Напредна конфигурација заштитног зида на серверима

Информатек Дигитал » Средства » Напредна конфигурација заштитног зида на серверима

Овладајте напредна конфигурација заштитног зида на серверима То више није само питање великих корпорација. Свака компанија која озбиљно схвата сајбер безбедност мора да разуме како да сегментира мрежу, дефинише зоне, креира детаљна правила и извуче максимум из периметралног заштитног зида и самог Windows заштитног зида на сваком рачунару и серверу.

Кроз овај водич ћете видети, прилично детаљно, како Заштитни зидови следеће генерације (НГФВ)Како дизајнирати зоне (LAN, WAN, DMZ, VLAN), које врсте правила применити (програм, порт, протокол, IP…), како искористити предности Виндовс заштитни зид са напредном безбедношћуКакву улогу играју алати попут SimpleWall-а и које најбоље праксе треба следити како би се спречило да цела ова структура постане неуправљив хаос?

Заштитни зидови следеће генерације на серверима: много више од филтрирања портова

Заштитни зидови следеће генерације, као што су ФортиГејт НГФВОни комбинују напредне мрежне функције и дубоку безбедност у једном уређају. Не само да отварају или затварају портове; анализирају саобраћај на нивоу апликације, прегледају шифровани садржај и интегришу се са сложеним cloud, LAN, WLAN и архитектурама даљинског приступа.

У случају FortiGate-а, срце система је ФортиОССпецифичан оперативни систем који обједињује безбедносне политике и мрежне функције: интегрисани SD-WAN, универзални ZTNA, контрола саобраћаја у бежичним и жичним мрежама и централизовано управљање захваљујући FortiManager-у.

Штавише, ови тимови се ослањају на власничка ASIC архитектура (наменски чипови) за убрзање инспекције и дешифровања пакета без нарушавања перформанси или скока у потрошњи енергије, чак и када је мрежа под великим оптерећењем и постоје стотине или хиљаде истовремених сесија.

Заштита од претњи је појачана помоћу ФортиГард услугекоји додају вештачку интелигенцију за откривање злонамерног софтвера, сумњивог саобраћаја, експлоатација и циљаних напада, уклапајући све у концепт Fortinet Security Fabric-а: безбедносне структуре која обухвата мрежу, крајње тачке и облак како би се координисано реаговало на инциденте.

Дизајн зоне заштитног зида и сегментација мреже на серверима

Пре него што почнете да стварате правила као да нема сутра, морате да дизајнирате... зонска архитектура и сегментација мрежеШто је мрежа равнија, то је нападачу лакше да се креће бочно када уђе унутра.

Први корак је идентификовати кључна средства и услугеВеб сервери, базе података, интерне апликације, уређаји на продајним местима, VoIP PBX-ови, гостујуће мреже итд. У зависности од њихове критичности и изложености, груписани су у различите логичке зоне.

Стандардна пракса је креирање ДМЗ (демилитаризована зона) За сервере који пружају услуге директно интернету (е-пошта, VPN, веб апликације, јавни портали итд.), ови системи морају бити изоловани и од спољне мреже и од најосетљивије унутрашње мреже, ограничавајући колико год је то могуће саобраћај који може да тече између различитих подручја.

Сервери којима се може приступити само из организације налазе се у унутрашње серверске областиОне су заузврат одвојене од корисничке мреже, управљачке мреже и било ког лабораторијског или тестног окружења. Да би ово било практично, уобичајено је користити прекидаче са подршком за ВЛАН да се одржи раздвајање и на нивоу 2.

У IPv4 окружењима, све интерне мреже морају да користе приватни домети (RFC1918) и ослањају се на NAT механизме за приступ интернету. Превођење се обично врши на периметралном заштитном зиду (firewall), који такође спроводи политике долазног и одлазног саобраћаја за сваку одређену зону.

Листе контроле приступа (ACL) и међузонска правила

Када су зоне дефинисане и додељене интерфејсима или подинтерфејсима заштитног зида, време је да... ACL (листе контроле приступа)која су правила која одређују који је саобраћај дозвољен, а који одбијен између тих зона.

Идеја је да се за сваки интерфејс или подинтерфејс дефинише скуп правила која су што једноставнија. специфичан и детаљан Могући захтеви укључују: изворну IP адресу или подмрежу, одредишну IP адресу или подмрежу, протокол (TCP, UDP, ICMP, итд.), укључене портове и акцију (дозволи или забрани). Што су правила мање генеричка, то ће бити мање безбедносних празнина.

Добра пракса је да се сваки ACL заврши правилом имплицитно „порећи све“Ово делује као сигурносна мрежа: ако пакет не испуњава ниједно постојеће правило дозволе, он се блокира. Након тога се креирају веома специфични изузеци за токове који су заиста потребни.

Такође је препоручљиво онемогућити јавни приступ административним интерфејсима заштитног зида (HTTP, HTTPS, SSH, итд.), омогућавајући управљање само из веома специфичних интерних мрежа или путем безбедног VPN-а за управљање.

