תצורת חומת אש מתקדמת בשרתים

אינפורמטק דיגיטל » Recursos » תצורת חומת אש מתקדמת בשרתים

מאסטר את תצורת חומת אש מתקדמת בשרתים זה כבר לא עניין של תאגידים גדולים בלבד. כל חברה שלוקחת ברצינות את נושא אבטחת הסייבר צריכה להבין כיצד לפלח את הרשת, להגדיר אזורים, ליצור כללים מפורטים ולהפיק את המרב הן מחומת האש ההיקפית והן מחומת האש של Windows עצמה בכל מחשב ושרת.

לאורך מדריך זה תראו, בפירוט רב, כיצד חומות אש מהדור הבא (NGFW)כיצד לתכנן אזורים (LAN, WAN, DMZ, VLAN), אילו סוגי כללים להחיל (תוכנית, פורט, פרוטוקול, IP...), כיצד לנצל את ה... חומת האש של Windows עם אבטחה מתקדמתאיזה תפקיד ממלאים כלים כמו SimpleWall, ואילו שיטות עבודה מומלצות יש לבצע כדי למנוע מכל המבנה הזה להפוך לכאוס בלתי ניתן לניהול?

חומות אש מהדור הבא בשרתים: הרבה יותר מסינון פורטים

חומות אש מהדור הבא, כגון פורטיגייט NGFWהם משלבים פונקציות רשת מתקדמות ואבטחה עמוקה במכשיר אחד. הם לא רק פותחים או סוגרים פורטים; הם מנתחים תעבורה ברמת האפליקציה, בודקים תוכן מוצפן ומשתלבים עם ארכיטקטורות מורכבות של ענן, רשתות LAN, רשתות WLAN וגישה מרחוק.

במקרה של FortiGate, לב המערכת הוא FortiOSמערכת הפעלה ספציפית המאחדת מדיניות אבטחה ופונקציות רשת: SD-WAN משולב, ZTNA אוניברסלי, בקרת תעבורה ברשתות אלחוטיות וקוויות וניהול מרכזי הודות ל-FortiManager.

יתר על כן, צוותים אלה מסתמכים על ארכיטקטורת ASIC קניינית (שבבים ייעודיים) כדי להאיץ את בדיקת ופענוח חבילות מבלי לפגוע בביצועים או לעלות בצריכת החשמל, גם כאשר הרשת נמצאת תחת עומס כבד ויש מאות או אלפי הפעלות בו זמנית.

ההגנה מפני איומים מתחזקת עם שירותי FortiGuardאשר מוסיפים בינה מלאכותית לזיהוי תוכנות זדוניות, תעבורה חשודה, פרצות והתקפות ממוקדות, ומשלבים הכל בתוך הקונספט של מארג האבטחה של פורטינט: מארג אבטחה הכולל רשת, נקודות קצה וענן כדי להגיב בצורה מתואמת לאירועים.

תכנון אזורי חומת אש וחלוקת רשת בשרתים

לפני שמתחילים ליצור כללים כאילו אין מחר, עליכם לעצב את... ארכיטקטורה של אזורים ו פילוח רשתככל שהרשת שטוחה יותר, כך קל יותר לתוקף לנוע לצדדים ברגע שהוא נכנס לתוכה.

הצעד הראשון הוא לזהות נכסים ושירותים מרכזייםשרתי אינטרנט, מסדי נתונים, יישומים פנימיים, מכשירי נקודות מכירה, מרכזיות VoIP, רשתות אורחים וכו'. בהתאם לקריטיותם ולחשיפה שלהם, הם מקובצים לאזורים לוגיים שונים.

נוהג סטנדרטי הוא ליצור אזור מפורז (DMZ) עבור שרתים המספקים שירותים ישירות לאינטרנט (דוא"ל, VPN, יישומי אינטרנט, פורטלים ציבוריים וכו'), מערכות אלו חייבות להיות מבודדות הן מהרשת החיצונית והן מהרשת הפנימית הרגישה ביותר, תוך הגבלת התעבורה שיכולה לזרום בין אזורים שונים.

