修正防火墙装备时，请必须考虑潜在的安全危险，以防止将来呈现一些显着的反常问题。安全性是一个杂乱的主题，而且因状况而异，可是本文介绍了装备外围防火墙规矩的最佳实践。

默许阻挠

默许状况下阻挠一切流量，并清晰只答应特定流量抵达已知服务。此战略能够很好地操控流量，并削减由于服务装备过错而形成数据走漏的或许性。

经过将拜访操控列表中的终究一个规矩装备为回绝一切流量，能轻松完成此行为。您能够精确的经过渠道来显式或隐式地履行此操作。

答应特定流量

用于界说网络拜访的规矩应尽或许详细。此战略称为最小特权准则，它强制操控网络流量。在规矩中指定尽或许多的参数。

第4层防火墙将以下参数用于拜访规矩：

• 源IP地址（或IP地址规模）
• 意图IP地址（或IP地址规模）
• 意图端口（或端口规模）

应该在用于界说网络拜访的规矩中指定尽或许多的参数。any在任何这些字段中都有有限的计划。

指定源IP地址

假如该服务应该是任何一个人都能够终究靠互联网拜访，那么任何的源IP地址是正确的选项。在一切其他状况下，您应指定源地址。

答应一切源地址拜访HTTP服务器是能够承受的。一般不答应一切源地址拜访服务器办理端口（关于Linux SSH为22，关于Windows RDP为3389）或数据库（关于SQL Server为1433，关于Oracle为1521，关于MySQL为2206）拜访服务器办理端口。关于谁能够拜访这些端口要尽或许地详细。当为网络办理界说源IP地址不切实践时，您可优先考虑运用另一种解决计划，例如长途拜访VPN作为补偿控件，以答应所需的拜访并维护您的网络。

指定方针IP地址

方针IP地址是运转要答应其拜访的服务的服务器的IP地址。一直指定能够拜访的服务器（或服务器组）。不主张装备方针值any，由于这样做或许会导致将来呈现一些显着的反常问题，例如安全性损坏或服务器或许会损坏默许状况下不期望在或许会运用的服务器上运用的协议。可是，any假如仅将一个IP分配给防火墙，或许您期望公共和服务网都拜访您的装备，则能够正常的运用方针值为的方针IP 。

指定方针端口

意图端口对应于需求拜访的服务。此字段的值永久不能为any。界说了在服务器上运转并需求拜访的服务，而且只需求答应该端口。例如，答应一切端口经过答应歹意实体履行字典进犯来猜想暗码以及对服务器上装备的任何端口和协议履行运用，将极大地影响服务器的安全性。

防止运用过多的端口。假如运用动态端口，防火墙有时会供给查看战略以安全地答应它们经过。

不良装备示例

本节介绍了防火墙规矩的过错示例，但还介绍了装备防火墙规矩时要遵从的一些代替规矩。

permit ip any any-答应从任何端口上的任何源到任何意图地的一切流量。这是最差的拜访操控规矩。它与默许状况下回绝流量的安全概念和最低特权的准则都相对立。应一直指定方针端口，并在实践可行时指定方针IP地址。除非应用程序被构建为从Internet（例如Web服务器）接纳客户端，不然应指定源IP地址。一个好规矩是permit tcp any WEB-SERVER1 http。

permit ip any any WEB-SERVER1 -答应从任何来历到Web服务器的一切流量。仅答应运用特定端口；关于Web服务器，端口80（HTTP）和443（HTTPS）。不然，服务器的办理将简单遭到进犯。一个好规矩是permit ip any WEB-SERVER1 http。

permit tcp any WEB-SERVER1 3389-答应RDP从任何来历拜访Web服务器。一般，答应一切人拜访您的办理端口是一种欠好的做法。请详细阐明谁能够拜访服务器办理。一个很好的规矩是permit tcp 12.34.56.78 3389 WEB-SERVER1（12.34.56.78Internet上办理员计算机的IP地址在哪里）。

permit tcp any DB-SERVER1 3306-答应MySQL从任何来历拜访数据库。数据库服务器绝不该露出于整个Internet。假如您需求数据库查询才能在公共Internet上运转，请指定切当的源IP地址。一个很好的规矩是permit tcp 23.45.67.89 DB-SERVER1 3306（23.45.67.89Internet上需求拜访数据库的主机的IP地址在哪里）。最佳实践是答应经过VPN的数据库流量，而不是经过公共Internet的明文方式。