Вам было поручено поддерживать сетевой брандмауэр вашей организации? Это может быть сложной задачей, особенно если сеть, защищенная брандмауэром, имеет разнообразное сообщество клиентов, серверов и других сетевых устройств с уникальными коммуникационными требованиями.
Брандмауэры обеспечивают ключевой уровень защиты для вашей сети и являются неотъемлемой частью вашей общей стратегии обеспечения безопасности в полной безопасности. Если он не управляется и не выполняется должным образом, сетевой брандмауэр может оставить в вашей безопасности зияющие дыры, позволяя хакерам и преступникам проникать в вашу сеть и выходить из нее.
Знай свою сеть
Итак, где вы даже начинаете с вашей попытки приручить этого зверя?
Если вы просто погружаетесь и начинаете возиться с списками контроля доступа (ACL), вы можете непреднамеренно изолировать критически важный сервер, который может вызвать гнев вашего босса и заставить вас уволить.
Сеть всех людей различна. Нет никакой панацеи или лечения - все для создания хакер-защищенной конфигурации сетевого брандмауэра, но есть некоторые рекомендуемые рекомендации по управлению брандмауэром вашей сети. Поскольку каждая организация уникальна, следующие рекомендации не могут быть «лучшими» для каждой ситуации, но, по крайней мере, это даст вам отправную точку для того, чтобы помочь вам контролировать ваш брандмауэр, чтобы вы не сжигались.
Создайте панель управления изменениями брандмауэра
Создание панели управления изменениями брандмауэра, состоящей из представителей пользователей, системных администраторов, менеджеров и сотрудников службы безопасности, может способствовать диалогу между различными группами и может помочь избежать конфликтов, особенно если предлагаемые изменения обсуждаются и координируются со всеми, на кого может повлиять их до изменения.
Прогрессирование каждого изменения также помогает обеспечить отчетность, когда возникают проблемы, связанные с определенным изменением брандмауэра.
Предупреждать пользователей и администраторов перед изменениями правил брандмауэра
На изменения в брандмауэре могут влиять пользователи, администраторы и серверы. Даже незначительные изменения правил брандмауэра и ACL могут иметь серьезные последствия для подключения. По этой причине лучше предупредить пользователей о предлагаемых изменениях правил брандмауэра. Системным администраторам следует сообщить, какие изменения предлагаются и когда они вступят в силу.
Если у пользователей или администраторов возникли проблемы с предложенными изменениями правил брандмауэра, необходимо предоставить достаточное время (если возможно), чтобы они могли выразить свою озабоченность до внесения изменений, если не возникла чрезвычайная ситуация, требующая немедленных изменений.
Документировать все правила и использовать комментарии для объяснения целей специальных правил
Попытка выяснить цель правила брандмауэра может быть затруднена, особенно когда человек, который изначально написал правило, покинул организацию, и вам осталось выяснить, кто может быть затронут удалением правила.
Все правила должны быть хорошо документированы, чтобы другие администраторы могли понять каждое правило и определить, нужно ли это или нужно удалить. Комментарии в правилах должны объяснять:
- Цель правила.
- Служба, для которой используется правило.
- Пользователи / серверы / устройства, на которые влияет правило (для кого это?).
- Дата добавления правила и временные рамки, необходимые для этого правила (т. Е. Является ли это временным правилом?).
- Имя администратора брандмауэра, который добавил правило.
Избегайте использования «Любые» в брандмауэре «Разрешить» правила
В статье Cyberoam, посвященной лучшим правилам управления брандмауэром, они выступают за предотвращение использования «Любые» в правилах «Разрешить» брандмауэра из-за потенциальных проблем управления трафиком и потоком. Они указывают, что использование «Any» может иметь непреднамеренное последствие разрешения каждого протокола через брандмауэр.
«Отклонить все» и «Добавить исключения»
Большинство брандмауэров обрабатывают свои правила последовательно от верхней части списка правил до нижней. Порядок правил очень важен. Скорее всего, вы захотите использовать правило «Отклонить все» в качестве вашего первого правила брандмауэра. Это самое важное из правил, и его размещение также имеет решающее значение. Полагая правило «Отклонить все» в позиции №1, в основном говорится: «Сначала держите все и все, а потом мы решаем, кто и что мы хотим впустить».
Вы никогда не хотите иметь правило «Разрешить все» в качестве своего первого правила, потому что это может привести к поражению цели использования брандмауэра, поскольку вы просто включили всех.
После того, как у вас есть правило «Запретить все» на месте в позиции №1, вы можете начать добавлять свои правила под ним, чтобы разрешить определенный трафик в вашей сети и из нее (при условии, что ваши брандмауэры обрабатывают правила сверху вниз).
Регулярно проверяйте правила и удаляйте неиспользуемые правила на регулярной основе
Как по производительности, так и по соображениям безопасности, вы захотите периодически «очищать» свои правила брандмауэра. Чем сложнее и сложнее ваши правила, тем больше производительность будет затронута. Если у вас есть правила, созданные для рабочих станций и серверов, которые еще не созданы в вашей организации, тогда вы можете их удалить, чтобы помочь снизить накладные расходы на обработку правил и снизить общее количество векторов угроз.
Упорядочить правила брандмауэра для производительности
Порядок правил вашего брандмауэра может существенно повлиять на пропускную способность вашего сетевого трафика. В eWEEk есть отличная статья о лучших методах организации правил брандмауэра для максимизации скорости трафика. Один из их предложений включает в себя снятие некоторых бременов с вашего брандмауэра путем фильтрации нежелательного трафика через ваши граничные маршрутизаторы.
