· 网络安全全国
三是网络技术运用。下一代防火墙在网络出口处支持多线路接入,包括ADSL线路的PPPoE接入,可同时接入多条运营商线路,并根据需要实现网络出口的多种模式的负载均衡,充分利用出口带宽,实现出口线路冗余。设备支持网络接口配置成交换口和路由口,支持常用路由协议配置,支持IPV6。使用IPSecVPN技术建立总部与分支网络间的VPN线路,建立总部与分支专线的虚拟备份链路。SSLVPN则可使出差人员异地方便接入内部网络、资源和服务等,保障移动安全办公需要。四是防火墙连通性配置。首先配置连通网络。网桥模式下,先使用既有网络设备连通网络,再在路由器与核心交换机中间加装防火墙。网关模式下,先配置相应的防火墙接口参数,再连通网络。网络连通后添加相应的包过滤规则或全通规则,测试防火墙内外网数据是否可达。其次,配置路由参数。选择网络通用的路由协议配置相应的路由参数。最后测试私有网络与公网的连通性。因运营商网络上不私网网段,私网访问公网时需配置NAT规则,公网访问私网时配置端口映射或IP映射规则,添加映射规则后,还须添加相应的包过滤规则才能生效。
4下一代防火墙安全策略配置
下一代防火墙通常配置的安全策略包括漏洞攻击策略、Web应用防护策略、僵尸网络策略、内容安全策略、应用控制策略、连接数控制策略、DoS/DDoS防护策略、流量管理策略、用户认证策略和认证选项等。安全策略制定时需注意以下事项:一是安全策略的可读性设置。为保证防火墙规则的可读性,在为各类资源、服务、应用、规则命名时要有明显区分,体现其分类、功能和用途,有利于安全策略的可视化配置和策略解读。防止大型网络配置规则过多后,因命名混乱而制造后期管理和维护难度。资源命名时以分组或类命名,在策略中调用分组,后期维护中方便添加和删除单个资源。二是安全策略的细粒度配置。安全策略源目地址、出入网口和源目端口与实际对应。下一代防火墙可以对区域、IP分组及用户、应用或服务、时间及生效状态等进行细粒度配置,进行个性化设置,也可以针对某个具体应用进行细节化配置,如允许用户通过HTTPS访问互联网,但是禁止通过HTTPS下载数据;允许用户使用QQ,但是禁止用户通过QQ接收文件。三是调整安全策略执行顺序。防火墙的安全策略通常按顺序执行,遇到满足条件的策略直接放行数据包,而不检查后续策略的适用性,因此策略顺序在防火墙功能发挥中的作用尤为重要。在配置规则时需将地址范围小、用户数量少、服务端口少等局部生效的安全策略序号调整至同类策略列表的前列优先执行。
