Парады, якія дапамогуць трымаць вас ад атрымання апёкаў
Вы былі абвінавачаныя ў падтрыманні сеткі вашай арганізацыі міжсеткавага экрана ? Гэта можа быць няпростай задачай, асабліва калі сетка абаронена сеткавым экранам мае разнастайнае супольнасць кліентаў, сервераў і іншых сеткавых прылад з патрабаваннямі унікальныя сувязі.
Міжсеткавыя экраны забяспечваюць ключавой пласт абароны для вашай сеткі і з'яўляюцца неад'емнай часткай агульнай абароннага паглыбленай стратэгіі сеткавай бяспекі. Калі не ўдалося і рэалізаваць належным чынам, сеткавы брандмаўэр можа пакінуць раскрытыя дзіркі ў вашай бяспекі, дазваляючы хакерам і злачынцаў у і з вашай сеткі.
Такім чынам, дзе вы нават пачаць у вашай спробе прыручыць гэты звер?
Калі вы проста апусканне і пачаць песціцца са спісамі кантролю доступу, можна незнарок ізаляваць некаторыя крытычна важныя сервера, якія могуць раззлаваць ваш бос і атрымаць вас звольнілі.
Сетка ва ўсіх розная. Там не панацэя ці панацэя для стварэння канфігурацыі брандмаўэра сеткі хакерскага доказы, але ёсць некаторыя прапанаваныя лепшыя практыкі для кіравання брандмаўарам вашай сеткі. Паколькі кожная арганізацыя ўнікальная, наступныя рэкамендацыі не могуць быць «лепш» для кожнай сітуацыі, але, па меншай меры, гэта дасць вам адпраўную кропку для дапамагчы вам атрымаць ваш брандмаўэр пад кантролем, каб не апячыся.
Сфармаваць Савет па кіраванні зменамі брандмаўэра
Фарміраванне брандмаўэра платы кіравання зменамі ў складзе прадстаўнікоў карыстальнікаў, сістэмных адміністратараў, менеджэраў і супрацоўнікаў службы бяспекі можа спрыяць дыялогу паміж рознымі групамі і можа дапамагчы пазбегнуць канфліктаў, асабліва калі прапанаваныя змены абмяркоўваюцца і ўзгоднены з усімі, каго могуць быць закрануты іх да змены.
Маючы кожнае змяненне на галасаванне таксама дапамагае забяспечыць падсправаздачнасць пры ўзнікненні пытанняў, звязаных з канкрэтным змяненнем брандмаўэра.
Абвестка карыстальнікаў і адміністратараў Да брандмаўэра Змены правілаў
Карыстальнікі, адміністратары і серверы сувязі могуць быць закрануты зменамі ў брандмаўэры. Нават, здавалася б, нязначныя змены ў правілы і спісы ACL брандмаўэра могуць мець сур'ёзныя наступствы для падлучэння. Па гэтай прычыне, то лепш за ўсё, каб папярэдзіць карыстальнік прапанаваных змяненняў у правілы брандмаўэра. Сістэмныя адміністратары павінны быць сказана, якія змены прапануюцца, і калі яны ўвайшлі ў сілу.
Калі карыстальнікі або адміністратары маюць якія-небудзь праблемы з прапанаванымі зменамі правілаў брандмаўэра, дастаткова часу павінна быць дадзена (калі гэта магчыма) для таго, каб іх агучыць свае праблемы да ўнясення змяненняў, калі надзвычайная сітуацыя не адбываецца, што патрабуе неадкладных зьменаў.
Дакумент Усе правілы і выкарыстоўваць каментары для тлумачэння мэты спецыяльных правілаў
Спрабуючы высветліць мэта правілы брандмаўэра можа быць цяжка, асабліва калі чалавек, які першапачаткова напісаў правіла пакінуў арганізацыю, і вы засталіся, спрабуючы высветліць, хто можа пацярпець ад выдалення правілы.
Усе правілы павінны быць добра дакументаваны, каб іншыя адміністратары могуць зразумець кожнае правіла і вызначыць, калі гэта неабходна, ці павінна быць выдалена. Каментары ў правілах павінны растлумачыць:
- Мэта гэтага правіла
- Служба, што правіла для
- Карыстальнікі / сервера / прылада, закрануты правіла (Хто гэта?)
- Дата была дададзеная норма і часовыя рамкі, што правіла трэба (гэта значыць Ці гэта часовае правіла?)
- Імя адміністратара брандмаўэра, які дадаў правілы
Пазбягайце выкарыстанне & # 34; & # Любыя 34; у брандмаўэры & # 34; & # Дазволіць 34; правілы
У артыкуле Cyberoam ў дачыненні да правілаў брандмаўэра найлепшай практыкі, яны выступаюць за адмову ад выкарыстання «любых» у «Дазволіць» правілы брандмаўэра, з-за патэнцыйны трафік і струмень пытанняў кіравання. Яны паказваюць на тое, што выкарыстанне «любы» можа мець непажаданыя наступствы, дазваляючы кожнаму пратаколу праз брандмаўэр.
& # 34; Забараніць ўсе & # 34; Па-першае, і дадайце выключэння
Большасць брандмаўэраў апрацоўваць свае правілы паслядоўна ад верхняй частцы спісу правілаў у ніжняй часткі. Парадак правілаў вельмі важна. Вы, хутчэй за ўсё, хочуць мець «забараніць усе» правіла ў якасці першага правілы брандмаўэра. Гэта найбольш важны з правілаў, і яго размяшчэнне таксама мае вырашальнае значэнне. Увод «забараніць усе» правіла ў пазіцыі № 1 у асноўным кажуць «трымаць ўсіх і ўсё спачатку, а потым мы вырашым, хто і што мы хочам, каб у».
Вы ніколі не хочаце мець «Allow All» правіла ў якасці першага правілы, таму што гэта параза мэты мець брандмаўэр, як вы толькі што хай кожны ст.
Калі ў вас ёсць «Забараніць ўсё» правілы на месцы ў пазіцыі # 1, вы можаце пачаць дадаваць свае правілы дазваляюць ніжэй, каб ланцужок пэўнага трафіку ў і з вашай сеткі (мяркуючы, што вашы правілы працэсаў брандмаўэра зверху ўніз).
Агляд Правілы Рэгулярна і выдаліць невыкарыстоўваныя правілы на рэгулярнай аснове
Па абодвум прычынах прадукцыйнасці і бяспекі, вы будзеце жадаць «ачысціць крыніца» правілы брандмаўэра перыядычна. Больш складаныя і шматлікія вашы правілы, тым больш прадукцыйнасць будзе закранута. Калі ў вас ёсць правілы, пабудаваныя для працоўных станцый і сервераў, якія нават не ў вашай арганізацыі больш, то вы можаце выдаліць іх, каб дапамагчы паменшыць вашыя правілы апрацоўкі накладных выдаткаў і, каб дапамагчы знізіць агульную колькасць вектараў пагроз.
Арганізоўваць правілы брандмаўэра для павышэння прадукцыйнасці
Парадак прытрымлівання правілаў брандмаўэра можа аказаць істотны ўплыў на прапускную здольнасць сеткавага трафіку. EWeek мае вялікі артыкул пра лепшых метадах арганізацыі правілы брандмаўэра для забеспячэння максімальнай хуткасці руху. Адзін з іх прапаноў ўключае ў сябе прыняцце некаторых нягод ад вашага брандмаўэра з дапамогай фільтрацыі непажаданага трафіку з вашых праз межавыя маршрутызатары. Праверце свой артыкул для некаторых іншых выдатных саветаў.