Napredna konfiguracija požarnega zidu na strežnikih

Informatec Digital » Viri » Napredna konfiguracija požarnega zidu na strežnikih

Obvladajte napredna konfiguracija požarnega zidu na strežnikih To ni več samo stvar velikih korporacij. Vsako podjetje, ki jemlje kibernetsko varnost resno, mora razumeti, kako segmentirati omrežje, definirati cone, ustvariti podrobna pravila in kar najbolje izkoristiti tako požarni zid perimetra kot sam požarni zid sistema Windows na vsakem računalniku in strežniku.

V tem priročniku boste precej podrobno videli, kako Požarni zidovi naslednje generacije (NGFW)Kako oblikovati cone (LAN, WAN, DMZ, VLAN), katere vrste pravil uporabiti (program, vrata, protokol, IP…), kako izkoristiti prednosti Požarni zid Windows z napredno varnostjoKakšno vlogo igrajo orodja, kot je SimpleWall, in katere najboljše prakse je treba upoštevati, da preprečimo, da bi celotna struktura postala neobvladljiv kaos?

Požarni zidovi naslednje generacije na strežnikih: veliko več kot le filtriranje vrat

Požarni zidovi naslednje generacije, kot so npr. FortiGate NGFWV eni sami napravi združujejo napredne omrežne funkcije in poglobljeno varnost. Ne odpirajo ali zapirajo le vrat, temveč analizirajo promet na ravni aplikacije, pregledujejo šifrirano vsebino in se integrirajo s kompleksnimi arhitekturami v oblaku, lokalnih in brezžičnih omrežjih (LAN, WLAN) ter za oddaljeni dostop.

V primeru FortiGate je srce sistema FortiOSSpecifičen operacijski sistem, ki združuje varnostne politike in omrežne funkcije: integriran SD-WAN, univerzalni ZTNA, nadzor prometa v brezžičnih in žičnih omrežjih ter centralizirano upravljanje zahvaljujoč FortiManagerju.

Poleg tega se te ekipe zanašajo na lastniška arhitektura ASIC (namenski čipi) za pospešitev pregleda in dešifriranja paketov brez zmanjšanja zmogljivosti ali povečane porabe energije, tudi ko je omrežje zelo obremenjeno in poteka na stotine ali tisoče hkratnih sej.

Zaščita pred grožnjami je okrepljena z Storitve FortiGuardki dodajajo umetno inteligenco za zaznavanje zlonamerne programske opreme, sumljivega prometa, izkoriščanja in ciljno usmerjenih napadov, s čimer se vse skupaj uvršča v koncept Fortinet Security Fabric: varnostne strukture, ki zajema omrežje, končne točke in oblak za usklajen odziv na incidente.

Zasnova con požarnega zidu in segmentacija omrežja na strežnikih

Preden začnete ustvarjati pravila, kot da jutri ni, morate zasnovati ... coniranje arhitekture in segmentacijo omrežjaBolj kot je mreža bolj ravna, lažje se napadalec premika bočno, ko pride v notranjost.

Prvi korak je prepoznati ključna sredstva in storitveSpletni strežniki, podatkovne baze, interne aplikacije, prodajne naprave, VoIP PBX-i, omrežja za goste itd. Glede na njihovo kritičnost in izpostavljenost so združeni v različne logične cone.

Standardna praksa je ustvariti DMZ (demilitarizirano območje) Strežniki, ki zagotavljajo storitve neposredno internetu (e-pošta, VPN, spletne aplikacije, javni portali itd.), morajo biti ti sistemi izolirani tako od zunanjega omrežja kot od najobčutljivejšega notranjega omrežja, s čimer se čim bolj omeji pretok prometa med različnimi območji.

