Pokročilá konfigurace firewallu na serverech

Informatec Digital » Zdroje » Pokročilá konfigurace firewallu na serverech

Ovládněte pokročilá konfigurace firewallu na serverech Už to není jen záležitost velkých korporací. Každá společnost, která bere kybernetickou bezpečnost vážně, musí rozumět tomu, jak segmentovat síť, definovat zóny, vytvářet podrobná pravidla a co nejlépe využít perimetrický firewall i samotný firewall systému Windows na každém počítači a serveru.

V této příručce se do značné míry podrobně seznámíte s tím, jak Firewally nové generace (NGFW)Jak navrhnout zóny (LAN, WAN, DMZ, VLAN), jaké typy pravidel použít (program, port, protokol, IP…), jak využít výhod Brána firewall systému Windows s pokročilým zabezpečenímJakou roli hrají nástroje jako SimpleWall a jaké osvědčené postupy by měly být dodržovány, aby se z celé této struktury nestal nezvladatelný chaos?

Firewally nové generace na serverech: mnohem více než jen filtrování portů

Firewally nové generace, jako např. FortiGate NGFWKombinují pokročilé síťové funkce a hluboké zabezpečení v jednom zařízení. Nejenže otevírají nebo zavírají porty, ale analyzují provoz na úrovni aplikací, kontrolují šifrovaný obsah a integrují se s komplexními cloudovými, LAN, WLAN a architekturami vzdáleného přístupu.

V případě FortiGate je srdcem systému FortiOSSpecifický operační systém, který sjednocuje bezpečnostní zásady a síťové funkce: integrovaná SD-WAN, univerzální ZTNA, řízení provozu v bezdrátových i kabelových sítích a centralizovaná správa díky FortiManageru.

Tyto týmy se navíc spoléhají na proprietární architektura ASIC (dedikované čipy) pro urychlení kontroly a dešifrování paketů bez snížení výkonu nebo prudkého zvýšení spotřeby energie, a to i při velkém zatížení sítě a stovkách nebo tisících simultánních relací.

Ochrana před hrozbami je posílena díky Služby FortiGuardukteré přidávají umělou inteligenci pro detekci malwaru, podezřelého provozu, exploitů a cílených útoků, čímž vše zapadá do konceptu Fortinet Security Fabric: bezpečnostní struktury, která zahrnuje síť, koncové body a cloud, aby koordinovaně reagovala na incidenty.

Návrh zón firewallu a segmentace sítě na serverech

Než začnete vytvářet pravidla, jako by zítřek neexistoval, musíte navrhnout... architektura zón a segmentace sítěČím plošší je síť, tím snadněji se útočník může pohybovat do stran, jakmile se dovnitř dostane.

Prvním krokem je identifikovat klíčová aktiva a službyWebové servery, databáze, interní aplikace, pokladní zařízení, VoIP ústředny, hostující sítě atd. V závislosti na jejich kritické hodnotě a expozici jsou seskupeny do různých logických zón.

Standardní praxí je vytvořit DMZ (demilitarizovaná zóna) Servery, které poskytují služby přímo internetu (e-mail, VPN, webové aplikace, veřejné portály atd.), musí být izolovány jak od externí sítě, tak od nejcitlivější interní sítě, aby se co nejvíce omezil přenos dat mezi různými oblastmi.

Servery, ke kterým je možné přistupovat pouze zvnitro organizace, se nacházejí v interní serverové oblastiTy jsou zase odděleny od uživatelské sítě, řídicí sítě a jakéhokoli laboratorního nebo testovacího prostředí. Aby to bylo praktické, je běžné používat přepínače s podporou... VLAN udržovat oddělení i na úrovni 2.

V prostředích IPv4 musí všechny interní sítě používat soukromé rozsahy (RFC1918) a spoléhají se na mechanismy NAT pro přístup k internetu. Překlad se obvykle provádí na perimetrickém firewallu, který také vynucuje zásady pro příchozí a odchozí provoz pro každou konkrétní zónu.