השרתים הנגישים רק מתוך הארגון ממוקמים ב אזורי שרת פנימייםאלה בתורם מופרדים מרשת המשתמש, רשת הניהול וכל סביבת מעבדה או בדיקה. כדי שזה יהיה מעשי, מקובל להשתמש במתגים עם תמיכה ב- VLAN לשמור על הפרדה גם ברמה 2.

בסביבות IPv4, כל הרשתות הפנימיות חייבות להשתמש טווחים פרטיים (RFC1918) ומסתמכים על מנגנוני NAT ​​כדי לגשת לאינטרנט. התרגום מתבצע בדרך כלל בחומת האש ההיקפית, אשר גם אוכפת מדיניות תעבורה נכנסת ויוצאת עבור כל אזור ספציפי.

רשימות בקרת גישה (ACL) וכללים בין-אזוריים

לאחר שהאזורים הוגדרו והוקצו לממשקי או ממשקי משנה של חומת האש, הגיע הזמן... רשימות בקרת גישה (ACL)שהם הכללים שקובעים איזו תנועה מותרת ואיזו תנועה נדחית בין אזורים אלה.

הרעיון הוא להגדיר, עבור כל ממשק או תת-ממשק, מערכת כללים פשוטה ככל האפשר. ספציפי ומפורט דרישות אפשריות כוללות: כתובת IP או תת-רשת מקור, כתובת IP או תת-רשת יעד, פרוטוקול (TCP, UDP, ICMP וכו'), פורטים מעורבים ופעולה (אפשר או מנע). ככל שהכללים פחות גנריים, כך יהיו פחות פערי אבטחה.

נוהג טוב הוא לסיים כל ACL עם כלל של "להכחיש הכל" במשתמעזה משמש כרשת ביטחון: אם חבילה אינה תואמת כלל הרשאה קיים מראש, היא נחסמת. משם, נוצרים חריגים ספציפיים מאוד עבור הזרימות הנדרשות בפועל.

מומלץ גם להשבית את גישה ציבורית לממשקי ניהול של חומת האש (HTTP, HTTPS, SSH וכו'), המאפשרת ניהול רק מרשתות פנימיות ספציפיות מאוד או דרך VPN ניהולי מאובטח.

NGFW מודרניים יכולים ללכת מעבר לפורט ו-IP, ולמנף בקרת יישומיםקטגוריות אינטרנט, IPS וניתוח קבצים מתקדם (sandboxing). אם כבר שילמתם עבור תכונות אלו, הגיוני להפעיל ולקבוע את התצורה שלהן בזרימות עבודה קריטיות, במיוחד אלו שחוצות את ההיקף.

חומת אש מתירנית לעומת חומת אש מגבילה בשרתים

נקודה מרכזית בעת תכנון מדיניות חומת אש (בין אם מדובר במדיניות היקפית או מערכת הפעלה) היא ההחלטה האם להתחיל ממצב תקין. מתירני או מגביל.

באחד חומת אש מתירנית הכלל המרומז האולטימטיבי הוא "אפשר הכל". רק מה שמוגדר במפורש על ידי כללי מניעת גישה נחסם. גישה זו משמשת בדרך כלל ברשתות מקומיות (LAN) מהימנות או במחשבים שתצורתם נקבעה כ"רשת פרטית" ב-Windows.

באחד חומת אש מגבילה ההפך הוא הנכון: הכלל האולטימטיבי הוא "מניעת הכל". רק תעבורה התואמת את כללי ההיתר המפורשים מותרת לעבור. פילוסופיה זו נפוצה בממשק רשת אזורית רחבה (WAN), בחומות אש כמו pfSense או NGFW ארגוניות, ובמכשירים שתצורתם נקבעה כ"רשת ציבורית".

Windows, לדוגמה, משתמש כברירת מחדל מדיניות מגבילה על חיבורים נכנסים (חוסם כל דבר שאינו מותר במפורש) ו מדיניות מתירנית לגבי הוצאות (זה מאפשר הכל מלבד מה שחסמת.) ניתן להתאים זאת דרך המאפיינים המתקדמות של חומת האש.

מה באמת יכולה חומת האש של Windows להציע בשרתים?

El חומת האש של Windows עם אבטחה מתקדמת זה הרבה יותר חזק ממה שרבים מבינים. הוא יכול לשלוט בתעבורה נכנסת ויוצאת, לסנן לפי כתובת IP, פורט, פרוטוקול, שירות, ממשק רשת, סוג פרופיל (דומיין, פרטי, ציבורי), ואפילו לפי משתמש או קבוצה בתרחישים מסוימים.