Strežniki, do katerih je mogoče dostopati samo znotraj organizacije, se nahajajo v notranjih strežniških območijTa so nato ločena od uporabniškega omrežja, upravljalnega omrežja in morebitnega laboratorijskega ali testnega okolja. Da bi bilo to praktično, se običajno uporabljajo stikala s podporo za VLAN ohraniti ločitev tudi na 2. stopnji.

V okoljih IPv4 morajo vsa notranja omrežja uporabljati zasebnih območij (RFC1918) in se za dostop do interneta zanašajo na mehanizme NAT. Prevajanje se običajno izvaja na požarnem zidu oboda, ki za vsako posamezno cono uveljavlja tudi pravilnike o vhodnem in odhodnem prometu.

Seznami za nadzor dostopa (ACL) in pravila med območji

Ko so cone definirane in dodeljene vmesnikom ali podvmesnikom požarnega zidu, je čas za ... ACL (seznami za nadzor dostopa)katera so pravila, ki določajo, kateri promet je dovoljen in kateri zavrnjen med temi območji.

Ideja je, da se za vsak vmesnik ali podvmesnik definira niz pravil, ki so čim preprostejša. specifičen in podroben Možne zahteve vključujejo: izvorni IP ali podomrežje, ciljni IP ali podomrežje, protokol (TCP, UDP, ICMP itd.), vključena vrata in dejanje (dovoli ali zavrni). Manj ko so pravila splošna, manj varnostnih vrzeli bo.

Dobra praksa je, da se vsak ACL zaključi s pravilom implicitno "zanikati vse"To deluje kot varnostna mreža: če paket ne ustreza nobenemu od obstoječega pravila dovoljenj, je blokiran. Nato se za tokove, ki so dejansko potrebni, ustvarijo zelo specifične izjeme.

Priporočljivo je tudi onemogočiti javni dostop do administratorskih vmesnikov požarnega zidu (HTTP, HTTPS, SSH itd.), kar omogoča upravljanje le iz zelo specifičnih notranjih omrežij ali prek varnega VPN-ja za upravljanje.

Sodobni NGFW-ji lahko presegajo vrata in IP ter izkoriščajo nadzor aplikacijSpletne kategorije, IPS in napredna analiza datotek (peskovnik). Če ste za te funkcije že plačali, jih je smiselno aktivirati in konfigurirati v kritičnih delovnih procesih, zlasti tistih, ki prečkajo obod.

Permisivni požarni zid v primerjavi z omejevalnim požarnim zidom na strežnikih

Ključna točka pri oblikovanju politike požarnega zidu (ne glede na to, ali gre za perimeter ali operacijski sistem) je odločitev, ali začeti s položajem permisivno ali omejevalno.

V enem permisivni požarni zid Končno implicitno pravilo je »dovoli vse«. Blokirano je le tisto, kar je izrecno določeno s pravili zavrnitve. Ta pristop se običajno uporablja v zaupanja vrednih lokalnih omrežjih (LAN) ali v računalnikih, ki so v sistemu Windows konfigurirani kot »zasebno omrežje«.

V enem omejevalni požarni zid Zgodi se ravno nasprotno: končno pravilo je »zavrne vse«. Dovoljen je le promet, ki ustreza eksplicitnim pravilom za dovoljenje. Ta filozofija je pogosta v vmesniku prostranega omrežja (WAN), v požarnih zidovih, kot sta pfSense ali korporativni NGFW, in v napravah, konfiguriranih kot »javno omrežje«.

Windows na primer privzeto uporablja omejevalna politika glede dohodnih povezav (blokira vse, kar ni izrecno dovoljeno) in permisivna politika glede odhodkov (Dovoli vse, razen tistega, kar ste blokirali.) To je mogoče prilagoditi v naprednih lastnostih požarnega zidu.

Kaj lahko požarni zid Windows dejansko ponudi na strežnikih?

