已有帳號?

  •   個人化內容
  •   您的產品與支援

需要帳號?

建立帳號

如何透過 6 個步驟設定防火牆

依照以下簡易的最佳作法即可安心地保護您的網路安全。

您已經設定好新的無線路由器,現在準備好進入下一段旅程:設定防火牆。(倒抽一口氣)我們知道,那聽起來真的很嚇人。但是,放輕鬆,因為我們已將此過程分成 6 個簡單步驟,應該能夠幫助您順利邁向網路安全的天堂。出發吧!

步驟 1:保護防火牆安全(我們知道這看似多餘。)

您防火牆的管理權限應僅限於您信任的人員。為了將任何可能的攻擊者阻擋在外,請透過下列至少一個設定動作來確保您的防火牆安全無虞:

  • 將防火牆更新到最新的廠商建議韌體。
  • 刪除、停用或重新命名任何預設使用者帳戶,並變更所有預設密碼。確保僅使用複雜且安全的密碼。
  • 如果將由多位人員管理防火牆,請依據職責建立權限有限的其他帳戶。絕對不要使用共用的使用者帳戶。追蹤哪些人進行了哪些變更,以及變更的原因。問責制度促進了在變更方面的盡職調查。
  • 限制人員從哪裡進行變更可以縮減攻擊面,即只能從您公司內部受信任的子網路進行變更。

步驟 2:架構防火牆區域和 IP 位址(此步驟不需要花太多精力。)

若要以最佳方式保護您網路的資產,請先識別這些資產。依照業務和應用程式所需的相似敏感度層級和功能,規劃出將資產分組的結構,並結合到網路(或區域)中。請不要採取簡單的方式,將所有資產變成單一扁平式網路。如果對您來說很簡單,對攻擊者來說一定也易如反掌!

您所有提供網路型服務的伺服器(例如電子郵件、VPN)都應歸納到限制網際網路傳入流量的專屬區域,通常稱為非軍事區或 DMZ。或者,並非從網際網路直接存取的伺服器,應放置在內部伺服器區域中。這些區域通常包括資料庫伺服器、工作站和任何銷售點 (POS) 或是網際網路通訊協定語音 (VoIP) 裝置。

如果您使用的是 IP 第 4 版,就應該對所有內部網路使用內部 IP 位址。必須設定網路地址轉譯 (NAT),才能允許內部裝置在需要時於網際網路上通訊。

設計網路區域結構並建立相應的 IP 位址機制後,您就準備好建立防火牆區域並將其指派到防火牆介面或子介面了。建立網路基礎架構時,應使用支援虛擬 LAN (VLAN) 的交換器,以便在網路之間維持第 2 級分隔。

步驟 3:設定存取控制清單(這是您的部分,請邀請所需的人員。)

建立網路區域並指派到介面後,您將開始建立稱為存取控制清單的防火牆規則(又稱 ACL)。ACL 會決定哪些流量需要權限才能夠在各個區域中進出。ACL 是決定哪些人可和哪些人通訊,並封鎖其他對象的要素。將 ACL 套用到各個防火牆介面或子介面後,就應該盡可能明確地將其指定到確切的來源和/或目的地 IP 位址和連接埠號碼。若要過濾掉未核准的流量,請在每個 ACL 的末端建立「全部拒絕」規則。接下來,請將傳入和傳出 ACL 套用到各個介面。如果可以,請停用公開存取防火牆管理介面。請記住,請盡可能在此階段中詳細列出;不只要測試應用程式是否如預期般運作,也務必測試不允許的內容。請務必瞭解防火牆功能以控制新一代層級的流量;它是否能夠依照網路類別來封鎖流量?您可以開啟進階掃描檔案功能嗎?它是否含有部分層級的 IPS 功能?您已支付這些進階功能的費用,因此別忘了「善加運用」這些功能

步驟 4:設定其他防火牆服務和登入資料(您的非黑膠唱片收藏。)

如有需要,請啟用防火牆以當作動態主機設定通訊協定 (DHCP) 伺服器、網路時間通訊協定 (NTP) 伺服器、入侵防禦系統 (IPS) 等等。並停用任何您不打算使用的服務。

為了符合 PCI DSS(支付卡產業資料安全標準)要求,請將您的防火牆設定為隸屬登入伺服器,並確保附上足夠的詳細資訊以滿足 PCI DSS 第 10.2 到 10.3 點的要求。

步驟 5:測試防火牆組態(別擔心,這是開卷考試。)

首先,請確認您的防火牆會依照 ACL 組態來封鎖應封鎖的流量。這應該包括漏洞掃描和滲透測試。請務必保留防火牆組態的安全備份,以備不時之需。如果所有部分都通過測試了,就代表您的防火牆可以開始使用了。測試、測試、再測試回復至組態的程序。進行任何變更之前,請記錄並測試您的復原程序。

步驟 6:防火牆管理(所有火都需要添加燃料才會燒得旺。)

一旦您的防火牆設定完畢並開始運作,您需要加以維護,使其以最佳方式運作。請務必更新韌體、監控記錄、執行漏洞掃描,並且每六個月審視一次組態規則。

後續步驟

這樣就完成了!如果您已經來到這一步,就可以假裝是網路資安專家了。但是,如果您需要進一步協助,請造訪我們的小型企業社群。在這個社群中,您可以找到常見問題的解答,並與經營類似企業且面臨類似 IT 挑戰的人們相互聯繫。

想要深入瞭解嗎?

資安

我們在這裡提供資源來幫助您瞭解安全情勢,並選擇能夠協助保護您企業的技術。

 

網路

瞭解如何做出正確的設計和維護網路決策,以幫助您的業務成長。

協作

這些工具和文章將協助您做出重要的通訊決策,以協助您的企業擴展和保持連線。

 

工具與提示

取得操作說明、檢查清單和其他提示,協助您滿足需求並協助您的企業擴展和蓬勃發展。