בין יכולותיה, בולטות האפשרויות הבאות: סינון מנות ברמה נמוכה, הוא מייצר יומני אבטחה מפורטים (אותם ניתן לנתח לאחר מכן באמצעות מציג האירועים או לשלוח אותם למערכת SIEM), מזהה רשתות ציבוריות כדי להחיל אוטומטית פרופיל מחמיר יותר, ומשתלב עם שכבות אבטחה אחרות כמו Windows Defender.

עבור עסקים קטנים וסביבות שרתים רבות, שרת מוגדר היטב יכול להיות יותר ממספיקבמיוחד בשילוב עם תוכנת אנטי-וירוס חזקה ושיטות ניהול נאותות. עם זאת, חשוב להיות מודעים למגבלותיה: היא אינה תחליף ל-NGFW היקפי או ל-IPS ייעודי.

כנקודות תורפה, יש לציין שחומת האש של Windows אינה מציעה תכונה זו כברירת מחדל. בדיקת מנות עמוקה עם חתימות מתקדמות, הוא אינו חוסם באופן טבעי את טלמטריית המערכת, ההתראות שלו דיסקרטיות (הוא בקושי מתריע על חיבורים חדשים), והדרך לעיין ביומנים אינה ידידותית למשתמשים שאינם טכניים.

גישה לחומת האש של Windows עם אבטחה מתקדמת

לניהול הגדרות חומת אש מתקדמות בסביבה של דומיין Active Directoryבאופן אידיאלי, כדאי לעבוד עם GPO (אובייקטי מדיניות קבוצתית)חיוני להשתייך לקבוצת מנהלי הדומיין או שיהיו לך הרשאות שהוקצאו לך ב-GPO.

מקונסולת ניהול המדיניות, ניתן לנווט בין מדיניות > תצורת מחשב > הגדרות Windows > הגדרות אבטחה > חומת אש של Windows עם אבטחה מתקדמתשם, ניתן להגדיר כללים משותפים עבור מחשבי לקוח ושרתים המחוברים לדומיין.

אם זה בערך שרת יחיד או מחשב מקומיאתה רק צריך הרשאות מנהל במכשיר הזה. הדרך המהירה ביותר לפתוח את הקונסולה היא ללחוץ על START ולהקליד wf.msc ולחץ על Enter. ייפתח קונסולת חומת האש של Windows עם אבטחה מתקדמת עבור מחשב זה.

המסך הראשי מציג את כללי כניסה, כללי יציאה, כללי אבטחת חיבור ותצורת הפרופילים השונים (דומיין, פרטי, ציבורי), יחד עם אזור ניטור שבו רק הכללים הפעילים גלויים.

פרופילים, מדיניות גלובלית והתנהגות ברירת מחדל

לוח המאפיינים של חומת האש שולט באפשרויות הגלובליות עבור כל אחד מהם פרופיל רשת ‏(תחום, פרטי, ציבורי). אפשרויות אלו קובעות כיצד חומת האש מתנהגת כאשר מתאם רשת משויך לסוג רשת מסוים.

עבור כל פרופיל, באפשרותך להחליט אם חומת האש מופעלת. מופעל או כבויהאם חיבורים נכנסים שאינם תואמים לאף כלל חסומים או מותרים, וכך גם לגבי חיבורים יוצאים.

ניתן גם להתאים פרמטרים כגון הבאים: התראות בעת חסימת תוכנית, המיקום שבו ה- יומני חומת האש, הגודל המרבי של יומני רישום אלה והטיפול המיוחד בתעבורה המוגנת על ידי מנהרות IPsec VPN, הנחשבות בדרך כלל אמינות יותר.

ב פיקוח כל הכללים הפעילים כעת מוצגים, כולל אלה מאובייקטי מדיניות קבוצתית (GPO) ואלה המוגדרים באופן מקומי. זה המקום לראות אילו כללים פעילים בפועל ועם אילו פרמטרים, ומשם ניתן לפתוח ולשנות את המאפיינים שלהם.