El Požarni zid Windows z napredno varnostjo Je veliko zmogljivejši, kot si mnogi ljudje predstavljajo. Z njim lahko nadzorujete dohodni in odhodni promet, filtrirate po IP-naslovu, vratih, protokolu, storitvi, omrežnem vmesniku, vrsti profila (domena, zasebni, javni) in v nekaterih primerih celo po uporabniku ali skupini.

Med njegovimi zmogljivostmi izstopajo naslednje: filtriranje paketov Na nizki ravni ustvarja podrobne dnevnike (ki jih je nato mogoče analizirati s pregledovalnikom dogodkov ali poslati v SIEM), zazna javna omrežja za samodejno uporabo strožjega profila in se integrira z drugimi varnostnimi plastmi, kot je Windows Defender.

Za mala podjetja in številna strežniška okolja je lahko dobro konfiguriran strežnik več kot dovoljŠe posebej v kombinaciji z robustno protivirusno programsko opremo in dobrimi skrbniškimi praksami. Vendar se je pomembno zavedati njegovih omejitev: ni nadomestilo za perimetrsko NGFW ali namensko zaščito pred nevarnimi viri (IPS).

Kot šibke točke je treba omeniti, da požarni zid sistema Windows te funkcije privzeto ne ponuja. globok pregled paketov Z naprednimi podpisi izvorno ne blokira sistemske telemetrije, njegova obvestila so diskretna (komaj vas opozori na nove povezave), način pregledovanja dnevnikov pa ni uporabniku prijazen za netehnične uporabnike.

Dostop do požarnega zidu sistema Windows z napredno varnostjo

Za upravljanje naprednih nastavitev požarnega zidu v okolju Domena Active DirectoryV idealnem primeru bi bilo treba sodelovati z GPO (predmeti skupinskih pravilnikov)Bistveno je, da pripadate skupini skrbnikov domene ali imate dodeljena dovoljenja za objekte pravilne politike.

V konzoli za upravljanje pravilnikov se lahko pomikate po Pravilniki > Konfiguracija računalnika > Nastavitve sistema Windows > Varnostne nastavitve > Požarni zid sistema Windows z napredno varnostjoTam je mogoče definirati skupna pravila za odjemalske računalnike in strežnike, ki so pridruženi domeni.

Če gre en sam strežnik ali lokalni računalnikNa tej napravi potrebujete le skrbniške pravice. Najhitrejši način za odpiranje konzole je, da pritisnete START in vnesete wf mag in pritisnite Enter. Odprla se bo konzola požarnega zidu Windows z napredno varnostjo za ta računalnik.

Na glavnem zaslonu se prikaže vhodna pravila, odhodna pravila, pravila varnosti povezave in konfiguracijo različnih profilov (domena, zasebni, javni), skupaj z območjem za spremljanje, kjer so vidna samo aktivna pravila.

Profili, globalni pravilniki in privzeto vedenje

Plošča z lastnostmi požarnega zidu nadzoruje globalne možnosti za vsakega omrežni profil (domena, zasebno, javno). Te možnosti določajo, kako se požarni zid obnaša, ko je omrežna kartica povezana z določeno vrsto omrežja.

Za vsak profil lahko določite, ali je požarni zid omogočen. vklopljen ali izklopljenAli so dohodne povezave, ki ne ustrezajo nobenemu pravilu, blokirane ali dovoljene, in enako velja za odhodne povezave.

Prilagodi se lahko tudi parametri, kot so naslednji: obvestila ob blokiranju programa, lokacija, kjer je dnevniki požarnega zidu, največja velikost teh dnevnikov in posebna obravnava prometa, zaščitenega s tuneli IPsec VPN, ki na splošno velja za bolj zanesljivega.

V Ljubljani Supervisión Prikazana so vsa trenutno aktivna pravila, vključno s pravili iz objektov skupinskih pravilnikov (GPO) in tistimi, ki so definirana lokalno. Tukaj si lahko ogledate, katera pravila so dejansko aktivna in s kakšnimi parametri, od tam pa lahko odprete in spremenite njihove lastnosti.