Модерни NGFW-ови могу да иду даље од портова и IP-а, користећи контрола апликацијаВеб категорије, IPS и напредна анализа датотека (sandbox). Ако сте већ платили за ове функције, има смисла да их активирате и конфигуришете у критичним токовима рада, посебно онима који прелазе периметр.

Дозвољени заштитни зид наспрам рестриктивног заштитног зида на серверима

Кључна тачка при дизајнирању политике заштитног зида (било да је у питању периметр или оперативни систем) јесте одлучивање да ли почети од одређеног положаја. дозвољавајуће или рестриктивне.

У једном дозвољени заштитни зид Крајње имплицитно правило је „дозволи све“. Блокирано је само оно што је експлицитно дефинисано правилима забране. Овај приступ се обично користи на поузданим локалним мрежама (LAN) или на рачунарима конфигурисаним као „приватна мрежа“ у оперативном систему Windows.

У једном рестриктивни заштитни зид Дешава се супротно: врхунско правило је „забрани све“. Дозвољен је само саобраћај који одговара експлицитним правилима дозволе. Ова филозофија је уобичајена у интерфејсу мреже широког подручја (WAN), у заштитним зидовима као што су pfSense или корпоративни NGFW-ови и у уређајима конфигурисаним као „јавна мрежа“.

Виндоус, на пример, користи подразумевано рестриктивна политика за долазне везе (блокира све што није изричито дозвољено) и попустљива политика у погледу издатака (Дозвољава све осим онога што сте блокирали.) Ово се може подесити из напредних својстава заштитног зида.

Шта Windows заштитни зид заиста може да понуди на серверима?

El Виндовс заштитни зид са напредном безбедношћу Много је моћнији него што многи људи схватају. Може да контролише долазни и одлазни саобраћај, филтрира по IP адреси, порту, протоколу, услузи, мрежном интерфејсу, типу профила (домен, приватни, јавни), па чак и по кориснику или групи у неким сценаријима.

Међу његовим могућностима, истичу се следеће: филтрирање пакета На ниском нивоу, генерише детаљне логове (који се затим могу анализирати помоћу прегледача догађаја или послати SIEM-у), детектује јавне мреже да би аутоматски применио строжи профил и интегрише се са другим безбедносним слојевима као што је Windows Defender.

За мала предузећа и многа серверска окружења, добро конфигурисан сервер може бити више него довољноПоготово када се комбинује са робусним антивирусним софтвером и добрим административним праксама. Међутим, важно је бити свестан његових ограничења: није замена за периметрални NGFW или наменски IPS.

Као слабе тачке, треба напоменути да Windows заштитни зид не нуди ову функцију подразумевано. дубока инспекција пакета Са напредним потписима, не блокира изворно системску телеметрију, његова обавештења су дискретна (једва вас упозорава на нове везе), а начин консултације логова није једноставан за кориснике који нису технички стручњаци.

Приступ Windows заштитном зиду са напредном безбедношћу

Да бисте управљали напредним подешавањима заштитног зида у окружењу Домен Активног директоријумаИдеално би било да се сарађује са GPO (Објекти групних политика)Неопходно је припадати групи Администратори домена или имати делегиране дозволе за GPO-е.

Из конзоле за управљање политикама, крећете се кроз Политике > Конфигурација рачунара > Подешавања система Windows > Безбедносна подешавања > Windows заштитни зид са напредном безбедношћуТамо се могу дефинисати заједничка правила за клијентске рачунаре и сервере придружене домену.

Ако је то у питању један сервер или локални рачунарПотребне су вам само администраторске привилегије на том уређају. Најбржи начин да отворите конзолу је да притиснете СТАРТ и откуцате вф.мсц и притисните Ентер. Отвориће се конзола Windows заштитног зида са напредном безбедношћу за тај рачунар.

Главни екран приказује долазна правила, одлазна правила, правила безбедности везе и конфигурацију различитих профила (домен, приватни, јавни), заједно са облашћу за праћење где су видљива само активна правила.

Профили, глобалне политике и подразумевано понашање

Панел са својствима заштитног зида контролише глобалне опције за сваки мрежни профил (домен, приватна, јавна). Ове опције одређују како се заштитни зид понаша када је мрежни адаптер повезан са одређеним типом мреже.

За сваки профил можете да одлучите да ли је заштитни зид омогућен. укључено или искљученоДа ли су долазне везе које не испуњавају ниједно правило блокиране или дозвољене, а исто важи и за одлазне везе.

Такође се могу подесити параметри као што су следећи: обавештења приликом блокирања програма, локација где се евиденције заштитног зида, максимална величина тих логова и посебан третман саобраћаја заштићеног IPsec VPN тунелима, што се генерално сматра поузданијим.

У Супервисион Приказују се сва тренутно активна правила, укључујући она из објеката групних смерница (GPO) и она дефинисана локално. Ово је место где можете видети која су правила заправо активна и са којим параметрима, а одатле можете отворити и изменити њихова својства.