Seznamy řízení přístupu (ACL) a pravidla mezi zónami

Jakmile jsou zóny definovány a přiřazeny k rozhraním nebo podrozhraním firewallu, je čas... ACL (seznamy řízení přístupu)což jsou pravidla, která rozhodují o tom, jaký provoz je mezi těmito zónami povolen a jaký je odmítnut.

Cílem je definovat pro každé rozhraní nebo podrozhraní sadu pravidel, která jsou co nejjednodušší. specifické a granulární Mezi možné požadavky patří: zdrojová IP adresa nebo podsíť, cílová IP adresa nebo podsíť, protokol (TCP, UDP, ICMP atd.), zúčastněné porty a akce (povolit nebo zakázat). Čím méně obecná pravidla, tím méně bezpečnostních mezer bude.

Dobrým postupem je ukončit každý ACL pravidlem implicitní „popírání všeho“Toto funguje jako bezpečnostní síť: pokud paket neodpovídá žádnému z již existujících pravidel oprávnění, je blokován. Následně se vytvářejí velmi specifické výjimky pro toky, které jsou skutečně potřebné.

Je také vhodné vypnout veřejný přístup k administračním rozhraním firewallu (HTTP, HTTPS, SSH atd.), což umožňuje správu pouze z velmi specifických interních sítí nebo prostřednictvím zabezpečené VPN pro správu.

Moderní NGFW mohou jít nad rámec portů a IP a využívat ovládání aplikacíWebové kategorie, IPS a pokročilá analýza souborů (sandbox). Pokud jste si tyto funkce již zaplatili, má smysl je aktivovat a konfigurovat v kritických pracovních postupech, zejména těch, které překračují hranice sítě.

Permisivní firewall vs. restriktivní firewall na serverech

Klíčovým bodem při navrhování zásad firewallu (ať už perimetru nebo operačního systému) je rozhodnutí, zda začít s nastavením pozice. permisivní nebo omezující.

V jednom permisivní firewall Konečným implicitním pravidlem je „povolit vše“. Blokováno je pouze to, co je explicitně definováno pravidly pro zakázání. Tento přístup se obvykle používá v důvěryhodných místních sítích (LAN) nebo v počítačích konfigurovaných jako „privátní síť“ ve Windows.

V jednom omezující firewall Opak nastane: konečným pravidlem je „zakázat vše“. Povolen je pouze provoz, který splňuje explicitní pravidla povolení. Tato filozofie je běžná v rozhraní rozlehlé sítě (WAN), ve firewallech, jako je pfSense nebo firemní NGFW, a v zařízeních konfigurovaných jako „veřejná síť“.

Například Windows používá ve výchozím nastavení restriktivní politika pro příchozí připojení (blokuje vše, co není výslovně povoleno) a tolerantní politika ohledně výdajů (Povolí vše kromě toho, co jste zablokovali.) Toto lze upravit v pokročilých vlastnostech firewallu.

Co může brána firewall systému Windows na serverech skutečně nabídnout?

El Brána firewall systému Windows s pokročilým zabezpečením Je mnohem výkonnější, než si mnoho lidí uvědomuje. Dokáže řídit příchozí a odchozí provoz, filtrovat podle IP adresy, portu, protokolu, služby, síťového rozhraní, typu profilu (doména, soukromý, veřejný) a v některých scénářích dokonce i podle uživatele nebo skupiny.

Mezi jeho schopnostmi vynikají následující: filtrování paketů Na nízké úrovni generuje podrobné protokoly (které lze poté analyzovat pomocí Prohlížeče událostí nebo odeslat do SIEM), detekuje veřejné sítě pro automatické použití přísnějšího profilu a integruje se s dalšími vrstvami zabezpečení, jako je Windows Defender.

Pro malé firmy a mnoho serverových prostředí může být dobře nakonfigurovaný server víc než dostZejména v kombinaci s robustním antivirovým softwarem a osvědčenými postupy správy. Je však důležité si být vědom jeho omezení: nenahrazuje perimetrický NGFW ani dedikovaný IPS.

Jako slabé stránky je třeba zmínit, že firewall systému Windows tuto funkci ve výchozím nastavení nenabízí. hloubková kontrola paketů Díky pokročilým signaturám nativně neblokuje systémovou telemetrii, jeho oznámení jsou diskrétní (sotva vás upozorní na nová připojení) a způsob prohlížení protokolů není pro netechnické uživatele uživatelsky přívětivý.

