远程客户端防火墙策略设置的最佳做法

防火墙策略最佳做法”说明方案和最佳实践建议。
防火墙策略最佳做法
方案
建议
用户不使用 VPN 进行登录的远程位置
  • 将最严格的安全策略分配给不使用 VPN 进行远程登录的客户端。
  • 启用 NetBIOS 防护.
    对于其远程用户通过 VPN 登录公司网络的位置,请勿启用 NetBIOS 防护。此规则仅适用于远程用户连接到 Internet 的情形,不适用于连接到公司网络的情形。
  • 为了提升安全性,可以禁止 NetBIOS 端口 135、139 及 445 上的所有本地 TCP 通信。
用户通过 VPN 登录的远程位置
  • 保持各项用于禁止所有适配器上通信的规则不变。请勿更改这些规则。
  • 保持各项允许所有适配器上 VPN 通信的规则不变。请勿更改此规则。
  • 对于各项使用“允许”操作的规则,请将“适配器”列的“全部适配器”更改为您使用的 VPN 适配器的名称。
  • 启用用于禁止其他所有通信的规则。
如果要避免通过 VPN 拆分通道的可能性,就必须进行所有这些更改。
用户通过以太网或无线连接登录的办公室位置
使用您的默认防火墙策略。对于无线连接,请确定已启用用于允许无线 EAPOL 的规则。802.1X 会使用通过 LAN 的可扩展身份验证协议 (EAPOL) 进行连接验证。