Pravila vstopa in izstopa: smer prometa

Pri delu s pravili v požarnem zidu sistema Windows je ena najpogostejših napak zmeda v smeri prometaDohodna pravila veljajo za pakete, ki prispejo v računalnik; odhodna pravila veljajo za pakete, ki zapuščajo računalnik in so namenjeni drugemu računalniku.

Če je cilj preprečiti povezave iz interneta s strežnikom, bo treba ustvariti ali spremeniti vstopna pravilaČe pa je cilj preprečiti strežniški storitvi ali programu, da bi se povezal z zunanjostjo, je treba ukrepati na pravila izhoda.

Vsak vnos na seznamu označuje, ali je pravilo omogočeno (ikona zelene kljukice) ali onemogočeno. Onemogočena pravila ne vplivajo na promet, čeprav so še vedno definirana. Pogosto je mogoče najti veliko vnaprej določenih pravil sistema Windows, ki so prisotna, vendar niso aktivna, dokler niso potrebna.

Da bi dobro razumeli izvorni/ciljni tok in lokalna/oddaljena vrata To je bistveno, da se izognemo ustvarjanju pravil, ki se nikoli ne uporabijo ali ki se odpirajo bolj, kot je resnično potrebno, kar je zelo pogosto pri konfiguriranju kompleksnih storitev.

Vrste pravil v požarnem zidu sistema Windows

Čarovnik za nova pravila požarnega zidu sistema Windows ponuja štiri glavne kategorije: program, vrata, vnaprej določeni in prilagojeniVsak je zasnovan za drugačen scenarij in pomembno je, da izberete skrbno glede na to, kaj želite doseči.

Pravila Program osredotočiti se na določeno izvedljivo datoteko; tiste port Filtrirajo po številki vrat TCP ali UDP; vnaprej določeno Poenostavljajo upravljanje znanih storitev sistema Windows; in osebno Omogočajo zelo natančno nastavitev z združevanjem več kriterijev hkrati.

V vseh primerih čarovnik konča z vprašanjem, katero dejanje želimo uporabiti (dovoli, dovoli samo, če je varno z IPsec ali blokiraj) in za katere omrežne profile bo to pravilo veljalo (domena, zasebno, javno). Na koncu ime in opis da ga je mogoče kasneje lažje prepoznati.

Na kritičnih strežnikih si je vredno vzeti čas za ustrezno dokumentiranje pravil, kar navaja katero storitev ščiti in zakaj obstajada pri prihodnjih revizijah ali spremembah ne bo dvoma o njegovi uporabnosti.

Pravila po programih: natančen nadzor nad določenimi storitvami

Pravila tipov Program So priročen način za nadzor prometa aplikacije, ne da bi si bilo treba zapomniti vsa vrata, ki jih uporablja. Uporabljajo se lahko tako za dohodni kot odhodni promet.

V čarovniku izberite možnost »Pot do tega programa« in določite izvedljiva potZ uporabo okoljskih spremenljivk je mogoče zagotoviti pravilno uporabo pravila, tudi če je program nameščen na različnih poteh v različnih računalnikih.

Na strežnikih, ki gostijo storitve znotraj svchost.exe Za druge večstoritvene vsebnike je mogoče pravilo prilagoditi tako, da velja samo za določene storitve, tako da storitev izberete po njenem kratkem imenu. To vam omogoča, da na primer razlikujete promet določene storitve RPC znotraj istega procesa.

Zelo priporočljivo je, da v zavihku združite programsko pravilo z omejitvami Protokoli in vrataizrecno določanje, na katerih vratih lahko aplikacija posluša ali uporablja. Če poskusite odpreti druga vrata, jih bo požarni zid blokiral.

