提示,以帮助防止灼伤
您是否负责维护组织的网络防火墙 ? 这可能是一项艰巨的任务,尤其是当受防火墙保护的网络具有多种客户端,服务器和其他具有独特通信要求的网络设备时。
防火墙为您的网络提供了一个关键的防御层,并且是您的整体纵深防御网络安全策略的一个组成部分。 如果不妥善管理和实施,网络防火墙可能会在安全性方面留下空隙,使黑客和罪犯进出网络。
那么,你甚至开始试图驯服这头野兽?
如果你只是潜入并开始搞清楚访问控制列表,你可能会无意中隔离一些关键任务服务器,这可能会激怒你的老板并让你被解雇。
每个人的网络都不一样。 对创建防黑客网络防火墙配置没有灵丹妙药或治愈方法,但有一些建议的管理网络防火墙的最佳实践。 由于每个组织都是独一无二的,下面的指导可能不适合每种情况,但至少它会为您提供一个起点,帮助您控制防火墙,以免烧毁。
形成防火墙更改控制板
组成由用户代表,系统管理员,管理人员和安全人员组成的防火墙更换控制板可能有助于促进不同群体之间的对话,并可能有助于避免冲突,特别是如果讨论所提议的更改并与所有可能受到他们在改变之前。
如果发生与特定防火墙更改相关的问题,每次更改投票都有助于确保问责制。
在防火墙规则更改之前警告用户和管理员
用户,管理员和服务器通信可能会受到防火墙更改的影响。 即使对防火墙规则和ACL进行看似微小的更改也会对连接性产生重大影响。 出于这个原因,最好提醒用户对防火墙规则的建议更改。 系统管理员应该被告知什么样的改变被提出并且什么时候生效。
如果用户或管理员在提出防火墙规则更改时遇到任何问题,应该给予充足的时间(如果可能),以便他们在发生更改之前表达其担忧,除非发生需要立即更改的紧急情况。
记录所有规则和使用注释来解释特别规则的目的
试图找出防火墙规则的目的可能很困难,尤其是当最初编写规则的人已经离开组织时,您仍然试图找出可能受到规则删除影响的人员。
所有规则都应有详细记录,以便其他管理员可以了解每个规则并确定是否需要或应该删除。 规则中的评论应该解释为:
- 规则的目的
- 该规则适用的服务
- 受规则影响的用户/服务器/设备(用于谁?)
- 规则添加的日期和需要规则的时间框架(即是否是临时规则?)
- 添加规则的防火墙管理员的名称
避免使用"任何" 在防火墙中允许" 规则
在Cyberoam有关防火墙规则最佳实践的文章中,他们主张由于潜在的流量和流量控制问题,避免在“允许”防火墙规则中使用“任何”。 他们指出,使用“Any”可能会导致每个协议通过防火墙的意外后果。
"拒绝所有" 首先然后添加例外
大多数防火墙按规则列表的顶部顺序处理规则。 规则的顺序非常重要。 您很可能希望将“拒绝全部”规则作为您的第一个防火墙规则。 这是规则中最重要的一项,它的位置也是至关重要的。 将“拒绝所有”规则置于第一位基本上就是说“先把所有人都放在首位,然后决定我们想让谁放弃谁”。
你永远不希望有一个“允许所有”的规则作为你的第一条规则,因为这会挫败拥有防火墙的目的,就像你让每个人都进来一样。
一旦你在位置#1中设置了“全部拒绝”规则,你就可以开始在它下面添加允许规则,让特定的流量进出网络(假设你的防火墙处理规则从上到下)。
定期审查规则并定期清除未使用的规则
出于性能和安全方面的原因,您将要定期“弹出”防火墙规则。 您的规则越复杂,越多,性能将受到更大影响。 如果你已经为工作站和服务器制定了规则,而这些规则已不再适用于你的组织,那么你可能需要删除它们以帮助减少规则处理开销并帮助降低威胁向量的总数。
为性能组织防火墙规则
防火墙规则的顺序可能会对网络流量的吞吐量产生重大影响。 eWEEk有一篇关于组织防火墙规则以实现最大流量速度的最佳实践的文章。 他们的建议之一是通过边缘路由器过滤掉一些不需要的流量,从而减轻防火墙的负担。 看看他们的文章的一些其他伟大的提示。