您当前的位置：&>&
如何配置防火墙服务器网络更安全
摘要:防火墙从根本上讲，给我们的网络带来了安全，一个企业中，若防火墙服务器上的配置做的不到位，规则没有调整好，那么这个网络就存在各种不安全，说不定某一天便会挂掉，即使那些运转最好的企业也会出现类似问题，针对这个问题，本文予以将的解答。　关键字：防火墙服务器
在这个网络发达的时代存在着各种不安全，于是有人称，我有防火墙服务器啊！实话告诉您，防火墙也未必安全。一个防火墙管理员可能在超过半数的规则中都包含有一个特定的网络对象，稍不细心便会受到黑客的攻击。
建立毫无意义的防火墙组
我们假定这个对象名字叫&Joe_Montana&.每次当这个对象需要访问网络时，管理员就为这个对象在防火墙服务器上添加一个IP地址，而这个地址是很多许可规则里列出的被许可的地址。这看上去没什么问题，因为没有任何一个规则里包含了ANY范围，但实际上这是个大漏洞。它使得防火墙规则变得毫无意义，而彻底梳理防火墙规则库来解决这个问题，可能需要耗时几个月。
从不升级防火墙软件
很多公司的防火墙设备所采用的软件都是过时的。在问到为什么会出现这种情况时，大部分企业的防火墙管理员都会说是为了保证防火墙的稳定，或者不允许防火墙因为升级而出现暂时关闭现象。而实际上，防火墙产品厂商决定升级防火墙软件都是有一定原因的。即使企业不一定必须更新到最新版的软件，但如果还是运行着五六年前的旧版软件，或者是距离最新版本老15-20个版本旧软件，那么就应该考虑立刻开始升级了。
使用错误的技术
之前，有个网络安全管理员与监管人员发生了争执，因为该管理员在公司的安全web服务器前端放置了一个防火墙，作为第二层防护屏障。按照他的想法，这就构成了一个双重验证机制：一个用户密码加一个防火墙。可以说这个管理员在创新性上可以得满分，但是防火墙本身并不算是一个双重验证的解决方案。双重验证需要你的用户拥有两件可验证对象，即所知的和所拥有的两个对象。比如知道密码，并拥有令牌。
曾经发生过这样一件事，有个防火墙管理员为某个项目而在防火墙服务器上进行数据收集。这个管理员在调整网线的时候不小心碰了几下鼠标，这时候鼠标指针正好在&开始&的位置，然后，鬼使神差的鼠标指针又指到了屏幕中央弹出来的关机确认窗口，并且点到了中间的关机按钮。于是这个财务公司的防火墙就在这种情况下突然关闭了。
不良的文档
大家肯定经常听说防火墙管理员抱怨无法理解全部的防火墙规则。如果管理员在建立防火墙规则时图省事，没有进行详细的文档说明，看似节省下来的时间和精力，以后必然会花费到去理解这些规则上。因此肯定有人听过这样的话&恐怕我们要重新修改防火墙设置了，以前的管理员设置的那些防火墙规则没有注释，所以我们很难搞清楚它们的作用。&
过度使用丢弃Drop规则
一般来说，如果时间比较紧迫，我们都会建立一些属于过度访问的规则，然后再在这些规则的基础上，建立丢弃规则，将不允许的数据连接丢弃。之所以这样，是因为我们很多管理员都不愿意去设置一个精确的防火墙规则。比如：&allow All DMZ devices to All Internal devices ACCEPT&,然后在这个规则之上再建立一个&All DMZ devices to Secure Network device DROP&.这两个规则看上去没什么问题，但是实际上却包含了很多的后患，原因是我们没有在第一条规则中表现出建立该规则的目的。
如果长此以往的话，我们的防火墙服务器规则库就会出现很多&成对儿&的规则，而在记录规则日志或修改规则时，也很容易出现更多的风险，或者会导致必要的数据被拦截。最终，我们就不得不重新改写整个防火墙规则库中的全部规则。