Pravila vrat: klasično filtriranje TCP/UDP

Pravila tipov port Omogočajo vam dovoljenje ali blokiranje prometa na podlagi lokalne ali oddaljene številke vrat in protokola (predvsem TCP ali UDP). Uporabljajo se lahko tako za vhodna kot odhodna pravila.

V tipičnem vhodnem pravilu za odpiranje, na primer, TCP vrata 21Izbran je TCP, označena so »določena lokalna vrata« in vnesena je številka 21. Določite lahko več vrat, ločenih z vejicami (npr. 21, 20, 22), ali obsege, kot je 5000–5100, lahko pa celo mešate posamezna vrata in obsege v istem pravilu.

Nato se odločite za dejanje (dovoli, dovoli, če je varno, blokiraj) in profile, kjer bo uporabljeno. To je preprost način za odpiranje določenih standardnih storitev (HTTP, HTTPS, RDP itd.), ne da bi se spuščali v podrobnosti o posameznih programih.

V primeru pravila izhodaNajpogostejša praksa je določitev oddaljenih vrat, saj je to cilj, s katerim se strežnik poskuša povezati. Tipičen primer uporabe bi bil blokiranje vsega odhodnega prometa na sumljiva vrata ali omejitev komunikacije določenih aplikacij le na zelo specifičnih vratih.

Predhodno določena in prilagojena pravila

The vnaprej določena pravila Združujejo že pripravljene konfiguracije za običajne storitve sistema Windows (skupna raba datotek in tiskalnikov, oddaljeno namizje itd.). Preprosto izberite storitev, navedite, ali jo želite dovoliti ali blokirati, izberite profile in končali ste.

Ta možnost je priročna, kadar želite hitro omogočiti ali omejiti notranjo storitev, ne da bi morali v vsakem primeru preučiti, katera vrata in protokole uporablja. Sistem v ozadju ustvari več posebnih pravil, ki pokrivajo to storitev.

The pravila po meri To so najobsežnejši in ponujajo največji nadzor. Omogočajo vam, da določite vse parametre: program (ali vse programe), vrsto storitve, protokol IP (s seznamom TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route itd.), kombinacijo lokalnih in oddaljenih vrat, izvorne in ciljne naslove IP (vključno z obsegi in podomrežji) ter dodatne pogoje.

Pri protokolih, kot sta ICMPv4 ali ICMPv6, lahko izberete, ali želite Podpirajo vse vrste ICMP ali samo določena sporočila (zahteva za odmev, odgovor na odmev, prekoračen čas itd.). Določite lahko celo posebne vrste in kode, ki se ne prikažejo na splošnem seznamu.

Prav tako čarovnik pri določanju IP-naslovov v razdelku obsega omogoča dodajte cele razpone ali podomrežja (na primer 192.168.10.0/24), da dodatno zožite izbor naprav, ki lahko uporabljajo to pravilo, tako lokalno kot oddaljeno.

Vhodna pravila ICMP na strežnikih

Ali naj se strežniku dovoli promet ICMP ali ne, je strateška odločitev. dohodno pravilo ICMP Napravi omogoča odzivanje na pinge in določena omrežna diagnostična sporočila, kar je zelo koristno za skrbniška opravila, lahko pa tudi posreduje informacije napadalcu.

Če želite v požarnem zidu sistema Windows ustvariti pravilo za dohodno ICMP, odprite napredno konzolo in pojdite na Pravila vstopa in ustvarjeno je novo pravilo po meri. V razdelku programov običajno izberete »Vsi programi«.

Na zaslonu protokola izberite ICMPv4 ali ICMPv6 To je odvisno od uporabljenega omrežnega sklada. Če delate z IPv4 in IPv6, boste morali za vsakega ustvariti pravilo. Možnost prilagajanja vam omogoča, da izberete določene vrste ICMP, ki jih želite dovoliti (samo echo request/echo reply ali širši nabor).

