Съвети, за да ви предпазят от изгаряне
Бил ли ви е видно да поддържате защитната стена на мрежата на вашата организация? Това може да е трудна задача, особено ако мрежата, защитена от защитната стена, има разнообразна общност от клиенти, сървъри и други мрежови устройства с уникални изисквания за комуникация.
Защитните стени осигуряват ключово ниво на защита за вашата мрежа и са неразделна част от цялостната стратегия за защита на мрежата в дълбочина . Ако не се управлява и изпълнява правилно, мрежовата защитна стена може да остави отворени дупки в сигурността ви, като позволява на хакери и престъпници във и извън вашата мрежа.
И така, откъде дори започваш да се опитваш да укротиш това звярче?
Ако просто се гмурнете и започнете да бъркате със списъци за контрол на достъпа, бихте могли неволно да изолирате някой критичен за мисии сървър, който може да разгневи шефа ви и да ви уволнят.
Мрежата на всеки е различна. Няма панацея или лек за създаване на конфигурация на защитната стена, която е доказана от хакери, но има някои препоръчителни добри практики за управление на защитната стена на вашата мрежа. Тъй като всяка организация е уникална, следващите указания може да не са "най-добри" за всяка ситуация, но поне ще ви даде начална точка, за да ви помогне да получите защитната стена под контрол, за да не се изгорите.
Създайте контролен съвет за защитната стена
Създаването на контролен борд за защитна стена, съставен от представители на потребителите, системни администратори, мениджъри и служители по сигурността, може да спомогне за улесняване на диалога между различните групи и може да помогне за избягване на конфликти, особено ако предложените промени се обсъждат и координират с всички, преди промяната.
Промяната на гласуването на всяка промяна също помага да се осигури отчетност, когато възникнат проблеми, свързани с конкретна промяна в защитната стена.
Сигнализиране на потребители и администратори преди промяната в правилата на защитната стена
Потребителите, администраторите и сървърните комуникации могат да бъдат засегнати от промените в защитната ви стена. Дори привидно дребни промени в правилата на защитната стена и ACL могат да имат значително въздействие върху връзката. Поради тази причина е най-добре да предупредите потребителите за предложените промени в правилата на защитната стена. Системните администратори трябва да знаят какви промени се предлагат и кога те ще влязат в сила.
Ако потребителите или администраторите имат проблеми с предложените промени в правилата на защитната стена, трябва да се даде достатъчно време (ако е възможно), за да изразят притесненията си преди да се направят промени, освен ако не настъпи спешна ситуация, изискваща незабавни промени.
Документирайте всички правила и коментари за употреба, за да обясните целта на специалните правила
Опитвайки се да разбера целта на правилото на защитната стена, може да е трудно, особено когато човекът, който първоначално е написал правилото, е напуснал организацията и сте оставени да се опитате да разберете кой може да бъде засегнат от премахването на правилото.
Всички правила трябва да бъдат добре документирани, така че другите администратори да могат да разберат всяко правило и да определят дали е необходимо или трябва да бъдат премахнати. Коментарите в правилата трябва да обясняват:
- Целта на правилото
- Услугата, за която се прилага правилото
- Потребителите / сървърите / устройствата, засегнати от правилото (Кой е той?)
- Датата, в която е добавено правилото и времевата рамка, че правилото е необходимо (т.е. Дали това е временно правило?)
- Името на администратора на защитната стена, който е добавил правилото
Избягвайте използването на & # 34; в "Защитна стена" "Позволявам" правилник
В статията на Cyberoam относно най-добрите практики за правилата за защитната стена те се застъпват да избягват използването на "Всички" в правилата "Позволи" на защитната стена поради потенциални проблеми с трафика и контрола на потока. Те посочват, че използването на "Всяко" може да има непредвиденото следствие от това, че всеки протокол се позволява чрез защитната стена.
& # 34; Отхвърляне на всички & # 34; Първо и след това добавете изключения
Повечето защитни стени обработват правилата си последователно от горната част на списъка с правила до долу. Редът на правилата е много важен. Най-вероятно ще искате да имате правило "Отхвърляне на всички" като първото правило за защитната стена. Това е най-важното от правилата и поставянето му също е от решаващо значение. Поставянето на правилото "Отричай се" на позиция # 1 по същество казва: "Дръж всички и всичко на първо място и тогава ще решим кой и какво искаме да пуснем".
Никога не искате да имате правило "Позволи всички" като първото правило, защото това би попречило на целта да имате защитна стена, тъй като току-що сте позволили на всички да влязат.
След като въведете правилото "Отхвърляне на всичко" на позиция # 1, можете да започнете да добавяте вашите позволени правила под него, за да позволите конкретен трафик във и извън мрежата (при положение, че вашата защитна стена обработва правила отгоре надолу).
Правилата за преглед редовно и премахване на неизползваните правила на регулярна основа
От гледна точка на производителността и сигурността, вие ще искате да "изчистите" защитната стена, която изключва периодично. Колкото по-сложни и многобройни са вашите правила, толкова по-голяма производителност ще бъде повлияна. Ако имате правила, създадени за работни станции и сървъри, които вече не са във вашата организация, може да искате да ги премахнете, за да намалите обема на обработката на правилата и да намалите общия брой вектори на заплаха.
Организирайте правилата за ефективността на защитната стена
Редът на правилата на вашата защитна стена може да окаже голямо влияние върху производителността на вашия мрежов трафик. eWEEk има страхотна статия за най-добрите практики за организиране на правилата на защитната стена за максимално увеличаване на скоростта на трафика. Едно от предложенията им включва включване на някои от бремето на вашата защитна стена, като филтрирате нежелан трафик през крайните маршрутизатори. Вижте статията им за някои други чудесни съвети.