Padomi, kas palīdzēs jums neļaut sadedzināt
Vai jums ir vainots par uzņēmuma tīkla ugunsmūra saglabāšanu ? Tas var būt grūts uzdevums, jo īpaši, ja ugunsmūra aizsargātajam tīklam ir daudzveidīga klientu, serveru un citu tīkla ierīču kopiena ar unikālām saziņas prasībām.
Ugunsmūri nodrošina galveno aizsardzības līmeni jūsu tīklam un ir neatņemama jūsu visaptverošās padziļinātas tīkla drošības stratēģijas sastāvdaļa. Ja tas nav pareizi pārvaldīts un īstenots, tīkla ugunsmūris var atstāt nestabilus caurumus jūsu drošībā, ļaujot hakeriem un noziedzniekiem izmantot jūsu tīklu un no tā.
Tātad, kur jūs pat sākat mēģināt pielīdzināt šo zvēru?
Ja jūs vienkārši ienirsit un sāksit piekļūt ar piekļuves kontroles sarakstiem, jūs varētu nejauši izolēt kādu misijai kritisku serveri, kas varētu nomākt jūsu bosu un nogādāt jūs.
Ikvienu tīkls ir atšķirīgs. Lai novērstu hacker-proof tīkla ugunsmūra konfigurāciju, nav nekādas panaceā vai izārstēt, bet ir daži ieteicamie labākie piemēri tīkla ugunsmūra pārvaldībai. Tā kā katra organizācija ir unikāla, šādas vadlīnijas var nebūt "vislabākās" katrai situācijai, bet vismaz tas nodrošinās sākuma punktu, lai palīdzētu jums kontrolēt ugunsmūri, lai jūs netiktu dedzināti.
Veidojiet Firewall Change Control Board
Ugunsmūra maiņas vadības panelis, ko veido lietotāju pārstāvji, sistēmas administratori, vadītāji un drošības darbinieki, varētu veidot dialogu starp dažādām grupām, un tas var palīdzēt izvairīties no konfliktiem, jo īpaši, ja ierosinātās izmaiņas tiek apspriestas un saskaņotas ar visiem, kurus var ietekmēt viņiem pirms izmaiņām.
Balsojot par katru no izmaiņām, tas palīdz nodrošināt atbildīgumu, ja rodas jautājumi saistībā ar konkrētu ugunsmūra maiņu.
Brīdinājuma lietotāji un administratori pirms ugunsmūra noteikumu maiņas
Lietotājus, administratorus un servera sakarus var ietekmēt ugunsmūra izmaiņas. Pat šķietami nelielas izmaiņas ugunsmūra noteikumos un ACL var būtiski ietekmēt savienojamību. Šī iemesla dēļ vislabāk ir brīdināt lietotājus par ierosinātajām ugunsmūra noteikumu izmaiņām. Sistēmas administratoriem jāpaziņo, kādas izmaiņas ir ierosinātas un kad tie stājas spēkā.
Ja lietotājiem vai administratoriem ir kādi jautājumi saistībā ar ierosinātajām izmaiņām ugunsmūra regulējumā, jāpadara pietiekami ilgs laiks (ja tas ir iespējams), lai viņi varētu izteikt savas bažas, pirms tiek veiktas izmaiņas, ja vien nav notikusi ārkārtas situācija, kas prasa tūlītējas izmaiņas.
Dokumentu visus noteikumus un izmantot komentārus, lai paskaidrotu īpašo noteikumu mērķi
Mēģinājums noskaidrot ugunsmūra kārtulas mērķi var būt grūti, jo īpaši, ja persona, kas sākotnēji rakstīja šo noteikumu, ir atstājusi organizāciju, un jūs paliekat mēģināt noskaidrot, kurš no likuma izņemšanas varētu ietekmēt.
Visiem noteikumiem jābūt labi dokumentētiem, lai citi administratori varētu saprast katru noteikumu un noteikt, vai tas ir nepieciešams vai arī tas būtu jāatceļ. Noteikumu komentāros būtu jāpaskaidro:
- Noteikuma nolūks
- Pakalpojums, kas paredzēts šim noteikumam
- Lietotāji / serveri / ierīces, uz kurām attiecas noteikums (Kas tas ir?)
- Noteikuma pievienošanas datums un laika posms, kam vajadzīgs noteikums (ti, vai tas ir pagaidu noteikums?)
- Nosaukums ugunsmūra administrators, kurš pievienoja noteikumu
Izvairieties no jebkuras & # 34; in Firewall & # 34; Atļaut & # 34; Noteikumi
Cyberoam rakstā par ugunsmūra noteikumu labāko praksi viņi aizliedz izvairīties no "Jebkura" izmantošanas sadaļā "Atļaut" ugunsmūra noteikumus, ņemot vērā iespējamās satiksmes un plūsmas kontroles problēmas. Viņi norāda, ka jebkura veida izmantošanai var būt nevēlamas sekas, atļaujot katru protokolu izmantot ugunsmūri.
& # 34; Aizliegt visu & # 34; Pirmais un pēc tam pievienojiet izņēmumus
Lielākā daļa ugunssienu apstrādā savus noteikumus secīgi no noteikumu saraksta augšdaļas uz apakšdaļu. Noteikumu secība ir ļoti svarīga. Visticamāk, vispirms vēlaties, lai jūsu pirmais ugunsmūra noteikums būtu kārtulas "Aizliegt visu". Tas ir vissvarīgākais no noteikumiem, un tā izvietošana ir arī izšķiroša. Ietverot noteikumu "Atteikties no visiem" pozīcijā Nr. 1, būtībā jāsaka: "Vispirms glabājiet visu un viss, un tad mēs izlemsim, kurš un ko mēs vēlamies iekļūt".
Jūs nekad nevēlaties, lai jūsu pirmais noteikums būtu kārtulas "Atļaut visu", jo tas varētu pārspēt ugunsmūra izveides mērķi, jo jūs to esat atļāvis visiem.
Kad esat atradis savu 1. pozīcijas statusu "Aizliegt visu", jūs varat sākt pievienot zemāk esošos atļaušanas noteikumus, lai noteiktu konkrētu datplūsmu jūsu tīklā un no tā (pieņemot, ka ugunsmūris apstrādā noteikumus no augšas uz leju).
Regulāri pārskatiet Noteikumus un regulāri atceļiet neizmantotos noteikumus
Gan veiktspējas, gan drošības nolūkos jūs gribat "atsvaidzināt", jūsu ugunsmūris periodiski izslēdz. Jo sarežģītāki un daudzi ir jūsu noteikumi, jo lielāka veiktspēja tiks ietekmēta. Ja jums jau ir izveidoti noteikumi par darbstacijām un serveriem, kas vēl nav jūsu organizācijā, tad, iespējams, vēlēsities tos noņemt, lai palīdzētu samazināt jūsu noteikumus, apstrādājot pieskaitāmās izmaksas un palīdzot samazināt kopējo draudu vektoru skaitu.
Organizējiet ugunsmūra noteikumus par veiktspēju
Jūsu ugunsmūra noteikumu kārtība var būtiski ietekmēt tīkla trafika caurlaidspēju. eWEEk ir lielisks raksts par labāko praksi, kā organizēt ugunsmūra noteikumus, lai maksimāli palielinātu satiksmes ātrumu. Viens no viņu ierosinājumiem ietver dažu apgrūtinājumu novēršanu jūsu ugunsmūrī, filtrējot dažus nevēlamus datplūsmas datus, izmantojot jūsu malu maršrutētājus. Pārbaudiet savu rakstu par dažiem citiem lieliskiem padomiem.