如何 6 步设置防火墙

您已掌握如何设置全新无线路由器，接下来开始下一段旅程：设置防火墙。我们知道，很难一下全部掌握。不用担心，我们会将其分解为 6 个简单步骤，有效帮助您获得网络安全必杀技。现在开始...

第 1 步：保护防火墙（我们知道，这似乎有些多余。）

仅对信任的对象授予防火墙管理访问权限。为了防范任何潜在攻击者，请确保至少通过以下一种配置操作保护防火墙：

• 将防火墙更新为供应商推荐的最新固件。
• 删除、禁用或重命名任何默认用户账户，更改所有默认密码。确保仅使用复杂安全的密码。
• 如果由多人管理防火墙，请根据其职责创建其他具有有限权限的账户。切勿使用共享用户账户。跟踪谁出于什么原因进行了哪些更改。问责制促进了执行更改尽职调查。
• 限制用户可以执行更改的位置能够减少受攻击面，即，只能从企业内部受信任的子网进行更改。

第 2 步：设计防火墙区域和 IP 地址（无需繁琐工作。）

为了更好地保护您的网络资产，您首先应该清楚认识这些资产。规划结构，可以按需要相似灵敏度级别和功能的业务和应用对资产分组，并组合成网络（或区域）。不要简单地将其组合为一个平面网络。方便自己也会方便攻击者！

所有提供基于 Web 的服务（例如，邮件、VPN）的服务器应该划分到限制互联网入站流量的专门区域，通常称为隔离区 (DMZ)。或者，应该将不能直接通过互联网访问的服务器放入内部服务器区域。这些区域通常包含数据库服务器、工作站及任何销售点 (POS) 或基于互联网协议的语音 (VoIP) 设备。

如果您使用 IPv4，则应对所有内部网络使用内部 IP 地址。必须配置网络地址转换 (NAT)，让内部设备可以在必要时可通过互联网通信。

设计网络区域结构并制定相应的 IP 地址方案后，您就可以创建防火墙区域并将它们分配给防火墙接口或子接口。当您构建网络基础设施后，应当使用支持虚拟局域网 (VLAN) 的交换机来维护网络之间的 2 层隔离。

第 3 步：配置访问控制列表（由您自行邀请人员。）

一旦建立网络区域并为其分配接口，您将开始创建称为访问控制列表 (ACL) 的防火墙规则。ACL 确定哪些流量需要权限才能流入和流出各个区域。ACL 是管理谁可以与什么对象通信，然后阻止其他通信的基础。向各个防火墙接口或子接口应用 ACL 后，应尽可能将其明确指向确切源和/或目的 IP 地址及端口号。要过滤未经批准的流量，请在每个 ACL 末尾创建一个“全部拒绝”规则。接下来，请为每个接口应用入站和出站 ACL。如果可能，禁用防火墙管理接口的公共访问。请记住，这一阶段应该尽量详细；不仅要测试应用是否如期运行，还要确保测试哪些内容不得允许。确保了解防火墙控制下一代流的能力；它能否根据 Web 类别阻止流量？您能否开启文件高级扫描？是否包含某些级别的 IPS 功能？您已经为这些高级功能付费，别忘了“物尽其用”。

第 4 步：配置其他防火墙服务和日志记录（您的非黑胶唱片集。）

如果需要，请启用防火墙作为动态主机配置协议 (DHCP) 服务器、网络时间协议 (NTP) 服务器、入侵防御系统 (IPS) 等。禁用任何不想使用的服务。

为满足 PCI DSS（支付卡行业数据安全标准）要求，请将防火墙配置为向日志记录服务器报告，确保其中包含足够细节，从而满足 PCI DSS 10.2 到 10.3 的要求。

第 5 步：测试防火墙配置（不用担心，只是开卷测试。）

首先验证防火墙是否阻止了根据 ACL 配置应该阻止的流量。应该包括漏洞扫描和渗透测试。确保保留防火墙配置的安全备份，以防出现任何故障。如果所有检查完成，防火墙即可投入使用。严格测试恢复到配置的过程。执行任何更改之前，请记录并测试您的恢复程序。

第 6 步：防火墙管理（ 火焰需要添柴加火。）

防火墙一旦配置完成并开始运行，您需要不断维护，保证其发挥最佳性能。确保更新固件、监控日志、执行漏洞扫描并每六个月检查一次配置规则。

后续行动

现在您已准备就绪！如果您已完成所有步骤，就已成为半个网络安全专家。但是，如需进一步帮助，请访问我们的中小企业社区。在该社区，您不仅可以找到常见问题的答案，还可与运营类似企业和面临类似 IT 难题的人员交流。