使用路由作为安全策略
大家平时会遇到过很多类似的情况，当防火墙规则库需要修改时，路由规则也要跟着修改。当然，如果涉及到新的网络，那么这种现象是可以理解的。一般导致这种情况的错误有两种。
首先，防火墙服务器没有默认路由。所有路由都是手工输入防火墙的，同时如果防火墙没有策略，会使用最小子网掩码，防止数据流向无关设备。这听起来很不错，但却是完全没必要的，因为如果从现代的防火墙上删除策略，防火墙会恢复为DENY ANY.这个设计会因此变得难以管理，最终使整个IT团队都不敢去修改防火墙设置了。如果每个改变都需要工程师检查路由设置，那么会导致耗费过多的时间，影响企业正常业务的运转，这对企业来说很不值得。
第二种情况最常出现在Cisco设备中，管理员通过访问控制列表管理两个源或目标均为ANY的接口。实际上这个规则里的ANY并不是所有地址，而是指端口后的所有地址。只有在知道路由表与防火墙关联的前提下，管理员才可能理解防火墙规则库中的规则，这对于管理员来说太复杂了。
在规则中使用DNS对象
作为一个选项，很多防火墙都会嵌入一个源地址或目的地址作为DNS对象，如.这么做看似错，因为 使用了相当多的IP地址，就算 改变了IP地址，防火墙也会放行的数据流。但是这种做法会导致相当严重的安全隐患，相信任何企业都无法接受。
首先，这么做会使你的防火墙更容易遭受DoS攻击。如果连都无法解析会怎么样呢？
其次，你的防火墙会浪费CPU,内存以及网络IO来判断每一个数据包是否属于这个域名。
第三，如果你设置的DNS被黑客攻击，包含有恶意地址的命令和控制数据中带有的地址，会怎么样呢？在这种情况下，你的防火墙会允许僵尸网络发送的命令和控制数据，并作为记录在防火墙日志中。
危急时刻所作的改动
可以想象一下，如果防火墙服务器上的RAID阵列坏了，一块硬盘报废。你换了一块硬盘，在重建RAID的过程中，服务器无法提供正常的服务，但是你没有意识到这个问题。此时，你的客户已经被拒绝服务长达40小时了，每一分钟你都在遭受损失。而且不断有客户放弃你的服务，却选择了竞争对手。
当情况陷入危急时，我们往往会开始改变各种设备的配置：交换机，路由器，负载平衡服务器和防火墙，任何你怀疑导致服务不正常的环节都被调整了一翻。可能又过了很长一段时间后，团队中终于有人发现了问题所在。因此你又需要把所有一改过的配置从新恢复回来，但问题是没有人会记得之前的配置，原因是之前的情况太过紧张，导致没人去做修改配置的文档。最终的结果是，你不得不再花上三天时间将各个设备的配置调试到以前的状态。
相信所有的企业都不希望以上这种情况发生。但是事实证明这种情况却时有发生。即使那些运转最好的企业也会出现类似问题，尤其是在防火墙服务器配置上。不过通过自动化恢复机制，这些依靠经验很难实现的工作变得越来越容易实现了。而要想知道你的企业是否具有这种针对网络安全设置或其它安全设置的自动恢复功能，就要看企业是否对投资回报率进行过明确且详细的量化设计。毕竟，如果对于安全投入没有明确的投资回报量化统计，谁能相信这个企业在安全性上是值得信赖的呢？
防火墙安全管理是保证网络正常安全运行的关键关卡，所以每一个管理员都应该拿出负责认真的态度对待，否则也许一个小小的失误就会酿成大错。
【编辑推荐】
◆本文来自互联网，仅供参考
北塔软件BTNM产品 免费试用
新一代运维管理软件，智能化、自动化成就智慧运维..
从网际数据流量角度分析业务、保障业务、守护业务...
