面临的问题
防火墙策略已经配置生效,UTM网关选项已开启,且已经设置了用户与管理密码。这些前提之上,如何进一步发挥飞塔防火墙设备的安全功能,稳固网络的防御。
解决方法
你可以采取相当多的方法将飞塔防火墙设备的安全功能发挥到最大化来保护你的网络。飞塔防火墙设备通常会被作为网络设备部署,其中一些很明显的安全配置往往会被忽视。
一些常规安全操作的最佳实施
以下是安全实践并不是必需的,且并不适于所有网络。
在一个可控的网络环境而不是生产网络中配置测试新的飞塔防火墙设备。
部署系统之前,加固安全并修复安全漏洞。
请勿在一个运行的网络中测试新的策略。
对安全策略的限制访问并作定期审计安全策略,以确定配置没有被修改。对用户与管理员执行严格的密码策略。(对密码长度、复杂性、定期更改性做要求)
定期配置备份,并校验已备份的配置。
只连接所要求的网络接口。不通过飞塔防火墙设备访问资源的网络,不与飞塔防火墙设备连接。
仅启用所需要的服务。在一条安全策略中将服务设置为“ANY”比指定单个服务更容易,但是将服务设置为“ANY”可能会通过一些非必要的流量。
使用NTP设置系统时间 ,使系统时间一直是正确的。正确的系统时间对于分析日志信息非常必要。
在不影响飞塔防火墙设备性能的情况下,尽量多记录日志信息。更多的日志信息意味着更佳的系统可视性。
与外部日志服务器(syslog或FortiAnalyzer设备)同步日志信息,以备份日志信息,在飞塔防火墙设备被入侵或故障时,更好的进行日志分析。
将日志信息查看与定期的管理操作结合(尤其是管理员认证日志)。
禁用较弱的密码设置与不加密的服务。举例说明,所有的管理员访问都应基于HTTPS与SSH,而不是HTTP与Telnet。对于IPSec VPN配置使用3DES或更高级别的AES加密或更高级别的 SHA验证。
本文由:飞塔UTM于(2013-07-25)发表了关于如何加强飞塔防火墙设备的安全性的文章 。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
