作為抵御在線攻擊者的第一道防線，我們的服務器防火墻是網(wǎng)絡安全的重要組成部分。那么服務器防火墻怎么設置?

第一步：保護我們的防火墻

如果攻擊者能夠獲得對我們防火墻的管理訪問權(quán)限，那么我們的網(wǎng)絡安全就“游戲結(jié)束”了。因此，保護我們的防火墻是此過程的第一步也是最重要的一步。切勿將未通過至少以下配置操作適當保護的防火墻投入生產(chǎn)：

1、將我們的防火墻更新到最新的固件。

2、刪除、禁用或重命名任何默認用戶帳戶并更改所有默認密碼。確保僅使用復雜且安全的密碼。

3、如果多個管理員將管理防火墻，請根據(jù)職責創(chuàng)建具有有限權(quán)限的其他管理員帳戶，切勿使用共享用戶帳戶。

4、禁用簡單網(wǎng)絡管理協(xié)議(SNMP)或?qū)⑵渑渲脼槭褂冒踩鐓^(qū)字符串。

第二步：構(gòu)建我們的防火墻區(qū)域和IP地址

所有通過Internet提供服務的服務器(Web服務器、電子郵件服務器、虛擬專用網(wǎng)絡 (VPN) 服務器等)都應放置在專用區(qū)域中，以允許來自Internet的有限入站流量。不應直接從Internet訪問的服務器(例如數(shù)據(jù)庫服務器)必須放置在內(nèi)部服務器區(qū)域中。同樣，工作站、銷售點設備和互聯(lián)網(wǎng)協(xié)議語音 (VOIP) 系統(tǒng)通?？梢苑胖迷趦?nèi)部網(wǎng)絡區(qū)域中。

一般來說，我們創(chuàng)建的區(qū)域越多，我們的網(wǎng)絡就越安全。但請記住，管理更多區(qū)域需要額外的時間和資源，因此在決定要使用多少網(wǎng)絡區(qū)域時需要小心。

如果我們使用的是IP版本 4，則應將內(nèi)部IP地址用于所有內(nèi)部網(wǎng)絡。必須配置網(wǎng)絡地址轉(zhuǎn)換(NAT)以允許內(nèi)部設備在必要時在Internet上進行通信。

一旦我們設計了網(wǎng)絡區(qū)域結(jié)構(gòu)并建立了相應的IP地址方案，就可以創(chuàng)建我們的防火墻區(qū)域并將它們分配給我們的防火墻接口或子接口。在構(gòu)建網(wǎng)絡基礎架構(gòu)時，應使用支持虛擬LAN (VLAN)的交換機來維持網(wǎng)絡之間的2級隔離。

第三步：配置訪問控制列表

現(xiàn)在我們已經(jīng)建立了網(wǎng)絡區(qū)域并將它們分配給接口，我們應該準確確定哪些流量需要能夠流入和流出每個區(qū)域。

將使用稱為訪問控制列表 (ACL) 的防火墻規(guī)則允許此流量，這些規(guī)則應用于防火墻上的每個接口或子接口。盡可能使我們的ACL特定于確切的源和/或目標IP地址和端口號。在每個訪問控制列表的末尾，確保有一個“拒絕所有”規(guī)則來過濾掉所有未經(jīng)批準的流量。將入站和出站ACL應用到防火墻上的每個接口和子接口，以便只允許批準的流量進出每個區(qū)域。

只要有可能，通常建議禁止公共訪問您的防火墻管理界面(包括安全外殼(SSH)和Web界面)。這將有助于保護我們的防火墻配置免受外部威脅。確保禁用所有未加密的防火墻管理協(xié)議，包括Telnet和HTTP連接。

第四步：配置其他防火墻服務和日志記錄

如果我們的防火墻還能夠充當動態(tài)主機配置協(xié)議 (DHCP) 服務器、網(wǎng)絡時間協(xié)議 (NTP) 服務器、入侵防御系統(tǒng) (IPS) 等，那么請繼續(xù)配置我們希望使用的服務。禁用所有我們不打算使用的額外服務。

為滿足PCI DSS要求，配置防火墻以向日志服務器報告，并確保包含足夠的詳細信息以滿足PCI DSS的10.2至10.3要求。

第五步：測試我們的防火墻配置

在測試環(huán)境中，驗證我們的防火墻是否按預期工作。不要忘記驗證我們的防火墻是否阻止了根據(jù)我們的ACL配置應阻止的流量。測試防火墻應該包括漏洞掃描和滲透測試。

完成防火墻測試后，我們的防火墻應該可以投入生產(chǎn)了。始終記住將防火墻配置的備份保存在安全的地方，這樣我們的所有辛勤工作就不會在硬件出現(xiàn)故障時丟失。

以上是服務器防火墻設置的主要步驟的概述。在使用教程時，即使我們決定配置自己的防火墻，也請務必讓安全專家檢查我們的配置，以確保其設置能夠盡可能保證我們的數(shù)據(jù)安全。

審核編輯：湯梓紅