Přístup k bráně firewall systému Windows s pokročilým zabezpečením

Správa pokročilých nastavení brány firewall v prostředí Doména služby Active DirectoryV ideálním případě by člověk měl pracovat s GPO (objekty skupinových zásad)Je nezbytné patřit do skupiny Domain Administrators nebo mít delegovaná oprávnění k objektům GPO.

Z konzole pro správu zásad se můžete pohybovat Zásady > Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Brána firewall systému Windows s pokročilým zabezpečenímTam lze definovat společná pravidla pro klientské počítače a servery připojené k doméně.

Pokud je to asi jeden server nebo lokální počítačNa daném zařízení potřebujete pouze administrátorská oprávnění. Nejrychlejší způsob, jak otevřít konzoli, je stisknout START a zadat wf. msc a stiskněte Enter. Otevře se konzola brány firewall systému Windows s pokročilým zabezpečením pro daný počítač.

Na hlavní obrazovce se zobrazí pravidla pro příchozí připojení, pravidla pro odchozí připojení, pravidla zabezpečení připojení a konfiguraci různých profilů (doménový, soukromý, veřejný) spolu s monitorovací oblastí, kde jsou viditelná pouze aktivní pravidla.

Profily, globální zásady a výchozí chování

Panel vlastností brány firewall řídí globální možnosti pro každý síťový profil (doména, soukromá, veřejná). Tyto možnosti určují, jak se firewall chová, když je síťový adaptér přidružen ke konkrétnímu typu sítě.

U každého profilu můžete rozhodnout, zda je firewall povolen. zapnuto nebo vypnutoZda jsou příchozí připojení, která neodpovídají žádnému pravidlu, blokována nebo povolena, a totéž platí pro odchozí připojení.

Lze také upravit parametry, jako například následující: oznámení při blokování programu, místo, kde se protokoly firewallu, maximální velikost těchto protokolů a speciální zacházení s provozem chráněným tunely IPsec VPN, které je obecně považováno za spolehlivější.

V Dozor Zobrazují se všechna aktuálně aktivní pravidla, včetně pravidel z objektů skupinových zásad (GPO) a pravidel definovaných lokálně. Zde můžete zjistit, která pravidla jsou skutečně aktivní a s jakými parametry, a odtud můžete otevřít a upravit jejich vlastnosti.

Pravidla pro vjezd a výjezd: směr provozu

Při práci s pravidly v bráně firewall systému Windows je jednou z nejčastějších chyb matoucí směr provozuPravidla pro příchozí pakety se vztahují na pakety přicházející do počítače; pravidla pro odchozí pakety se vztahují na pakety odesílané z počítače do jiného počítače.

Pokud je cílem zabránit připojení z internetu k serveru, bude nutné vytvořit nebo upravit vstupní pravidlaPokud je naopak cílem zabránit serverové službě nebo programu v připojení k vnějšímu prostředí, je nutné podniknout kroky na pravidla pro odchod.

Každá položka v seznamu označuje, zda je pravidlo povoleno (zelená ikona zaškrtnutí) nebo zakázáno. Zakázaná pravidla neovlivňují provoz, i když jsou stále definována. Je běžné najít mnoho předdefinovaných pravidel systému Windows, která jsou přítomna, ale nejsou aktivní, dokud nejsou potřeba.

Abychom dobře pochopili tok zdroje/cíle a lokální/vzdálený port To je nezbytné, aby se zabránilo vytváření pravidel, která se nikdy nepoužijí nebo která se otevírají více, než je skutečně nutné, což je velmi běžné při konfiguraci složitých služeb.

Typy pravidel v bráně firewall systému Windows

Průvodce novým pravidlem brány firewall systému Windows nabízí čtyři hlavní kategorie: program, port, předdefinované a vlastníKaždý z nich je určen pro jiný scénář a je důležité pečlivě vybírat v závislosti na tom, čeho chcete dosáhnout.

