安全指南：基本防火墙安全

　　文/微软中国

　　简介

　　本文档说明了五个被视为行业标准的防火墙规则，这些规则有助于防御最普遍的攻击，即未经授权而访问网络和数据的攻击。在配置防火墙和网络时应考虑实施这些规则。这些规则可能只是大型复杂防火墙脚本的一部分，单靠它们并不能保证网络免遭攻击。您应该参考防火墙制造商或服务提供商提供的文档，并与 IT 安装和配置专业人员协商完成防火墙配

置。所需的准确配置取决于网络上运行的服务和您需要的外部访问级别。

　　防御普通攻击

　　阻止源地址在您自己的地址范围内的所有入站通信

　　通常，来自您所在网络的通信不太可能出现在 Internet 上再试图返回您自己的网络。这表明可能有人在欺骗您。这种欺骗说明有人在假装使数据来自特定的计算机，而实际上不是这样。“特洛伊”病毒和拒绝服务 (DoS) 攻击常使用这种技术取得对网络未经授权的访问，因此您应格外小心以免遭受攻击。

　　阻止源地址不在您自己的地址范围内的所有出站通信

　　本规则与规则 1 类似。通常，来自其他网络的通信不太可能离开您自己的网络。这表明有人正在使用您的网络欺骗或攻击其他人。规则 1 保护您，而规则 2 则保护其他人。实施规则 1、2 同等重要。

　　阻止源或目的地址在私有地址范围内的所有入站和出站通信

　　阻止源或目的地址在私有地址范围(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 和 169.254.0.0/16)的所有入站和出站通信。按惯例这些地址不应出现在公共 Internet 上。它们被保留用于局域网内部。请勿让这些通信传出您的网络，也阻止其进入(这表明其他人未正确配置其路由)。

　　阻止源路由的所有入站和出站通信

　　Internet 协议 (IP) 允许使用一个称为“源路由”的特殊选项，来指定数据包到达目的地然后返回源地址应遵循的路由。指定的路由常常使用那些通常不用于向目的地转发数据包的路由器或主机。很多年前，对该选项的需要较为普遍，但因为现在已证明 Internet 的基础结构非常可靠，数据包只应通过下列标准 Internet 内部和外部路由路径传递。源路由通信表明，攻击者正试图通过指定您服务器的虚假受信任客户端，来绕过您的路由基础结构。

　　阻止所有入站和出站数据包片段

　　IP 协议允许数据包分成多个称为“片段”的 IP 数据包。片段缺少普通数据包应当有的传输控制协议 (TCP) 或用户数据报协议 (UDP) 头信息，因此将非法通过某些种类的“数据包过滤”设备(例如，许多防火墙设备)。数据包片段几乎总是表明有攻击发生：攻击者正在手动制造片段，尝试绕过安全设备。

　　注意： 基于 IPsec 的虚拟专用网 (VPN) 常常由于在验证过程中使用的密钥过长而创建数据包片段；如果允许 IPsec VPN 越过您网络边界，则应该将此规则视为可选，直到您已经决定是否允许它与 VPN 一同使用。

　　欢迎访问TechNet：http://www.microsoft.com/china/technet/default.mspx