您是否被指控维护组织的网络防火墙?这可能是一项艰巨的任务,特别是如果受防火墙保护的网络具有多样化的客户端,服务器和具有独特通信要求的其他网络设备社区。
防火墙为您的网络提供了一个关键的防御层,并且是您的整体纵深防御网络安全策略中不可或缺的一部分。如果没有正确管理和实施,网络防火墙可能会在您的安全性中留下漏洞,允许黑客和犯罪分子进出您的网络。
了解你的网络
那么,你甚至从哪里开始试图驯服这头野兽?
如果您只是潜入并开始搞乱访问控制列表(ACL),您可能会无意中隔离一些任务关键型服务器,这可能会激怒您的老板并让您解雇。
每个人的网络都不同。创建防黑客网络防火墙配置没有灵丹妙药或万能药,但有一些建议的最佳实践可用于管理网络防火墙。由于每个组织都是独一无二的,因此以下指南对于每种情况可能都不是“最佳”,但至少它将为您提供一个起点,帮助您控制防火墙,以免被烧毁。
组建防火墙变更控制板
形成由用户代表,系统管理员,管理人员和安全人员组成的防火墙变更控制板可能有助于促进不同群体之间的对话,并可能有助于避免冲突,特别是如果讨论提议的变更并与可能受影响的所有人进行协调他们在改变之前。
每次更改投票也有助于确保在发生与特定防火墙更改相关的问题时的问责制。
防火墙规则更改之前的警报用户和管理员
用户,管理员和服务器通信可能会受到防火墙更改的影响。即使对防火墙规则和ACL进行看似微小的更改也会对连接产生重大影响。因此,最好提醒用户建议更改防火墙规则。应告知系统管理员提议的更改以及何时生效。
如果用户或管理员对建议的防火墙规则更改有任何问题,则应给予足够的时间(如果可能),以便他们在更改之前表达他们的关注,除非发生需要立即更改的紧急情况。
记录所有规则和使用评论来解释特殊规则的目的
试图找出防火墙规则的目的可能很困难,尤其是当最初编写规则的人离开组织并且您试图找出可能受规则删除影响的人时。
所有规则都应该有详细记录,以便其他管理员可以理解每个规则并确定是否需要或应该删除它们。规则中的评论应解释:
- 规则的目的。
- 规则所针对的服务。
- 受规则影响的用户/服务器/设备(谁用于?)。
- 添加规则的日期和需要规则的时间范围(即它是临时规则吗?)。
- 添加规则的防火墙管理员的名称。
避免在防火墙“允许”规则中使用“任何”
在Cyberoam关于防火墙规则最佳实践的文章中,他们主张避免在“允许”防火墙规则中使用“任意”,因为潜在的流量和流量控制问题。他们指出,使用“Any”可能会产生意想不到的后果,即允许每个协议通过防火墙。
“拒绝所有”首先然后添加例外
大多数防火墙从规则列表的顶部到底部按顺序处理它们的规则。规则的顺序非常重要。您很可能希望将“拒绝所有”规则作为您的第一个防火墙规则。这是最重要的规则,其位置也至关重要。将“拒绝所有”规则置于第一位置基本上是说“先把所有人和所有事情都排除在外,然后我们将决定我们想让谁进入”。
您永远不希望将“全部允许”规则作为您的第一条规则,因为这会破坏拥有防火墙的目的,因为您只需让所有人进入。
在位置#1中实施“拒绝所有”规则后,您可以开始在其下方添加允许规则,以允许特定流量进出您的网络(假设您的防火墙从上到下处理规则)。
定期检查规则并定期删除未使用的规则
出于性能和安全原因,您需要定期“清理”防火墙规则。规则越复杂,越多,性能就越受影响。如果您已经为工作站和服务器构建了规则,甚至不再在您的组织中,那么您可能希望删除它们,以帮助减少规则处理开销并帮助降低威胁向量的总数。
组织防火墙规则以提高性能
防火墙规则的顺序会对网络流量的吞吐量产生重大影响。 eWEEk有一篇关于组织防火墙规则以最大化流量速度的最佳实践的精彩文章。他们的一个建议是通过边缘路由器过滤掉一些不需要的流量来消除防火墙的一些负担。
