防火墙通常被视作一个清单项:部署一个、写些规则、继续前行。但应用防火墙设计是一门独立的学科——它决定了你的网络分段是否真正能够阻止攻击者,还是只是给你一种虚假的安全感。本文将介绍那些将部署良好的防火墙与临时规则集合区分开来的实际决策。
从区域开始,而非规则
在编写任何ACL之前,先定义你的信任区域。典型的企业布局会分离面向互联网的DMZ主机、内部用户网络、服务器/数据层以及管理/OOB网络。每个区域应代表不同的信任级别,区域之间的流量应该是需要证明的例外情况,而非默认行为。
规划出哪些内容需要相互通信。这个流量流清单虽然繁琐,但它是其他所有内容的基础。跳过它会导致过度宽松的