כללי כניסה ויציאה: כיוון התנועה

כשעובדים עם כללים בחומת האש של Windows, אחת הטעויות הנפוצות ביותר היא מבלבל את כיוון התנועהכללי כניסה חלים על חבילות המגיעות למחשב; כללי יציאה חלים על חבילות היוצאות מהמחשב למכונה אחרת.

אם המטרה היא למנוע חיבורים מהאינטרנט לשרת, יהיה צורך ליצור או לשנות כללי כניסהאם, לעומת זאת, המטרה היא למנוע משירות שרת או תוכנית להתחבר אל החוץ, יש לנקוט פעולה בנושא. כללי יציאה.

כל ערך ברשימה מציין האם הכלל מופעל (סמל סימן ביקורת ירוק) או מושבת. כללים מושבתים אינם משפיעים על התעבורה, למרות שהם עדיין מוגדרים. נפוץ למצוא כללי Windows מוגדרים מראש רבים שקיימים אך אינם פעילים עד שדרושים.

כדי להבין היטב את זרימת מקור/יעד ויציאה מקומית/מרוחקת זה חיוני כדי להימנע מיצירת כללים שלעולם לא מיושמים או שנפתחים יותר ממה שבאמת נחוץ, דבר נפוץ מאוד בעת הגדרת שירותים מורכבים.

סוגי כללים בחומת האש של Windows

אשף הכללים החדשים של חומת האש של Windows מציע ארבע קטגוריות עיקריות: תוכנית, יציאה, מוגדר מראש ומותאם אישיתכל אחד מהם מיועד לתרחיש שונה, וחשוב לבחור בקפידה בהתאם למה שאתם רוצים להשיג.

הכללים של תכנית להתמקד בקובץ הרצה ספציפי; אלה של פורטו הם מסננים לפי מספר פורט TCP או UDP; מוגדר מראש הם מפשטים את ניהול שירותי Windows מוכרים; ו- מותאם אישית הם מאפשרים כוונון עדין מאוד על ידי שילוב של מספר קריטריונים בו זמנית.

בכל המקרים, האשף מסתיים בשאלה איזו פעולה נרצה להחיל (לאפשר, לאפשר רק אם מאובטח עם IPsec, או לחסום) ועל אילו פרופילי רשת כלל זה יחול (דומיין, פרטי, ציבורי). לבסוף, א שם ותיאור כך שניתן יהיה לזהות אותו בקלות מאוחר יותר.

בשרתים קריטיים, כדאי להקדיש זמן לתיעוד נכון של הכללים, תוך ציון איזה שירות הוא מגן ומדוע הוא קייםכך שבביקורות או שינויים עתידיים לא יהיה ספק לגבי תועלתו.

כללים לפי תוכנית: שליטה עדינה בשירותים ספציפיים

כללי הקלדה תכנית הם דרך נוחה לשלוט בתעבורה של אפליקציה מבלי שיהיה צורך לשנן את כל הפורטים שהיא משתמשת בהם. ניתן ליישם אותם הן על תעבורה נכנסת והן על תעבורה יוצאת.

באשף, בחר באפשרות "נתיב תוכנית זו" וציין את נתיב ההפעלהניתן להשתמש במשתני סביבה כדי להבטיח שהכלל מוחל כהלכה גם אם התוכנית מותקנת בנתיבים שונים במחשבים שונים.

בשרתים המארחים שירותים בתוך svchost.exe עבור מכולות מרובות שירותים אחרות, ניתן להתאים אישית את הכלל כך שיחול רק על שירותים ספציפיים על ידי בחירת השירות לפי שמו המקוצר. זה מאפשר לך להבדיל, למשל, את התעבורה של שירות RPC מסוים באותו תהליך.

מומלץ מאוד לשלב כלל תוכנית עם הגבלות בכרטיסייה של פרוטוקולים ופורטיםציון מפורש אילו פורטים יישום זה יכול להאזין או להשתמש בהם. אם תנסה לפתוח פורט אחר, חומת האש תחסום אותו.

כללי פורט: סינון TCP/UDP קלאסי

כללי הקלדה פורטו הם מאפשרים לך להתיר או לחסום תעבורה בהתבסס על מספר הפורט המקומי או המרוחק והפרוטוקול (בעיקר TCP או UDP). ניתן להשתמש בהם עבור כללים נכנסים ויוצאים כאחד.

