防火牆政策尋找連線符合允許和拒絕的規則

我們防火牆就兩個區域，一個是LAN，一個是DMZ。
我們想要達到的目的為：

LAN TO DMZ：WIN7可以存取PRIVATE_WEB和PUBLIC_WEB。
LAN TO DMZ：XP只能存取PUBLIC_WEB。

如果是新建的防火牆，每個人大概五分鐘可以設定完成，可惜的是大部份的防火牆都不是新建的而是接前手或是廠商的，那原本的設定規則一但累積下去，在沒有定期整理的情況下，一、兩百條是家常便飯。



我們這台是XP，但是可以存取PRIVATE_WEB，表示設定和安全規範已經產生了落差。



原本防火牆就有設定好這五條，你當然可以說，我用邏輯判斷第四條設定有問題，但是如果有一百多條呢？你這時候很難判斷，或是需要花費大量的時間，所以我們需要靠機器輔助，就是他到底是哪一條允許才可以存取資源的，記住防火牆預設是正向表列，就是最後一條一定是隱藏的拒絕全部。




我們進LOG看到原來是ID5政策允許的，這時候在去判斷邏輯就方便多了。



雖然ID3已經設定XP不能存取PRIVATE_WEB，但因為防火牆政策是採取TOP-DOWN的判斷方式，先進先出，所以我們在ID5政策已經允許XP的HTTP連線的，你之後在拒絕永遠不可能符合到這條條件，這是防火牆設定順序錯誤，我們把ID3和ID5政策對調順序。




改完設定之後果然XP不能存取PRIVATE_WEB，理由是違反ID3政策。

結論：
如果防火牆政策少的時候可以透過肉眼邏輯判斷問題，但是一多的時候就很難判斷，因此從LOG來看說是哪一條允許或拒絕的才是比較正確並且節省時間的做法，而且防火牆也要定期去檢視政策，會不會已經有不合乎安全規範但還是設定在上面，比方說廠商要連近來看所以暫時開放，但使用完後卻沒有拿掉政策之類的。