何时

　　无论什么时候发现系统漏洞，你都应该安装补丁进行更新。每年最少应该检查防火墙的安全策略一次。

　　为何

　　在没有足够安全措施的情况下，你们组织的网络连接在因特网上是很容易受到攻击的。

　　策略

　　本文篇幅有限，我不可能向你展示怎样去完善一个防火墙。取而代之，我会说明一些完善它所需要的注意事项，并且给你提供一些有用的资源。在2003年五月修订的CNSS第4009号标准中，美国国家信息安全词汇表对防火墙作了如下的定义：“一个防止非法接入与访问专用网的系统。”。我更倾向于CERT的定义：“一个用于两个或者多个互联网络之间执行安全策略监督网络信息流的软硬件结合体，这些网络可能是你能够管理控制的（例如，你们组织的网络）也可能不在你的控制之下（例如，互联网）。”

　　DMZ（隔离区）用于连接不同的防火墙——逻辑上是在内部网与外部网之间的边界网络段。它也被叫做“屏蔽子网”,它的目的是加强内部网对外部信息交换的间接寻址策略，以及在保护内部网不被攻击的同时限制外界可疑地址对可用信息的访问。在一些情况下，DMZ被认为是防火墙的一部分，而有时候DMZ又被认为是牺牲的主机。也可以认为DMZ是一组布署了特有安全策略的主机，该策略用于在对公共访问进行最严格的安全性检查与执行效能之间作出平衡。

　　在设置防火墙的时候，CERT推荐了一个分四步走的方法：准备、配置、测试和应用。

　　在准备阶段，我们首先设计防火墙系统和防火墙安全策略，该策略确定哪个访问者有权力登录、配置和升级防火墙。它也应该大致描绘出登录和管理的操作步骤。

　　下一个步骤是最关键的：配置。在这里你要了解防火墙的软硬件；获得归档文件、培训和技术支持；安装防火墙的软硬件；设置IP路由、数据包过滤、登录和报警机制。在不影响效能的情况下对系统提供最大的安全保护方面，DISA的5.2.2版网络架构安全清单列出了所需的最少安全装备和最好的实际操作方法。例如：这个清单要求网络结构中的防火墙只需要有一个Common Criteria (CC)的EAL4评估版或更高版本的安全目标文件。在判断出CC的安全目标等级后。网络架构安全清单会综合其他因素一起考虑Cisco的IOS和Juniper的JUNOS系统中的哪些特性将会被设置和取消以使网络设置更安全。

　　接下来，测试防火墙和配置系统使其工作。你的计划和配置中必须包括以下内容：代理服务器、有效连接状态检查或动态数据包过滤、网络地址转换，虚拟专用网络、IPv6或其他非IPv4协议、网络和主机入侵检测和预防技术、路由和路由管理、交换和虚拟局域网以及加密技术。

　　最后，就是应用于实际的部署中了。

作者简介：Shelley Bard持有CISSP和CISM认证，目前就职于Verizon联邦网络系统（FNS），出任高级安全网络工程师。她具有二十年的信息安全从业经验，为白宫、国防部、特殊兴趣的组织、行业和学术界撰写无数信息安全评估和技术报告。