场景下基本做到了按需开放策略，优化的目标主要是减少策略冲突、冗余策略，并分析策略使用情况。

2. 没有Deny all策略

   这种场景就比较复杂了，除了优化策略以外，还需要根据业务需求制定出未知的访问控制策略。

   如何利用流量信息制定访问控制规则可以尝试以下方法，先调研资产和业务系统信息，在流量分析系统中导入资产和业务系统信息（其实就是防火墙中的源地址对象、目的地址对象），然后再以资产和业务系统IP出基于源地址、目的地址、目的端口的会话统计报表，这样就基本得出防火墙所需要配置的访问控制策略。

具体优化策略示例如下：

• 冲突策略 
  在方向和接口相同的情况下，两条动作属性不一样的策略源地址、目的地址、端口三者相同。造成本来应该允许的流被拒绝，本来应该拒绝的流被允许。
• 冗余策略 
  在方向和接口相同的情况下，两条动作属性一样的策略源地址、目的地址、端口三者相同。这为策略调整留下了隐患。
• 策略使用情况分析 

1. 没有使用
2. 使用
3. 包含未使用的对象
4. 没有日志记录

• 对象使用情况分析 

1. 没有使用
2. 在某些规则中没有被使用
3. 使用
4. 没有日志记录

标签：源地址,策略,对象,端口,防火墙,用户,防护,系统安全
来源： https://www.cnblogs.com/maleijiejie/p/12060190.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。