Nato se določi obseg (katere IP-je je mogoče pingati), dejanje (običajno dovoljenje povezave) in omrežni profili, kjer bo pravilo začelo veljati. Nazadnje se pravilu dodeli opisno ime za lažjo identifikacijo.

Pravila dohodnih in odhodnih storitev ali programa

V nekaterih primerih je želja, da se pusti Specifična storitev, poslušanje dohodnega prometa v katerih koli vratih, ki jih potrebuje, ali ravno nasprotno: preprečiti programu komunikacijo z zunanjim svetom prek katerih koli vrat.

Za dohodni del se ustvari pravilo po meri, izbere se »Pot do tega programa« in določi se izvedljiva datoteka storitve. To je nato mogoče prilagoditi tako, da pravilo velja samo za storitve, ki gostujejo znotraj te izvedljive datoteke, tako da storitev izberete po njenem kratkem imenu.

Obstaja celo možnost prilagajanja vrsta SID storitve z uporabo ukaza sc sidtype To vpliva na to, kako se lahko ta storitev uporablja znotraj pravil požarnega zidu. Če jo spremenite v OMEJENO, se lahko prepreči njen zagon, zato je treba to storiti previdno in le, če je ta vrsta zaščite potrebna.

Za odhodni del je postopek podoben, vendar se ustvari pravilo izhodaČe želite temu programu popolnoma preprečiti dostop do interneta, določite pot do izvedljive datoteke, nastavite dejanje na »Blokiraj povezavo« in izberite profile, ki jih želite omejiti.

Posebne konfiguracije za RPC in dinamična vrata

Storitve, ki uporabljajo RPC (oddaljeni klic postopka) Ta promet je lahko še posebej občutljiv, ker uporablja dinamična vrata, ki jih sistem dodeli med izvajanjem. Da bi ta promet nadzorovano omogočili skozi požarni zid sistema Windows, je običajno treba ustvariti dve posebni pravili.

Prvi se odpravi proti Storitev dodeljevanja končnih točk RPC, ki se nahaja v %systemroot%\system32\svchost.exe. Pravilo je prilagojeno tako, da velja za storitev RpcSs, kot protokol je nastavljen TCP, za lokalna vrata pa je izbrana možnost »RPC Endpoint Mapper«.

Drugo pravilo je ustvarjeno za Omrežna storitev, omogočena za RPC ki jih želimo dovoliti, pri čemer določimo pot do izvedljive datoteke, ki jo gosti, in jo povežemo s to določeno storitvijo. V tem primeru so za lokalna vrata izbrana »dinamična vrata RPC«.

V obeh pravilih se nato prilagodi obseg (dovoljeni naslovi IP), dejanje (dovoljenje povezave) in profili. Na ta način lahko prednosti posredovanja vrat RPC izkoristijo le naprave in storitve, ki izpolnjujejo te pogoje.

Beleženje, nadzor in odpravljanje težav s požarnimi zidovi sistema Windows

Ko nekaj ne deluje, kot bi moralo, so dnevnik požarnega zidu in dogodki revizije ... prvi vir informacijPriporočljivo je, da je zbirka dnevnikov pravilno konfigurirana, preden jo potrebujete.

V lastnostih požarnega zidu lahko na zavihku vsakega profila prilagodite pot do datoteke dnevnikaNajvečja velikost v KB in ali se beležijo izgubljeni paketi, uspešne povezave ali oboje. V strežniških okoljih je običajno dobro beležiti oboje, da imate jasen pregled.

Po drugi strani pa z orodjem ukazne vrstice auditpol.exe Omogočiti je mogoče posebne podkategorije revizije, kot so spremembe pravilnikov, tako da sistem ustvari podrobne dogodke, ko so spremenjeni pravilniki požarnega zidu ali IPsec.

Pri preiskovanju težave je koristno zajeti stanje omrežja z netstat -ano > netstat.txt in seznam procesov z seznam opravil > seznam opravil.txtZ navzkrižnim sklicevanjem na PID procesov v seznamu opravil z aktivnimi povezavami v netstatu je mogoče ugotoviti, kateri program uporablja določena vrata.

