Saturday, August 12, 2017

防火牆設定的參考原則

防火牆功能很多, 從限制連線, 限制頻寬, 到預防偵測等, 有些比較專業的防入侵有人寫了, 就跳過.

主要在公司的應用上, 可以依照幾個元素來建立規則:
1. 來源/目的/服務/時間
2. 流量

這看起來都是基本的元素, 不過在應用上就會有不同, 比如:
1. 一般總公司業務的使用.
2. 主機與外部主機間的連線.
3. 分公司打單人員的使用.
4. 資訊人員測試使用.
5. 外包商特定檢測.

用這樣的應用去選擇不同的元素,
比如:
1. 業務是24小時, 可能透過 VPN , 但可能又分上班時間可以看新聞, 下班後透過VPN就只能連打單主機, 而且不能核單.
2. 主機與主機間有限定來源/目的, 雖然有高優先權, 但是流量有限制(計算資料平均傳輸的量再加一點點, 以免中毒時對外攻擊.)

如果有多層防火牆主機, 再不定期更換防火牆與防火牆之間連線用的 IP , 減少偷偷掛主機的機會.