בכלל נכנס טיפוסי לפתיחה, לדוגמה, ה- יציאת TCP 21נבחר TCP, מצוין "יציאות מקומיות ספציפיות" ומוזן 21. ניתן לציין מספר יציאות המופרדות באמצעות פסיקים (למשל, 21,20,22) או טווחים כגון 5000-5100, אפילו ערבוב של יציאות וטווחים בודדים באותו כלל.

לאחר מכן, עליך להחליט על הפעולה (אפשר, אפשר אם מאובטח, חסום) ועל הפרופילים שבהם היא תוחל. זוהי דרך פשוטה לפתוח שירותים סטנדרטיים מסוימים (HTTP, HTTPS, RDP וכו') מבלי להיכנס לפרטים של תוכניות ספציפיות.

במקרה של כללי יציאההנוהג הנפוץ ביותר הוא לציין את הפורט המרוחק, שכן זהו היעד שאליו השרת מנסה להתחבר. מקרה שימוש טיפוסי יהיה לחסום את כל התעבורה היוצאת לפורטים חשודים או להגביל יישומים מסוימים מלתקשר רק בפורטים ספציפיים מאוד.

כללים מוגדרים מראש ומותאמים אישית

לאס כללים מוגדרים מראש הם מקבצים תצורות מוכנות מראש עבור שירותי Windows נפוצים (שיתוף קבצים ומדפסות, שולחן עבודה מרוחק וכו'). פשוט בחרו את השירות, ציינו אם לאפשר או לחסום אותו, בחרו פרופילים וסיימתם.

אפשרות זו נוחה כאשר ברצונך להפעיל או להגביל במהירות שירות פנימי מבלי שתצטרך לבדוק אילו פורטים ופרוטוקולים הוא משתמש בהם בכל מקרה. מאחורי הקלעים, המערכת יוצרת מספר כללים ספציפיים המכסים את השירות הזה.

לאס חוקים מותאמים אישית אלו הן הכתובות המקיפות ביותר ומציעות את השליטה הגדולה ביותר. הן מאפשרות לך לציין את כל הפרמטרים: תוכנית (או כל התוכניות), סוג שירות, פרוטוקול IP (עם רשימה של TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route וכו'), שילוב של פורטים מקומיים ומרוחקים, כתובות IP של מקור ויעד (כולל טווחים ותת-רשתות) ותנאים נוספים.

בפרוטוקולים כגון ICMPv4 או ICMPv6, ניתן לבחור אם הם תומכים בכל סוגי ה-ICMP או רק הודעות מסוימות (בקשת הד, תשובת הד, חריגת זמן וכו'). ניתן אפילו להגדיר סוגים וקודים ספציפיים שאינם מופיעים ברשימה הכללית.

כמו כן, בעת הגדרת כתובות IP במקטע ההיקף, האשף מאפשר הוסף טווחים או תת-רשתות שלמות (לדוגמה, 192.168.10.0/24) כדי לצמצם עוד יותר אילו מכשירים יכולים להשתמש בכלל זה, הן באופן מקומי והן מרחוק.

כללי ICMP נכנסים בשרתים

האם לאפשר תעבורת ICMP לשרת או לא היא החלטה אסטרטגית. כלל ICMP נכנס זה מאפשר למכשיר להגיב לפינגים ולהודעות אבחון רשת מסוימות, דבר מועיל מאוד למשימות ניהוליות, אך יכול גם לספק מידע לתוקף.

כדי ליצור כלל ICMP נכנס בחומת האש של Windows, פתח את הקונסולה המתקדמת, עבור אל כללי כניסה ונוצר כלל מותאם אישית חדש. במקטע התוכניות, בדרך כלל בוחרים "כל התוכניות".

במסך הפרוטוקול, בחר ICMPv4 או ICMPv6 זה תלוי ברשת הרשת שבה משתמשים. אם אתם עובדים גם עם IPv4 וגם עם IPv6, תצטרכו ליצור כלל עבור כל אחד מהם. אפשרות ההתאמה האישית מאפשרת לכם לבחור את סוגי ה-ICMP הספציפיים שברצונכם לאפשר (בקשת הד/תשובה הד בלבד, או קבוצה רחבה יותר).