轻量级自动监控管家，服务中小企事业单位...比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
网络防火墙的设置技巧
关键字：设置技巧 网络防火墙 应用
　　如今已经成为了各位网友上网，但是又有对少人能让他的网络防火墙真正发挥他的作用呢？
　　许多人对于网络防火墙的功能不加以设置，对网络防火墙的规则不加以设置――这样，网络防火墙作用就会大大减弱……
　　网络防火墙的默认设置一般都只能是普遍的设置，也就是说这样的设置要大致适合成千上百用户。试问，这样的设置就一定会100%适合你吗？肯定不可能。下面，我就以我自己实践的经验，谈谈我自己的看法。
　　功能设置篇
　　功能设置属于外部设置。为什么这样说呢？主要因为，这些设置不会改变规则中要求拦截和放行对象。
　　对于我这个经常上网的宽带用户来说，随机启动是绝对不可少的。如果是拨号用户或不常上网的用户来说，防火墙的启动有两种：
　　方案一：上网前手动开启防火墙(一般用户)
　　方案二：用一个文件使防火墙和网络连接一起启动(高级用户)
　　通常，网络防火墙都会有一个等级选项。对于这个选择，绝对不可以随便选。因为，有不少用户就是因为不根据实际情况选择，而导致无法使用某些网络资源或被有机可乘。
　　像我这样的固定ip的技术性用户来说，我认为设置为中等即可。因为，我们不像某些用户那样可以随意改变自己的ip，所以我们的防御必须比动态ip用户要高一些。
　　但是，是不是越高越好呢？不是。某些用户，因为不切实际的把安全等级设置为高级，而又不会在规则中设置相应网络规则，而导致无法使用某些网络资源，如在线直播等。
　　因此，我建议一般用户将规则设置为中低即可。
　　至于其他报警设置等，我也不想多说了。但是，我还是要提醒一句，拦截一定要记录在日志里。这样才以便我们复查。
　　规则设置篇
　　ICMP IGMP炸弹都让一些用户感到心惊胆战。所以，某些用户索性禁止所有ICMP和IGMP。
　　这样，显然是不大好的设置。为什么呢？因为ICMP IGMP固然被人利用来做炸弹，但是总不能“宁可杀错一万，不能放走一个”的全部拦截。且不说别的，就说因为全部拦截ICMP IGMP所耗费的系统资源就数不胜数……
　　我建议，拦截的只需是ICMP的1型(即echo requset)就已经足够了。为什么呢？拦截ICMP的1型主要是为了防黑客用ping命令查询你是否在线，所以此类ICMP必须拦截。
　　如果你还是担心ICMP IGMP炸弹，不妨去那打个补丁。
　　网络防火墙的一大功能就是防和防黑客，所以自己设置规则拦截木马和阻截黑客是必要的。
　　你也许会说，网络防火墙不是有默认的规则吗？的确，有。但是，这只是最常见的木马和漏洞。对于新的危害大的木马和漏洞，恐怕原先的规则就不能胜任他的任务了。
　　那么，我们怎样设置规则呢？
　　首先，我们必须利用反厂家网站提供的。因为，那里详细记载了许多病毒、木马的分析结果和漏洞的资料。我认为哪怕你有分析木马源程序和找出漏洞的能力，也没必要任何事情都亲力亲为，因为木马和漏洞是在太多了，全部代码都自己分析，根本是不切实际的。
　　然后，就设置自己的防火墙。由于不同厂家网络防火墙设置规则上有所不同，所以本文不可能详细讲解。
　　当然，这需要一定专业知识。对于一般用户来说，恐怕就有点困难了。怎么办？不怕，可以借用别人的成果。例如，去论坛请教高手或直接发邮件询问高手即可解决。
　　还应该提醒大家的是防火墙规则不要重复，更不要矛盾。重复的规则浪费系统资源;矛盾的规则让防火墙左右为难，最终让别人有机可乘……
　　网络防火墙设置是一门永远也讲不完的学问，有兴趣你也可以去研究研究。
　　大型网络防火墙整体解决方案，在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求，在各分支机构和分公司采用神州数码DCFW-1800S防火墙在满足需要的基础上为用户节约投资成本。
　　另一方面，神州数码DCFW-1800系列防火墙还内置了功能，可以实现利用Internet构建企业的虚拟专用网络。
　　防火墙VPN解决方案
　　作为增值，神州数码DCFW-1800防火墙内置了VPN模块支持，既可以利用(Internet)IPSEC通道为用户提供具有保密性，安全性，低成本，配置简单等特性的虚拟专网服务，也可以为移动的用户提供一个安全访问公司内部资源的途径，通过对PPTP协议的支持，用户可以从外部虚拟拨号，从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性：