V zapletenih scenarijih Microsoft ponuja skripte, kot so TSS.ps1 za zbiranje naprednih sledi filtrirnega mehanizma sistema Windows (WFP), ki se nato zapakirajo v datoteko ZIP in jih je mogoče analizirati ali poslati tehnični podpori.

Zunanja orodja: SimpleWall in požarni zidovi drugih proizvajalcev

Požarni zid, vgrajen v sistem Windows, deluje dobro, vendar ga pogosto spregledamo. bolj intuitiven vmesnik in jasna obvestila, ko aplikacija prvič poskuša dostopati do interneta. Tukaj pridejo na vrsto rešitve drugih ponudnikov.

Ena od lahkih, odprtokodnih možnosti za Windows je SimpleWallZanaša se na platformo za filtriranje sistema Windows (WFP), vendar ne spreminja požarnega zidu sistema Windows neposredno. Namesto tega prek WFP ustvari lastna pravila za nadzor dostopa aplikacij.

Med njegovimi značilnostmi so a preprost urejevalnik pravilNotranji seznami za blokiranje telemetrije in vohunjenja sistema Windows, dnevniki blokiranih paketov, združljivost z IPv6 ter podpora za sistemske storitve in aplikacije iz trgovine Microsoft Store.

SimpleWall vam omogoča ustvarjanje trajnih ali začasnih pravil (ki izginejo po ponovnem zagonu), globalno aktiviranje filtrov in razvrščanje programov kot dovoljenih, blokiranih ali tiho blokiranih. Da pa vaša pravila začnejo veljati, mora SimpleWall delovati v ozadju.

Poleg SimpleWall-a se nekateri uporabniki odločijo za komercialni požarni zidovi z več funkcijami: poglobljenim pregledom paketov, vnaprej konfiguriranimi seznami za preprečevanje sledenja, peskovnikom, vedenjsko analizo, naprednimi grafičnimi nadzornimi ploščami in izboljšano vidljivostjo odhodnega prometa. Mnogi od teh izdelkov se integrirajo s požarnim zidom sistema Windows ali ga delno nadomestijo.

Zmogljivost, prednosti in slabosti uporabe požarnih zidov na strežnikih

Uporaba požarnega zidu, bodisi na ravni perimetra bodisi na ravni operacijskega sistema, ima majhen vpliv stroški delovanjaKer se vsak omrežni paket analizira glede na eno ali več pravil. To je lahko opazno na opremi z zelo omejeno ali zelo staro strojno opremo. Preverite Vodnik za optimizacijo strežnikov Linux za ublažitev vplivov.

Vendar pa je prednost tega, da imamo prva obrambna ovira To je ogromno: zmanjšuje izpostavljenost zunanjim napadom, nadzoruje, katere aplikacije se lahko povežejo od zunaj, ustvarja uporabne dnevnike za revizijo in prilagaja raven zaščite glede na to, ali ste v zaupanja vrednem ali javnem omrežju.

Glavne pomanjkljivosti, poleg vpliva na delovanje, so zahtevnost vzdrževanja (zlasti za neizkušene uporabnike) in lažni občutek varnosti: požarni zid ne nadomesti dobrega protivirusnega programa, sistemskih posodobitev ali seveda zdrave pameti skrbnika.

Poleg tega pravilno upravljanje pravil zahteva čas: pregled dejanske uporabe, odstranjevanje zastarelih pravil, dokumentiranje sprememb in preverjanje, da pri izvajanju hitrih testov ali začasnih izjem nenamerno ne ostanejo odprte nobene vrzeli.

Napredne najboljše prakse za varnost požarnega zidu na strežnikih

V resnem strežniškem okolju ni dovolj, da samo nastavite štiri pravila in pozabite nanje. Obstaja več dobre prakse ki pomagajo ohranjati nadzor in zmanjševati dolgoročna tveganja.

