前几天在书店看一本书《Cisco ASA、PIX与FWSM防火墙手册》感觉很，现把其中一小部分抄下来。和大家一起分享。,《防火墙基本安全策略准则》,一、定期收集并查看防火墙日志,在配置防火墙之后会产生大量的日志信息。收集这些日志最重要的原因是对网络活动的审计跟踪。如果网络遭受攻击或者网络资源的恶意使用，可以依据系统日志记录作为证据。计算机,二、制定精确的入站ACL,必须严格控制流量从公共网络或者不安全的方面进入到受保护网络。,三、在不同方面保护DMZ,一些不怀好意的人会通过DMZ区攻击内部网络，如果在DMZ服务器和内部区域之间开放访问（任何协议或端口），DMZ区就会成为一个“跳板”，使外部的恶意用户能够危害DMZ服务器，并使用它来危害内部其他主机。,四、多留意ICMP流量,当需要诊断到某台主机的访问时间或网络响应时间时,ICMP数据包是十分有用的。外部的恶意用户可能使用ICMP来侦测或者攻击位于DMZ或者内部网络的活动的主机。最佳做法，只允许指定类型的ICMP数据包从外部进入网络。,五、保存所有安全的防火墙管理流量,六、定时检查防火墙规则,以上是转载《Cisco ASA PIX与FWSM防火墙操作手册》，每一章，防火墙概述。希望大家多出点意见。,Tags：许昌市长葛市郑州信息科技职业学院中专部中专,许昌市鄢陵县郑州信息科技职业学院中专部技校,许昌市襄城县郑州信息科技职业学院中专部IT培训,漯河市郾城区郑州信息科技职业学院中专部分校,漯河市源汇区郑州信息科技职业学院中专部就业,漯河市召陵区郑州信息科技职业学院中专部软件学院,二、制定精确的入站ACL,