Pravidla program zaměření na konkrétní spustitelný soubor; ty přístav Filtrují podle čísla portu TCP nebo UDP; předdefinováno Zjednodušují správu známých služeb systému Windows; a osobní Umožňují velmi jemné doladění kombinací více kritérií najednou.

Ve všech případech se průvodce zeptá, jakou akci chceme použít (povolit, povolit pouze v případě zabezpečení pomocí IPsec nebo blokovat) a na které síťové profily se toto pravidlo bude vztahovat (doména, soukromý, veřejný). Nakonec se zobrazí otázka jméno a popis aby se to dalo později snadno identifikovat.

Na kritických serverech se vyplatí věnovat čas řádné dokumentaci pravidel, která uvedou jakou službu chrání a proč existujeaby v budoucích auditech nebo změnách nevznikly pochybnosti o jeho užitečnosti.

Pravidla podle programu: jemná kontrola specifických služeb

Pravidla typů program Jsou pohodlným způsobem, jak řídit provoz aplikace, aniž byste si museli pamatovat všechny porty, které používá. Lze je použít jak pro příchozí, tak pro odchozí provoz.

V průvodci vyberte možnost „Cesta k tomuto programu“ a zadejte cesta ke spustitelnému souboruProměnné prostředí je možné použít k zajištění správného použití pravidla, i když je program nainstalován v různých cestách na různých počítačích.

Na serverech, které hostují služby v rámci svchost.exe U ostatních kontejnerů s více službami je možné pravidlo přizpůsobit tak, aby se vztahovalo pouze na konkrétní služby, a to výběrem služby podle jejího krátkého názvu. To umožňuje rozlišit například provoz konkrétní služby RPC v rámci stejného procesu.

Důrazně se doporučuje kombinovat programové pravidlo s omezeními na kartě Protokoly a portyexplicitní určení, na kterých portech může daná aplikace naslouchat nebo je používat. Pokud se pokusíte otevřít jiný port, firewall jej zablokuje.

Pravidla portů: klasické filtrování TCP/UDP

Pravidla typů přístav Umožňují povolit nebo blokovat provoz na základě čísla lokálního nebo vzdáleného portu a protokolu (primárně TCP nebo UDP). Lze je použít pro pravidla pro příchozí i odchozí poštu.

V typickém pravidle pro příchozí komunikaci se například otevírá TCP port 21Je vybrána možnost TCP, je uvedeno „specifické lokální porty“ a je zadáno číslo 21. Lze zadat více portů oddělených čárkami (např. 21, 20, 22) nebo rozsahy, například 5000–5100, a dokonce i kombinovat jednotlivé porty a rozsahy v jednom pravidle.

Dále se rozhodnete pro akci (povolit, povolit, pokud je bezpečné, blokovat) a profily, kde bude použita. Je to jednoduchý způsob, jak otevřít určité standardní služby (HTTP, HTTPS, RDP atd.), aniž byste museli zacházet do podrobností o konkrétních programech.

V případě pravidla pro odchodNejběžnější praxí je specifikovat vzdálený port, protože se jedná o cíl, ke kterému se server pokouší připojit. Typickým případem použití by bylo blokování veškeré odchozí komunikace na podezřelé porty nebo omezení komunikace určitých aplikací pouze na velmi specifických portech.

Předdefinovaná a přizpůsobená pravidla

the předdefinovaná pravidla Seskupují hotové konfigurace pro běžné služby systému Windows (sdílení souborů a tiskáren, vzdálená plocha atd.). Stačí vybrat službu, označit, zda ji povolit nebo zablokovat, vybrat profily a je hotovo.

Tato možnost je praktická, pokud chcete rychle povolit nebo omezit interní službu, aniž byste museli v každém případě zkoumat, které porty a protokoly používá. Systém v zákulisí vytváří několik specifických pravidel, která danou službu pokrývají.

the vlastní pravidla Tyto jsou nejkomplexnější a nabízejí největší kontrolu. Umožňují zadat všechny parametry: program (nebo všechny programy), typ služby, IP protokol (se seznamem TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route atd.), kombinaci lokálních a vzdálených portů, zdrojových a cílových IP adres (včetně rozsahů a podsítí) a další podmínky.