לאחר מכן, מוגדרים ההיקף (אילו כתובות IP ניתן לבצע פינג), הפעולה (בדרך כלל מתירה את החיבור) ופרופילי הרשת שבהם הכלל ייכנס לתוקף. לבסוף, מוקצה שם תיאורי לכלל לזיהוי קל.

כללי שירות או תוכנית נכנסים ויוצאים

בתרחישים מסוימים, הרצון הוא לאפשר ל- שירות ספציפי, האזנה לתעבורה נכנסת בכל פורט שהוא צריך, או בדיוק להיפך: למנוע מתוכנית לתקשר עם העולם החיצון דרך כל פורט.

עבור החלק הנכנס, נוצר כלל מותאם אישית, נבחר "נתיב תוכנית זה", ומצוין קובץ ההפעלה של השירות. לאחר מכן ניתן להתאים זאת אישית כך שהכלל יחול רק על שירותים המתארחים בתוך קובץ ההפעלה הזה, על ידי בחירת השירות לפי שמו המקוצר.

יש אפילו אפשרות להתאים את סוג SID של שירות באמצעות הפקודה sc sidtype זה משפיע על האופן שבו ניתן להשתמש בשירות זה במסגרת כללי חומת האש. שינוי הערך ל-RESTRICTED יכול למנוע את הפעלתו, לכן יש לעשות זאת בזהירות ורק כאשר סוג זה של הגנה נדרש.

עבור החלק היוצא, התהליך דומה אך יצירת כלל יציאהאם ברצונך לחסום לחלוטין את הגישה של התוכנית לאינטרנט, הגדר את הנתיב לקובץ ההפעלה, הגדר את הפעולה ל"חסום את החיבור" ובחר את הפרופילים שברצונך להגביל.

תצורות מיוחדות עבור RPC ופורטים דינמיים

השירותים המשתמשים RPC (שיחת הליך מרחוק) תעבורה זו יכולה להיות רגישה במיוחד משום שהיא משתמשת בפורטים דינמיים שהמערכת מקצה בזמן ריצה. כדי לאפשר תעבורה זו באופן מבוקר דרך חומת האש של Windows, בדרך כלל יש צורך ליצור שני כללים ספציפיים.

הראשון פונה ל שירות הקצאת נקודות קצה של RPC, הממוקם ב- %systemroot%\system32\svchost.exe. הכלל מותאם אישית לחול על שירות RpcSs, TCP מוגדר כפרוטוקול, והאפשרות "RPC Endpoint Mapper" נבחרה עבור היציאה המקומית.

הכלל השני נוצר עבור שירות רשת מאופשר RPC שאנו רוצים לאפשר, תוך ציון הנתיב לקובץ ההפעלה המארח אותו, וגם שיוכו לשירות הספציפי הזה. במקרה זה, נבחרו "פורטים דינמיים של RPC" עבור הפורט המקומי.

בשני הכללים, ההיקף (כתובות IP מותרות), הפעולה (הפעלת החיבור) והפרופילים מותאמים לאחר מכן. בדרך זו, רק מכשירים ושירותים העומדים בתנאים אלה יכולים לנצל את העברת הפורטים של RPC.

רישום, ביקורת ופתרון בעיות של חומות אש של Windows

כאשר משהו לא עובד כראוי, יומן חומת האש ואירועי הביקורת הם ה... מקור המידע הראשוןמומלץ להגדיר את אוסף היומנים כראוי לפני שתזדקק לו.

במאפייני חומת האש, בכרטיסייה של כל פרופיל, ניתן להתאים אישית את נתיב קובץ היומןהגודל המרבי ב-KB, והאם נרשמים מנות שנשמטו, חיבורים מוצלחים או שניהם. בסביבות שרת, בדרך כלל מומלץ לרשום את שניהם כדי לקבל סקירה כללית ברורה.

מצד שני, בעזרת כלי שורת הפקודה auditpol.exe ניתן להפעיל תת-קטגוריות ספציפיות של ביקורת, כגון שינויי מדיניות, כך שהמערכת תיצור אירועים מפורטים כאשר משתנים מדיניות חומת אש או IPsec.

