當建設你的堡壘主機時要特別小心。堡壘主機的定義就是可公共訪問的設備。當Internet用戶企圖訪問你網路上的資源時,首先進入的機器就是堡壘主機。因為堡壘主機是直接連線到Internet上的,其上面的所有信息都暴露在公網之上。這種高度地暴露規定了硬體和軟體的配置。堡壘主機就好像是在軍事基地上的警衛一樣。警衛必須檢查每個人的身份來確定他們是否可以進入基地及可以訪問基地中的什麼地方。警衛還經常準備好強制阻止進入。同樣地,堡壘主機必須檢查所有進入的流量並強制執行在安全策略里所指定的規則。它們還必須準備好對付從外部來的攻擊和可能來自內部的資源。堡壘主機還有日誌記錄及警報的特性來阻止攻擊。有時檢測到一個威脅時也會採取行動。
當構造防火牆設備時,經常要遵循下面兩個主要的概念。第一,保持設計的簡單性。第二,要計畫好一旦防火牆被滲透應該怎么辦。
保持設計的簡單性
一個黑客滲透系統最常見的方法就是利用安裝在堡壘主機上不注意的組件。建立你的堡壘主機時要儘可能使用較小的組件,無論硬體還是軟體。堡壘主機的建立只需提供防火牆功能。在防火牆主機上不要安裝像WEB服務的應用程式服務。要刪除堡壘主機上所有不必需的服務或守護進程。在堡壘主機上運行少量的服務給潛在的黑客很少的機會穿過防火牆。安排事故計畫
如果你已設計好你的防火牆性能,只有通過你的防火牆才能允許公共訪問你的網路。當設計防火牆時安全管理員要對防火牆主機崩潰或危及的情況作出計畫。如果你僅僅是用一個防火牆設備把內部網路和公網隔離開,那么黑客滲透進你的防火牆後就會對你內部的網路有著完全訪問的許可權。為了防止這種滲透,要設計幾種不同級別的防火牆設備。不要依賴一個單獨的防火牆保護惟獨的網路。如果你的安全受到損害,那你的安全策略要確定該做些什麼。採取一些特殊的步驟,包括· 創建同樣的軟體備份
· 配置同樣的系統並存儲到安全的地方
· 確保所有需要安裝到防火牆上的軟體都容易,這包括你要有恢復磁碟。
四種常見的防火牆設計都提供一個確定的安全級別,一個簡單的規則是越敏感的數據就要採取越廣泛的防火牆策略,這四種防火牆的實施都是建立一個過濾的距陣和能夠執行和保護信息的點。這四種選擇是:
·篩選路由器
·單宿主堡壘主機
·雙宿主堡壘主機
·禁止子網
篩選路由器的選擇是最簡單的,因此也是最常見的,大多數公司至少使用一個篩選路由器作為解決方案,因為所有需要的硬體已經投入使用。用於創建篩選主機防火牆的兩個選擇是單宿主堡壘主機和雙宿主堡壘主機。不管是電路級還是套用級網關的配置都要求所有的流量通過堡壘主機。最後一個常用的方法是篩選子網防火牆,利用額外的包過濾路由器來達到另一個安全的級別。