V protokolech jako ICMPv4 nebo ICMPv6 si můžete zvolit, zda chcete Podporují všechny typy ICMP nebo pouze určité zprávy (požadavek na odezvu, odpověď na odezvu, překročení času atd.). Můžete dokonce definovat specifické typy a kódy, které se v obecném seznamu nezobrazují.

Také při definování IP adres v sekci rozsahu průvodce umožňuje přidat celé rozsahy nebo podsítě (například 192.168.10.0/24) pro další zúžení výběru zařízení, která mohou dané pravidlo používat, a to jak lokálně, tak vzdáleně.

Pravidla pro příchozí protokoly ICMP na serverech

Zda povolit ICMP provoz na serveru, či nikoli, je strategické rozhodnutí. pravidlo pro příchozí ICMP Umožňuje zařízení reagovat na pingy a určité diagnostické zprávy sítě, což je velmi užitečné pro administrativní úkoly, ale může také poskytnout informace útočníkovi.

Chcete-li vytvořit pravidlo příchozí ICMP v bráně firewall systému Windows, otevřete rozšířenou konzoli a přejděte na Pravidla vstupu a vytvoří se nové vlastní pravidlo. V sekci programů obvykle vyberete možnost „Všechny programy“.

Na obrazovce protokolu vyberte ICMPv4 nebo ICMPv6 To závisí na použitém síťovém stacku. Pokud pracujete s IPv4 i IPv6, budete muset pro každý z nich vytvořit pravidlo. Možnost přizpůsobení vám umožňuje vybrat konkrétní typy ICMP, které chcete povolit (pouze echo request/echo reply nebo širší sada).

Dále se definuje rozsah (na které IP adresy lze pingnout), akce (obvykle povolení připojení) a síťové profily, kde se pravidlo projeví. Nakonec se pravidlu přiřadí popisný název pro snadnou identifikaci.

Pravidla pro příchozí a odchozí služby nebo programy

V některých scénářích je přáním nechat Specifická služba, poslech příchozího provozu na jakémkoli portu, který potřebuje, nebo přesně naopak: zabránit programu v komunikaci s okolním světem přes jakýkoli port.

Pro příchozí část se vytvoří vlastní pravidlo, vybere se „Cesta k tomuto programu“ a zadá se spustitelný soubor služby. Toto pravidlo lze poté upravit tak, aby se pravidlo vztahovalo pouze na služby hostované v daném spustitelném souboru, a to výběrem služby podle jejího krátkého názvu.

Dokonce je zde možnost upravit typ SID služby pomocí příkazu sc sidtype Toto ovlivňuje, jak lze danou službu používat v rámci pravidel firewallu. Změna na OMEZENO může zabránit jejímu spuštění, proto by se to mělo dělat opatrně a pouze tehdy, když je tento typ ochrany potřeba.

Pro odchozí část je postup podobný, ale vytvoření pravidlo ukončeníPokud chcete danému programu zcela zablokovat přístup k internetu, definujte cestu ke spustitelnému souboru, nastavte akci na „Blokovat připojení“ a vyberte profily, které chcete omezit.

Speciální konfigurace pro RPC a dynamické porty

Služby, které používají RPC (vzdálené volání procedury) Tato komunikace může být obzvláště citlivá, protože používá dynamické porty, které systém přiřazuje za běhu. Aby bylo možné tuto komunikaci kontrolovaně povolit přes firewall systému Windows, je obvykle nutné vytvořit dvě specifická pravidla.

První míří do Služba přiřazování koncových bodů RPC, který se nachází v souboru %systemroot%\system32\svchost.exe. Pravidlo je přizpůsobeno tak, aby se vztahovalo na službu RpcSs, jako protokol je nastaven TCP a pro místní port je vybrána možnost „Mapovač koncových bodů RPC“.

Druhé pravidlo je vytvořeno pro Síťová služba s povoleným RPC který chceme povolit, s uvedením cesty ke spustitelnému souboru, který jej hostuje, a také jeho přidružením k dané službě. V tomto případě jsou pro lokální port zvoleny „dynamické porty RPC“.