בעת חקירת בעיה, כדאי לתעד את מצב הרשת באמצעות netstat -ano > netstat.txt ורשימת התהליכים עם רשימת משימות > רשימת משימות.txtעל ידי הצטלבות בין ה-PID של תהליכים ברשימת המשימות לבין חיבורים פעילים ב-netstat, ניתן לגלות איזו תוכנית משתמשת בפורט ספציפי.

בתרחישים מורכבים, מיקרוסופט מספקת סקריפטים כגון TSS.ps1 לאסוף עקבות מתקדמות של מנוע הסינון של Windows ‏(WFP), אשר לאחר מכן נארזים בקובץ ZIP וניתן לנתח אותם או להגישם לתמיכה הטכנית.

כלים חיצוניים: SimpleWall וחומות אש של צד שלישי

חומת האש המובנית ב-Windows עובדת היטב, אך לעתים קרובות מפספסים אותה. ממשק אינטואיטיבי יותר והתראות ברורות כאשר אפליקציה מנסה לגשת לאינטרנט בפעם הראשונה. כאן נכנסים לתמונה פתרונות של צד שלישי.

אחת מאפשרויות הקוד הפתוח הקלות עבור Windows היא SimpleWallהיא מסתמכת על פלטפורמת הסינון של Windows (WFP) אך אינה משנה ישירות את חומת האש של Windows. במקום זאת, היא יוצרת כללים משלה באמצעות WFP כדי לשלוט לאילו יישומים יש גישה.

בין תכונותיו נמנים א עורך כללים פשוטרשימות פנימיות לחסימת טלמטריה וריגול של Windows, יומני חבילות חסומות, תאימות IPv6 ותמיכה בשירותי מערכת ובאפליקציות Microsoft Store.

SimpleWall מאפשר לך ליצור כללים קבועים או זמניים (אשר נעלמים לאחר הפעלה מחדש), להפעיל מסננים באופן גלובלי ולסווג תוכניות כמורשות, חסומות או חסומות בשקט. עם זאת, כדי שהכללים שלך ייכנסו לתוקף, SimpleWall עצמו חייב לפעול ברקע.

מעבר ל-SimpleWall, חלק מהמשתמשים בוחרים ב- חומות אש מסחריות עם תכונות נוספות: בדיקת חבילות עמוקה, רשימות אנטי-מעקב מוגדרות מראש, ארגז חול, ניתוח התנהגותי, לוחות מחוונים גרפיים מתקדמים ונראות משופרת לתעבורה יוצאת. רבים מהמוצרים הללו משתלבים עם חומת האש של Windows או מחליפים אותה חלקית.

ביצועים, יתרונות וחסרונות של שימוש בחומות אש בשרתים

שימוש בחומת אש, בין אם ברמת ההיקפי או ברמת מערכת ההפעלה, כרוך בסיכון קטן עלות בביצועיםמכיוון שכל חבילת רשת מנותחת מול כלל אחד או יותר. זה יכול להיות מורגש בציוד עם חומרה מוגבלת מאוד או ישנה מאוד. בדוק את מדריך אופטימיזציה של שרתי לינוקס כדי למתן השפעות.

עם זאת, היתרון של קיום מחסום ההגנה הראשון זה ענק: זה מפחית את החשיפה להתקפות חיצוניות, שולט באילו יישומים יכולים להתחבר מבחוץ, מייצר יומני רישום שימושיים לביקורת, ומתאים את רמת ההגנה בהתאם לשאלה אם אתם נמצאים ברשת מהימנה או ברשת ציבורית.

החסרונות העיקריים, מלבד ההשפעה על הביצועים, הם מורכבות התחזוקה (במיוחד עבור משתמשים חסרי ניסיון) ותחושת ביטחון כוזבת: חומת אש אינה מחליפה אנטי-וירוס טוב, עדכוני מערכת, או, כמובן, את השכל הישר של מנהל המערכת.

יתר על כן, ניהול חוקים נכון דורש זמן: סקירת מה באמת נמצא בשימוש, הסרת כללים מיושנים, תיעוד שינויים ואימות שלא נותרות פרצות פתוחות בטעות בעת ביצוע בדיקות מהירות או חריגים זמניים.

