內容:只有在顯著降低風險時才使用防火牆。要認識到防火牆會導致可擴充套件性和可用性問題。
場景:總是。
用法:可以使用防火牆滿足關鍵pii、pci(支付卡行業)的合規性要求。不要在低價值的靜態內容防護上。
原因:防火牆降低可用性病引起不必要的可擴充套件性瓶頸。
要點:防火牆雖有用,但常被濫用,設計和實施不當會帶來可用性和可擴充套件性問題。
防火牆是為了提高資訊保安,降低資料安全風險的工具。任何工具都有兩面性,如果使用防火牆的時候,做的不到位會引起保護不到位,過度使用會降低應用的可用性和可擴充套件性。這個規則是基於資訊保安需要的,只有在成本能夠支援資訊保安的時候才可以考慮,當然也不僅僅只是防火牆,只要是資訊保安類工具都要做出平衡的考慮。
考慮採用資訊保安工具的要求:
1.應用的資料有敏感資訊,例如:身份證號碼,手機號碼,銀行卡號碼等資訊
2.業務資料中包含關鍵性資訊,例如業務流水號,業務的詳細資訊
3.有成本可以覆蓋這種資訊保安的要求
4.平衡成本和資訊保安之間的要求,做到最合適的價效比
5.設計資訊保安規則,選擇合適的安全策略進行實施
外圍防火牆規則 內部防火牆規則
外圍防火牆規則 通常情況下,您的外圍防火牆需要以預設的形式或者通過配置來實現下列規則 拒絕所有通訊,除非顯式允許的通訊。阻止宣告具有內部或者外圍網路源位址的外來資料報。阻止宣告具有外部源 ip 位址的外出資料報 通訊應該只源自堡壘主機 允許從 dns 解析程式到 internet 上的dns 伺服器...
防火牆規則
raw表 主要用來決定是否對資料報進行狀態跟蹤 mangle表 用來修改資料報的tos服務型別 ttl生存週期 為資料報設定mark標記,以實現流量整形 策略路由等高階應用 filter表 用來對資料報進行過濾,根據具體的規則要求決定如何處理乙個資料報 prerouting鏈 prerouting鏈...
LINUX防火牆規則
1 filter 主要跟linux本機有關,是預設的table.input 主要與資料報想要進入linux本機有關 output 主要與linux本機所要送出的資料報有關 forward 與linux本機沒有關係,它可以將資料報 到後端的計算機中,與nat表的相關性很高 檢視防火牆規則 iptabl...