V obou pravidlech se poté upraví rozsah (povolené IP adresy), akce (povolení připojení) a profily. Tímto způsobem mohou výhody přesměrování RPC portů využívat pouze zařízení a služby, které splňují tyto podmínky.

Protokolování, auditování a řešení problémů s firewally systému Windows

Když něco nefunguje tak, jak by mělo, protokol firewallu a události auditu jsou první zdroj informacíJe vhodné mít sběr protokolů správně nakonfigurovaný, než ho budete potřebovat.

Ve vlastnostech brány firewall si můžete na kartě každého profilu přizpůsobit cesta k souboru protokoluMaximální velikost v KB a to, zda se zaznamenávají zahozené pakety, úspěšná připojení nebo obojí. V serverových prostředích je obvykle vhodné zaznamenávat obojí, abyste měli jasný přehled.

Na druhou stranu, pomocí nástroje příkazového řádku auditpol.exe Lze povolit specifické podkategorie auditu, jako například změny zásad, aby systém generoval podrobné události při změně zásad firewallu nebo IPsec.

Při vyšetřování problému je užitečné zachytit stav sítě pomocí netstat -ano > netstat.txt a seznam procesů s seznam úkolů > seznam úkolů.txtPorovnáním PID procesů v seznamu úloh s aktivními připojeními v nástroji netstat je možné zjistit, který program používá konkrétní port.

Ve složitých scénářích poskytuje společnost Microsoft skripty, jako například TSS.ps1 shromažďovat pokročilé stopy filtrovacího modulu Windows (WFP), které jsou následně zabaleny do souboru ZIP a lze je analyzovat nebo odeslat technické podpoře.

Externí nástroje: SimpleWall a firewally třetích stran

Brána firewall zabudovaná ve Windows funguje dobře, ale často se na ni zapomíná. intuitivnější rozhraní a jasná oznámení, když se aplikace poprvé pokusí o přístup k internetu. A právě zde přicházejí na řadu řešení třetích stran.

Jednou z lehkých open-source možností pro Windows je Jednoduchá zeďSpoléhá na platformu Windows Filtering Platform (WFP), ale přímo neupravuje bránu firewall systému Windows. Místo toho si prostřednictvím WFP vytváří vlastní pravidla pro řízení přístupu aplikací.

Mezi jeho vlastnosti patří jednoduchý editor pravidelInterní seznamy pro blokování telemetrie a špionáže systému Windows, protokoly blokovaných paketů, kompatibilita s IPv6 a podpora systémových služeb a aplikací z obchodu Microsoft Store.

SimpleWall umožňuje vytvářet trvalá nebo dočasná pravidla (která po restartu zmizí), aktivovat filtry globálně a klasifikovat programy jako povolené, blokované nebo tiše blokované. Aby se však vaše pravidla projevila, musí SimpleWall běžet na pozadí.

Kromě SimpleWall se někteří uživatelé rozhodnou pro komerční firewally s dalšími funkcemi: hloubková inspekce paketů, předkonfigurované seznamy proti trasování, sandbox, behaviorální analýza, pokročilé grafické řídicí panely a vylepšený přehled o odchozím provozu. Mnoho z těchto produktů se integruje s bránou firewall systému Windows nebo ji částečně nahrazuje.

Výkon, výhody a nevýhody použití firewallů na serverech

Používání firewallu, ať už na úrovni perimetru nebo operačního systému, má malé náklady na výkonProtože každý síťový paket je analyzován podle jednoho nebo více pravidel. To se může projevit na zařízeních s velmi omezeným nebo velmi starým hardwarem. Zkontrolujte Průvodce optimalizací Linuxového serveru zmírnit dopady.

Výhodou však je, že má první obranná bariéra Je to obrovské: snižuje vystavení externím útokům, řídí, které aplikace se mohou připojit zvenčí, generuje užitečné protokoly pro audit a přizpůsobuje úroveň ochrany v závislosti na tom, zda se nacházíte v důvěryhodné nebo veřejné síti.

Hlavní nevýhody, kromě vlivu na výkon, jsou složitost údržby (zejména u nezkušených uživatelů) a falešný pocit bezpečí: firewall nenahradí dobrý antivirus, aktualizace systému ani samozřejmě selský rozum administrátora.