　　-标准的IPSEC,IKE与PPTP协议-支持Gateway-to-Gateway至网关模式虚拟专网-支持VPN的星形(star)连接方式- VPN隧道的NAT穿越-支持IP与非IP协议通过VPN-支持手工密钥，预共享密钥与X.509 V3数字证书,PKI体系支持- IPSEC安全策略的灵活启用：管理员可以根据自己的实际需要，手工禁止和启用单条IPSEC安全策略，也为用户提供了更大的方便。
　　-支持密钥生存周期可定制-支持完美前项保密-支持多种加密与认证算法：
　　-加密算法：DES, 3DES,AES,CAST,BLF，PAP，CHAP-认证算法：SHA, MD5, Rmd160-支持Client-to-Gateway移动用户模式虚拟专网-支持PPTP定制：管理员可以根据自己的实际需要，手工禁止和启用PPTP。
　　防火墙双机热备方案
　　为了保证网络的高可用性与高可靠性，神州数码DCFW-1800E防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。正常情况下主防火墙处于工作状态，另一个防火墙处于备份状态，称为从防火墙。当主防火墙发生意外down机、网络链路发生故障、硬件故障等情况时，从防火墙自动切换工作状态，从防火墙代替主防火墙正常工作，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间少于1秒。
　　网络安全解决方案
　　神州数码网络安全解决方案主要由防火墙、检测、防病毒等安全产品以及安全服务构成。
　　由于神州数码DCFW-1800E防火墙支持流量映射功能，也就是说防火墙的HA接口可以复制其他的流量，因此入侵检测设备可以方便的接入网络，同时神州数码DCFW-1800系列防火墙支持与第三方的联动。
　　防病毒方案由四部分构成，户机防病毒、防病毒、网关防病毒和防病毒产品管理控制台。管理控制台负责病毒代码、引擎、防病毒程序的升级和更新，管理策略、病毒扫描配置等的分发。
　　安全系统集成服务包括两个方面，一方面，是指对不同类安全产品(如防火墙、防病毒等产品)的安装、配置和维护，另一方面，是在漏洞扫描和安全评估的基础上对用户的网络进行安全性增强配置服务。
　　安全性增强配置服务主要包括网络设备的安全性增强配置、主机的安全性增强配置、应用系统安全性增强配置等。
[ 责任编辑：孙威民 ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte- 专注于Win8系统的光盘下载网站！
热门搜索：
Win7系统防火墙设置不可更改怎么办
摘要:win7系统自带防火墙，很多朋友在使用防火墙的时候遇到系统防火墙设置不了的问题。点击windows7防火墙更改设置按钮不可用，....
　　win7系统自带防火墙，很多朋友在使用防火墙的时候遇到系统防火墙设置不了的问题。点击windows7防火墙更改设置按钮不可用，下面就给您教您Win7系统防火墙设置不可更改怎么办。
　　第一种方法：
　　在 中，按下Win键+R输入services.msc打开&服务&
　　1、将Security Center设为自动，并且启用。
　　2、将Windows Firewall/Internet Connection Sharing(ICS)设为自动并且启用。
　　3、将Application Layer Gateway Service 设为自动并且启用。
　　如果防火墙更改设置灰色现象还是存在，执行以下步骤，从而解决防火墙设置不了的问题。
　　第二种方法：
　　在Win7系统中按下Win键+R输入gpedit.msc，这时打开了Win7系统的组策略在左面分级依次展开计算机配置--&管理模板--&网络--&网络连接--&Windows 防火墙，然后在这下面 就是组策略强制限制的一些选项，找到你所需要的配置定义成启用再设置回&未配置& 就可以了。
　　通过以上两种方法基本就能解决防火墙设置不了的问题了，希望对大家有帮助。更多&、敬请关注系统之家。还有更多的推荐给大家!
　　电脑运行缓慢，清理了电脑垃圾还是卡，这时候就需要重装系统了。也许很多朋友会说，重装系统技术含量太高了，自己是搞不掂的，那么现在有了一款不错的重装系统软件--。电脑小白都会用的重装大师，完全不需要任何技术基础。
　　下载地址：
　　相关文章：
Windows系统之家为大家提供一个绿色的平台 Copyright (C)