Prvi je uporaba načelo najmanjših privilegijev (PoLP)To velja tako za uporabnike kot za pravila. Izogiba se splošnim pravilom, kot je »dovoli vse z katerega koli IP-ja«, in namesto tega definira pravila, prilagojena določenim IP-jem ali podomrežjem, določenim vratom in znanim aplikacijam.

Drug ključnega pomena je vzdrževanje požarnega zidu in njegovih komponent. vedno posodobljenTo vključuje nameščanje popravkov operacijskega sistema, vdelane programske opreme za fizični požarni zid, podpisov IPS in vseh posodobitev, ki jih izda prodajalec, po možnosti po testiranju v testnem okolju.

Nenazadnje je bistveno, da se namesti učinkovito spremljanje in beleženjePošljite dnevnike v SIEM, definirajte opozorila za sumljive vzorce (na primer veliko paketov, blokiranih z istega IP-naslova) in občasno pregledujte poročila, ne le zbirajte jih »za vsak slučaj«.

Poleg logične plasti, fizično varovanje Pomembne funkcije požarnega zidu vključujejo: opremo v zaprtih omarah, omejen dostop do tehnične sobe in varnostne kopije konfiguracije, ki omogočajo hitro povrnitev napak, če se po spremembi kaj pokvari.

Dodatne plasti: filtriranje URL-jev, VPN, IPS, QoS in nadzor aplikacij

Večina sodobnih NGFW-jev omogoča omogočanje naprednih funkcij, ki dopolnjujejo osnovno filtriranje paketov in pravila IP/vrat.

El Filtriranje URL-jev Omogoča vam razvrščanje spletnih mest po kategorijah (zlonamerna programska oprema, družbena omrežja, vsebine za odrasle, prenosi P2P itd.) in blokiranje tistih, ki se štejejo za neprimerne ali nevarne, kar pomaga tako okrepiti varnost kot tudi uveljavljati pravilnike sprejemljive uporabe.

The VPNNe glede na to, ali gre za dostop med lokacijami ali oddaljeni dostop, se VPN-ji za šifriranje prometa med pisarnami in oddaljenimi uporabniki zanašajo na protokole, kot sta IPsec ali SSL/TLS. Požarni zidovi običajno integrirajo prekinitev teh VPN-jev in za šifriran promet uporabljajo enake nadzorne politike kot za preostali del omrežja.

Un Sistem za preprečevanje vdorov (IPS) V realnem času pregleduje promet in išče znane vzorce napadov ali nenavadno vedenje ter lahko samodejno blokira povezave, ki poskušajo izkoristiti ranljivosti sistema ali aplikacije.

El nadzor aplikacij Zagotavlja veliko večjo preglednost kot le vrata: omogoča vam, da se odločite, katere določene aplikacije (npr. Skype, Dropbox, igralne aplikacije itd.) so dovoljene ali blokirane, tudi če uporabljajo standardna ali šifrirana vrata.

Končno Kakovost storitve (QoS) Omogoča dajanje prednosti kritičnemu prometu (glas, videokonference, poslovne aplikacije) pred drugimi manj pomembnimi tokovi, s čimer preprečuje, da bi se obsežno prenašanje ali varnostno kopiranje spremenilo v omrežje, neuporabno za končnega uporabnika.

Skrbno poskrbite za napredna konfiguracija požarnega zidu na strežnikihOd zasnove con in podrobnih pravil do uporabe funkcij naslednje generacije, beleženja, revizije in orodij, kot sta SimpleWall ali namensko NGFW, to naredi razliko med omrežjem, ki "bolj ali manj preživi", in infrastrukturo, ki je resnično pripravljena na to, da se upre napadom, raste brez izgube nadzora in izpolnjuje trenutne varnostne zahteve.