Správná správa pravidel navíc vyžaduje čas: kontrolu toho, co se skutečně používá, odstranění zastaralých pravidel, dokumentaci změn a ověření, zda při provádění rychlých testů nebo dočasných výjimek nezůstaly neúmyslně otevřené žádné mezery.

Pokročilé osvědčené postupy pro zabezpečení firewallu na serverech

V seriózním serverovém prostředí nestačí jen nastavit čtyři pravidla a zapomenout na ně. Existuje řada... dobré praxe které pomáhají udržet kontrolu a snížit dlouhodobá rizika.

Prvním je aplikovat princip nejmenšího privilegia (PoLP)To platí jak pro uživatele, tak pro pravidla. Vyhýbá se obecným pravidlům typu „povolit vše z jakékoli IP adresy“ a místo toho definuje pravidla přizpůsobená konkrétním IP adresám nebo podsítím, konkrétním portům a známým aplikacím.

Dalším klíčovým faktorem je údržba firewallu a jeho součástí. vždy aktualizovánaTo zahrnuje aplikaci záplat operačního systému, firmwaru fyzického firewallu, signatur IPS a veškerých aktualizací vydaných dodavatelem, nejlépe po otestování v testovacím prostředí.

Nakonec je nezbytné nasadit efektivní monitorování a zaznamenáváníOdesílejte protokoly do SIEM, definujte upozornění na podezřelé vzorce (například mnoho paketů blokovaných ze stejné IP adresy) a pravidelně kontrolujte protokoly, nejen je shromažďujte „pro jistotu“.

Kromě logické vrstvy, fyzická bezpečnost Mezi důležité funkce firewallu patří: zařízení v uzavřených raccích, omezený přístup do technické místnosti a zálohy konfigurace, které umožňují rychlé obnovení provozu, pokud po změně dojde k poruše.

Další vrstvy: filtrování URL, VPN, IPS, QoS a řízení aplikací

Většina moderních NGFW umožňuje povolit pokročilé funkce, které doplňují základní filtrování paketů a pravidla IP/portů.

El Filtrování URL adres Umožňuje vám klasifikovat webové stránky podle kategorií (malware, sociální sítě, obsah pro dospělé, P2P stahování atd.) a blokovat ty, které jsou považovány za nevhodné nebo nebezpečné, což pomáhá jak posílit zabezpečení, tak i vymáhat zásady přijatelného používání.

the VPNAť už se jedná o přístup typu site-to-site nebo vzdálený přístup, VPN se spoléhají na protokoly jako IPsec nebo SSL/TLS k šifrování provozu mezi pobočkami a vzdálenými uživateli. Firewally obvykle integrují ukončení těchto VPN a uplatňují na šifrovaný provoz stejné zásady řízení jako na zbytek sítě.

Un Systém prevence narušení (IPS) Kontroluje provoz v reálném čase a hledá známé vzorce útoků nebo podivné chování a dokáže automaticky blokovat připojení, která se pokoušejí zneužít zranitelnosti systému nebo aplikace.

El ovládání aplikací Poskytuje mnohem větší přehled než jen o portu: umožňuje vám rozhodnout, které konkrétní aplikace (např. Skype, Dropbox, herní aplikace atd.) jsou povoleny nebo blokovány, a to i v případě, že používají standardní nebo šifrované porty.

Konečně Quality of Service (QoS) Umožňuje upřednostnit kritický provoz (hlas, videokonference, obchodní aplikace) před méně důležitými toky, čímž zabraňuje tomu, aby se masivní stahování nebo zálohování zvrhlo v síť nepoužitelnou pro koncového uživatele.

Důkladně se starat o pokročilá konfigurace firewallu na serverechOd návrhu zón a podrobných pravidel až po použití funkcí nové generace, protokolování, auditování a nástrojů, jako je SimpleWall nebo dedikovaný NGFW, to představuje rozdíl mezi sítí, která „víceméně obstojí“, a infrastrukturou skutečně připravenou odolat útokům, růst bez ztráty kontroly a splňovat aktuální bezpečnostní požadavky.