在部署防火墙策略时,如何才能使你的防火墙策略xxx、{zg}效、xxx、最稳定?本文总结了一些需要遵循的规则,希望能够帮助大家。
1、计算机没有大脑。所以,当ISA的行为和你的要求不一致时,请检查你的配置而不要埋怨ISA。
2、只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致,尽量避免使用拒绝规则。
3、针对相同用户或含有相同用户子集的访问规则,拒绝的规则一定要放在允许的规则前面。
4、当需要使用拒绝时,显式拒绝是首要考虑的方式。
5、在不影响防火墙策略执行效果的情况下,请将匹配度更高的规则放在前面。
6、在不影响防火墙策略执行效果的情况下,请将针对所有用户的规则放在前面。
7、尽量简化你的规则,执行一条规则的效率永远比执行两条规则的效率高。
8、永远不要在商业网络中使用 Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks),这样只是让你的ISA形同虚设。
9、如果可以通过配置系统策略来实现,就没有必要再建立自定义规则。
10、ISA的每条访问规则都是独立的,执行每条访问规则时不会受到其他访问规则的影响。
11、永远也不要允许任何网络访问ISA本机的所有协议。内部网络也是不可信的。
12、SNat客户不能提交身份验证信息。所以,当你使用了身份验证时,请配置客户为Web代理客户或防火墙客户。
13、无论作为访问规则中的目的还是源,{zh0}使用IP地址。
14、如果你一定要在访问规则中使用域名集或URL集,{zh0}将客户配置为Web代理客户。
15、请不要忘了,防火墙策略的{zh1}还有一条DENY 4 ALL。
16、{zh1},请记住,防火墙策略的测试是必需的。
推荐阅读:
网络设计会影响公司IP网络的运行。TechTarget专家Cormac Long推出的这个系列讲座将给您提供IP网络设计的综合方案,从最基本的原则到复杂的技术都会向您做详细的讲解。
“授人以鱼,不如授人以渔。”的确如此。而在忙碌的IT世界里,这也适用于脚本化管理:“给人一个有用的脚本,不如教他自己写脚本。”
虽然“无线局域网”和“Wi - Fi”常常交换使用。但是无线局域网(WLAN)和Wi – Fi之间是有区别的,基本上在这里Wi - Fi是无线局域网类型中的一种。无线局域网是指移动用户可以通过无线(电台)连接的任何局域网(LAN);而Wi - Fi(简称“无线保真”)是无线局域网中的一种类型的术语,它使用于规范的802.11无线协议家庭。
在本手册中,我们讲述了服务器虚拟化与nac安全, 整合nac与网络安全工具,以及将nac措施扩展到网络安全设备等用户最为关心的技术,希望本手册能对您有所帮助。
网络在不断地进步。除了处理电子邮件、文件传输和重要的业务交易,网络同时也在进行着语音传递、视频会议和视频监控等相关业务处理,帮助企事业单位减少开支并提高效率。但这都不是凭空产生的。所有这些新网络应用都需要一定的基础架构支持。如果要实现xxx的通话,数据包丢失、延迟和抖动都是必须严格禁止的。而随着应用负载加大和用户要求增加,这样的需求会变得越来越苛刻。