針對遠端用戶端之防火牆政策設定的最佳實務準則

防火牆政策最佳實務說明了一些範例和最佳實務建議。
防火牆政策最佳實務
範例
建議
使用者不使用 VPN 進行登入的遠端位置
  • 將最嚴格的安全政策指派給不使用 VPN 進行遠端登入的用戶端。
  • 啟用 NetBIOS 防護。
    對於遠端用戶端透過 VPN 登入公司網路的位置,請勿啟用 NetBIOS 防護。此規則僅適用於遠端使用者連線到網際網路的狀況,不適用於連線到公司網路的狀況。
  • 為提升安全性,攔截 NetBIOS 通訊埠 135、139 及 445 上的所有本機 TCP 流量。
使用者透過 VPN 登入的遠端位置
  • 維持各項攔截所有配接卡上流量的規則。請勿變更這些規則。
  • 維持各項允許所有配接卡上 VPN 流量的規則。請勿變更此規則。
  • 對於各項使用「允許」動作的規則,請將「配接卡」欄的「全部配接卡」變更為您使用的 VPN 配接卡名稱。
  • 啟用攔截其他所有流量的規則。
如果要避免透過 VPN 分割通道,您需要進行所有上述變更。
使用者透過乙太網路或無線連線登入的辦公室位置
使用您的預設防火牆政策。對於無線連線,請確定已啟用允許無線 EAPOL 的規則。802.1x 會使用 LAN 延伸驗證通訊協定 (EAPOL) 進行連線驗證。