随着网络安全观念的普及越来越多的企业都开始部署硬件防火墙。通过对几个大品牌的防火墙配置界面的了解,总结了下现代网络硬件防火墙策略配置的三大步骤:
第一步:配置IP及IP组
首先就是定义源IP地址(组)和目的IP地址(组),将要控制的机器IP地址全部定义出来,有相同需求的可以定义到一个组中,如果是所有Ip地址则设置成any。
如下图所示是深信服的一款防火墙的IP组配置页面示例:
第二步:配置服务
配置服务就是将需要开放的端口进行配置,比如一台Web服务器需要将端口开放,则这个服务端口就是。允许所有服务为any。
还是以深信服的一款防火墙的配置页面做为示例:
第三步:配置控制策略
配置策略就是定义哪个区域的哪些源地址(IP地址或地址组)的哪些端口(服务)可以访问哪个区域的哪些目的地地址(IP地址或地址组)的哪些端口(服务)。
其它品牌的防火墙配置基本都是这三步,这里要注意下的就是防火墙是分区域的,端口需要加入到某个区域中才会生效。
晓致知