שיטות עבודה מומלצות מתקדמות לאבטחת חומת אש בשרתים

בסביבת שרת רצינית, לא מספיק פשוט להגדיר ארבעה כללים ולשכוח מזה. ישנם מספר... תרגול טוב שעוזרות לשמור על שליטה ולהפחית סיכונים לטווח ארוך.

הראשון הוא ליישם את עקרון הזכות הקטנה ביותר (PoLP)זה חל גם על משתמשים וגם על כללים. זה נמנע מכללים גנריים כמו "אפשר הכל מכל כתובת IP" ובמקום זאת מגדיר כללים המותאמים ל-IP או לתת-רשתות ספציפיות, פורטים ספציפיים ויישומים ידועים.

מפתח נוסף הוא תחזוקת חומת האש ורכיביה. תמיד מעודכןזה כרוך בהחלת תיקוני מערכת הפעלה, קושחת חומת אש פיזית, חתימות IPS וכל עדכון שיוצא על ידי הספק, רצוי לאחר בדיקה בסביבת בדיקה.

לבסוף, חיוני לפרוס ניטור ורישום יעיליםשלחו את הלוגים למערכת SIEM, הגדירו התראות עבור דפוסים חשודים (לדוגמה, חבילות רבות חסומות מאותו כתובת IP) ובדקו את הדוחות מעת לעת, ולא רק אספו אותם "למקרה הצורך".

בנוסף לשכבת הלוגיקה, ה ביטחון פיזי התכונות החשובות של חומת האש כוללות: ציוד במעמדים סגורים, גישה מוגבלת לחדר הטכני וגיבוי תצורה כדי לאפשר חזרה מהירה במקרה של תקלה לאחר שינוי.

שכבות נוספות: סינון כתובות URL, VPN, IPS, QoS ובקרת יישומים

רוב רשתות ה-NGFW המודרניות מאפשרות לך להפעיל תכונות מתקדמות המשלימות סינון חבילות בסיסי וכללי IP/פורט.

El סינון כתובות URL זה מאפשר לך לסווג אתרים לפי קטגוריות (תוכנות זדוניות, רשתות חברתיות, תוכן למבוגרים, הורדות P2P וכו') ולחסום את אלה הנחשבים בלתי הולמים או מסוכנים, מה שעוזר הן לחזק את האבטחה והן לאכוף מדיניות שימוש מקובלת.

לאס VPNבין אם מדובר בגישה מאתר לאתר או מרחוק, רשתות VPN מסתמכות על פרוטוקולים כמו IPsec או SSL/TLS כדי להצפין תעבורה בין משרדים למשתמשים מרוחקים. חומות אש בדרך כלל משלבות את סיום ה-VPN הללו ומחילות את אותן מדיניות בקרה על תעבורה מוצפנת כמו על שאר הרשת.

Un מערכת למניעת חדירות (IPS) היא בודקת תעבורה בזמן אמת, מחפשת דפוסי תקיפה ידועים או התנהגות מוזרה, ויכולה לחסום אוטומטית חיבורים המנסים לנצל פגיעויות של המערכת או האפליקציה.

El בקרת יישומים זה מספק נראות הרבה יותר גדולה מאשר רק הפורט: זה מאפשר לך להחליט אילו יישומים ספציפיים (למשל, סקייפ, דרופבוקס, יישומי משחקים וכו') מותרים או חסומים, גם כשהם משתמשים בפורטים סטנדרטיים או מוצפנים.

סוף סוף איכות השירות (QoS) זה מאפשר לתעדף תעבורה קריטית (קול, שיחות וידאו, יישומים עסקיים) על פני זרימות אחרות פחות חשובות, ובכך למנוע הורדה או גיבוי מסיביים להפוך לרשת בלתי שמישה עבור המשתמש הסופי.

יש לטפל היטב ב תצורת חומת אש מתקדמת בשרתיםהחל מתכנון אזורים וכללים מפורטים ועד לשימוש בפונקציות מהדור הבא, רישום, ביקורת וכלים כמו SimpleWall או NGFW ייעודי, זה מה שעושה את ההבדל בין רשת ש"פחות או יותר מסתדרת" לבין תשתית שבאמת מוכנה לעמוד במתקפות, לצמוח מבלי לאבד שליטה ולעמוד בדרישות האבטחה הנוכחיות.