提示,以幫助防止灼傷
您是否負責維護組織的網絡防火牆 ? 這可能是一項艱鉅的任務,尤其是當受防火牆保護的網絡具有多種客戶端,服務器和其他具有獨特通信要求的網絡設備時。
防火牆為您的網絡提供了一個關鍵的防禦層,並且是您的整體縱深防禦網絡安全策略的一個組成部分。 如果不妥善管理和實施,網絡防火牆可能會在安全性方面留下空隙,使黑客和罪犯進出網絡。
那麼,你甚至開始試圖馴服這頭野獸?
如果你只是潛入並開始搞清楚訪問控制列表,你可能會無意中隔離一些關鍵任務服務器,這可能會激怒你的老闆並讓你被解僱。
每個人的網絡都不一樣。 對創建防黑客網絡防火牆配置沒有靈丹妙藥或治愈方法,但有一些建議的管理網絡防火牆的最佳實踐。 由於每個組織都是獨一無二的,下面的指導可能不適合每種情況,但至少它會為您提供一個起點,幫助您控制防火牆,以免燒毀。
形成防火牆更改控制板
組成由用戶代表,系統管理員,管理人員和安全人員組成的防火牆更換控制板可能有助於促進不同群體之間的對話,並可能有助於避免衝突,特別是如果討論所提議的更改並與所有可能受到他們在改變之前。
如果發生與特定防火牆更改相關的問題,每次更改投票都有助於確保問責制。
在防火牆規則更改之前警告用戶和管理員
用戶,管理員和服務器通信可能會受到防火牆更改的影響。 即使對防火牆規則和ACL進行看似微小的更改也會對連接性產生重大影響。 出於這個原因,最好提醒用戶對防火牆規則的建議更改。 系統管理員應該被告知什麼樣的改變被提出並且什麼時候生效。
如果用戶或管理員在提出防火牆規則更改時遇到任何問題,應該給予充足的時間(如果可能),以便他們在發生更改之前表達其擔憂,除非發生需要立即更改的緊急情況。
記錄所有規則和使用註釋來解釋特別規則的目的
試圖找出防火牆規則的目的可能很困難,尤其是當最初編寫規則的人已經離開組織時,您仍然試圖找出可能受到規則刪除影響的人員。
所有規則都應有詳細記錄,以便其他管理員可以了解每個規則並確定是否需要或應該刪除。 規則中的評論應該解釋為:
- 規則的目的
- 該規則適用的服務
- 受規則影響的用戶/服務器/設備(用於誰?)
- 規則添加的日期和需要規則的時間框架(即是否是臨時規則?)
- 添加規則的防火牆管理員的名稱
避免使用"任何" 在防火牆中允許" 規則
在Cyberoam有關防火牆規則最佳實踐的文章中,他們主張由於潛在的流量和流量控制問題,避免在“允許”防火牆規則中使用“任何”。 他們指出,使用“Any”可能會導致每個協議通過防火牆的意外後果。
"拒絕所有" 首先然後添加例外
大多數防火牆按規則列表的頂部順序處理規則。 規則的順序非常重要。 您很可能希望將“拒絕全部”規則作為您的第一個防火牆規則。 這是規則中最重要的一項,它的位置也是至關重要的。 將“拒絕所有”規則置於第一位基本上就是說“先把所有人都放在首位,然後決定我們想讓誰放棄誰”。
你永遠不希望有一個“允許所有”的規則作為你的第一條規則,因為這會挫敗擁有防火牆的目的,就像你讓每個人都進來一樣。
一旦你在位置#1中設置了“全部拒絕”規則,你就可以開始在它下面添加允許規則,讓特定的流量進出網絡(假設你的防火牆處理規則從上到下)。
定期審查規則並定期清除未使用的規則
出於性能和安全方面的原因,您將要定期“彈出”防火牆規則。 您的規則越複雜,越多,性能將受到更大影響。 如果你已經為工作站和服務器製定了規則,而這些規則已不再適用於你的組織,那麼你可能需要刪除它們以幫助減少規則處理開銷並幫助降低威脅向量的總數。
為性能組織防火牆規則
防火牆規則的順序可能會對網絡流量的吞吐量產生重大影響。 eWEEk有一篇關於組織防火牆規則以實現最大流量速度的最佳實踐的文章。 他們的建議之一是通過邊緣路由器過濾掉一些不需要的流量,從而減輕防火牆的負擔。 看看他們的文章的一些其他偉大的提示。