部署防火牆策略原則

General 更新 2024年11月25日

  1、計算機沒有大腦。所以,當ISA的行為和你的要求不一致時,請檢查你的配置而不要埋怨ISA。

  2、只允許你想要允許的客戶、源地址、目的地和協議。仔細的檢查你的每一條規則,看規則的元素是否和你所需要的一致。

  3、拒絕的規則一定要放在允許的規則前面。

  4、當需要使用拒絕時,顯式拒絕是首要考慮的方式。

  5、在不影響防火牆策略執行效果的情況下,請將匹配度更高的規則放在前面。

  6、在不影響防火牆策略執行效果的情況下,請將針對所有使用者的規則放在前面。

  7、儘量簡化你的規則,執行一條規則的效率永遠比執行兩條規則的效率高。

  8、永遠不要在商業網路中使用Allow 4 ALL規則***Allow all users use all protocols from all networks to all networks***,這樣只是讓你的ISA形同虛設。

  9、如果可以通過配置系統策略來實現,就沒有必要再建立自定義規則。

  10、ISA的每條訪問規則都是獨立的,執行每條訪問規則時不會受到其他訪問規則的影響。

  11、永遠也不要允許任何網路訪問ISA本機的所有協議。內部網路也是不可信的。

  12、SNat客戶不能提交身份驗證資訊。所以,當你使用了身份驗證時,請配置客戶為Web代理客戶或防火牆客戶。

  13、無論作為訪問規則中的目的還是源,最好使用IP地址。

  14、如果你一定要在訪問規則中使用域名集或URL集,最好將客戶配置為Web代理客戶。

  15、請不要忘了,防火牆策略的最後還有一條DENY 4 ALL。

  16、最後,請記住,防火牆策略的測試是必需的。

怎樣鑑別防火牆的實際功能差異
網路個人防火牆問答知識詳解
相關知識
部署防火牆策略原則
部署防火牆的步驟是什麼
防火牆策略如何設定
包過濾防火牆工作原理
包過濾防火牆工作原理
瑞星防火牆危險規則設定和埠方法介紹
怎麼設定防火牆網路規則
怎麼設定防火牆網路規則
防火牆部署原則
防火牆如何巧妙部署