文档介绍：2012 年4月 19 日防火墙配置规范防火墙配置规范 1. 防火墙端口使用 2. 防火墙路由配置 3. 防火墙策略配置 4. 防火墙地址转换 5. 防火墙本身安全 6. 外联区网络部署规范总体结构总体结构 1. 主备防火墙连接端口防火墙在主备模式时,互联端口使用最后一个可用端口; 2. 不同安全域使用端口防火墙业务使用端口,按照安全域由高到底,防火墙端口由前往后顺序使用; 3. 与其他网络设备连接方式防火墙与其他网络设备采用口字形连接。防火墙端口使用防火墙端口使用防火墙路由配置防火墙路由配置 1. 与相邻网络设备之间的路由防火墙与其他网络设备之间一般采用静态路由; 2. 防火墙内部路由配置清晰配置防火墙的路由时,路由配置清晰明了,不能出现重复的路由。防火墙策略配置防火墙策略配置 ,策略只允许通过必要的数据,控制双向数据流,同时建议在防火墙最后增加一条拒绝所有数据经过的策略; 防火墙策略配置防火墙策略配置 2. 规则尽量简单清晰规则力求简单清晰,在满足业务需求的情况下,规则尽量简单,避免出现策略互相重叠、包容甚至冲突的情况,同时可以通过增加注释、使用策略组等方式增加清晰度; 3. 策略次序安排按照业务的重要性,策略由前往后。防火墙地址转换防火墙地址转换 ,数据在经过防火墙后必须进行地址转换。 DIP 的转换方式而非 MIP 的转换方式。防火墙地址转换防火墙地址转换 ,区域一的同一 IP地址映射到另一区域时的映射地址保持不变,例如 Trust 域的地址 A经过防火墙映射到 Untrust 域为 A1 , Untrust 域的 B经过防火墙映射到 Trust 域为 B1 A访问 B时: 在防火墙 Trust 域A访问 B1 ,经过防火墙映射后在 Untrust 域变为 A1 访问 B; B同时需要访问 A时: 在防火墙 Untrust 域B访问 A1 ,经过防火墙映射后在 Untrust 域为 B1 访问 A,此时的 A1 和 B1 需与 A访问 B时防火墙转换的 A1 和 B1 地址相同防火墙地址转换防火墙地址转换 1. 拒绝非安全域访问不允许非安全域主机访问防火墙 2. 设置授信地址允许哪些位于安全域的主机来访问防火墙,对防火墙进行操作