网络安全知识：教你6步设置防火墙

步骤 1：保护防火墙自身安全

防火墙的管理访问权限应仅限于您信任的人员。为了阻止任何潜在攻击者，请确保防火墙至少通过以下配置操作之一进行保护：

将防火墙更新至供应商推荐的最新固件。
删除、禁用或重命名任何默认用户账户，并更改所有默认密码。确保仅使用复杂且安全的密码。
如果多个人要管理防火墙，请根据职责创建具有有限权限的附加账户。切勿使用共享用户账户。跟踪谁做了哪些更改以及原因。问责制可促进在进行更改时尽职尽责。
限制人们可以进行更改的地方以减少攻击面，即只能从公司内受信任的子网进行更改。

步骤 2 ：构建防火墙区域和IP地址（无需繁重工作）

为了最好地保护网络资产，首先应该识别它们。规划一个结构，根据业务和应用程序需要相似的敏感度和功能对资产进行分组，并将其组合到网络（或区域）中。不要走捷径，将所有资产都变成一个扁平网络。对自己来说容易的事情对攻击者来说也很容易！

所有提供基于Web的服务（例如电子邮件、VPN）的服务器都应组织到专用区域，以限制来自互联网的入站流量，该区域通常称为非军事区或DMZ。或者，不直接从互联网访问的服务器应放置在内部服务器区域中。这些区域通常包括数据库服务器、工作站和任何销售点 (POS) 或互联网协议语音 (VoIP) 设备。

如果您使用的是IP版本4，则所有内部网络都应使用内部IP地址。必须配置网络地址转换 (NAT)，以允许内部设备在必要时在互联网上进行通信。

设计网络区域结构并建立相应的IP地址方案后，您就可以创建防火墙区域并将其分配给防火墙接口或子接口了。在构建网络基础设施时，应使用支持虚拟LAN (VLAN) 的交换机来保持网络之间的二级分离。

步骤 3：配置访问控制列表（这是您的聚会，邀请想邀请的人）

一旦建立网络区域并将其分配给接口，您将开始创建防火墙规则，即访问控制列表 (ACL)。ACL 确定哪些流量需要权限才能流入和流出每个区域。ACL 是谁可以与什么通信并阻止其余流量的构建块。应用于每个防火墙接口或子接口时，您的 ACL 应尽可能具体到确切的源和/或目标 IP 地址和端口号。要过滤掉未经批准的流量，请在每个 ACL 的末尾创建一个“拒绝所有”规则。接下来，将入站和出站 ACL 应用于每个接口。如果可能，请禁用防火墙管理接口的公共访问。请记住，在此阶段尽可能详细；不仅要测试您的应用程序是否按预期运行，还要确保测试出不应允许的内容。确保调查防火墙控制下一代级别流量的能力；它可以根据 Web 类别阻止流量吗？您可以打开文件的高级扫描吗？它是否包含某种级别的 IPS 功能。您已为这些高级功能付费，因此请不要忘记采取这些“后续步骤”