Правила уласка и изласка: смер саобраћаја

Приликом рада са правилима у Windows заштитном зиду, једна од најчешћих грешака је збуњујући правац саобраћајаДолазна правила се примењују на пакете који стижу на рачунар; одлазна правила се примењују на пакете који напуштају рачунар ка другој машини.

Ако је циљ спречавање веза са интернета ка серверу, биће потребно креирати или изменити правила уласкаАко је, с друге стране, циљ спречити повезивање серверског сервиса или програма са спољашњошћу, морају се предузети мере на правила изласка.

Сваки унос на листи означава да ли је правило омогућено (зелена икона потврдног знака) или онемогућено. Онемогућена правила не утичу на саобраћај, иако су и даље дефинисана. Уобичајено је пронаћи многа унапред дефинисана Windows правила која су присутна, али нису активна док не буду потребна.

Да би добро разумели изворни/одредишни ток и локални/удаљени порт Ово је неопходно како би се избегло креирање правила која се никада не примењују или која се отварају више него што је заиста потребно, што је веома уобичајено приликом конфигурисања сложених сервиса.

Врсте правила у Windows заштитном зиду

Чаробњак за нова правила заштитног зида система Windows нуди четири главне категорије: програм, порт, унапред дефинисано и прилагођеноСваки је дизајниран за другачији сценарио и важно је пажљиво одабрати у зависности од тога шта желите да постигнете.

Правила програмски фокусирају се на одређени извршни фајл; оне од пуерто Филтрирају по броју TCP или UDP порта; предефинисана Они поједностављују управљање познатим Windows сервисима; и персонализовани Они омогућавају веома фино подешавање комбиновањем више критеријума одједном.

У свим случајевима, чаробњак се завршава питањем коју радњу желимо да применимо (дозволи, дозволи само ако је безбедно помоћу IPsec-а или блокирај) и на које мрежне профиле ће се то правило применити (домен, приватни, јавни). Коначно, име и опис како би се касније могао лако идентификовати.

На критичним серверима, вреди одвојити време да се правила правилно документују, што указује коју услугу штити и зашто постојитако да у будућим ревизијама или променама неће бити сумње у његову корисност.

Правила по програму: фина контрола одређених услуга

Правила типа програмски Они су згодан начин за контролу саобраћаја апликације без потребе за памћењем свих портова које користи. Могу се применити и на долазни и на одлазни саобраћај.

У чаробњаку изаберите опцију „Путања до овог програма“ и наведите извршна путањаМогуће је користити променљиве окружења како би се осигурало да се правило правилно примењује чак и ако је програм инсталиран на различитим путањама на различитим рачунарима.

На серверима који хостују сервисе унутар свцхост.еке За друге контејнере са више сервиса, могуће је прилагодити правило да се примењује само на одређене сервисе одабиром сервиса по његовом скраћеном називу. Ово вам омогућава да разликујете, на пример, саобраћај одређеног RPC сервиса унутар истог процеса.

Топло се препоручује комбиновање програмског правила са ограничењима на картици Протоколи и портовиексплицитно навођење на којим портовима та апликација може да слуша или користи. Ако покушате да отворите други порт, заштитни зид ће га блокирати.

Правила портова: класично TCP/UDP филтрирање

Правила типа пуерто Омогућавају вам да дозволите или блокирате саобраћај на основу локалног или удаљеног броја порта и протокола (првенствено TCP или UDP). Могу се користити и за долазна и за одлазна правила.

У типичном долазном правилу за отварање, на пример, ТЦП порт 21Изабран је TCP, назначено је „одређени локални портови“ и унето је 21. Могу се навести више портова одвојених зарезима (нпр. 21, 20, 22) или опсези као што су 5000-5100, чак и мешање појединачних портова и опсега у истом правилу.

Затим, одлучујете о акцији (дозволи, дозволи ако је безбедно, блокирај) и профилима где ће се применити. То је једноставан начин за отварање одређених стандардних сервиса (HTTP, HTTPS, RDP, итд.) без улажења у детаље о одређеним програмима.

У случају правила изласкаНајчешћа пракса је да се наведе удаљени порт, јер је то одредиште са којим сервер покушава да се повеже. Типичан случај употребе би био блокирање целокупног одлазног саобраћаја ка сумњивим портовима или ограничавање комуникације одређених апликација само на веома специфичним портовима.

Унапред дефинисана и прилагођена правила

Тхе унапред дефинисана правила Они групишу готове конфигурације за уобичајене Windows сервисе (Дељење датотека и штампача, Удаљена радна површина итд.). Једноставно изаберите сервис, назначите да ли га желите дозволити или блокирати, изаберите профиле и готови сте.

Ова опција је згодна када желите брзо да омогућите или ограничите интерну услугу без потребе да истражујете које портове и протоколе користи у сваком случају. Иза кулиса, систем креира неколико специфичних правила која покривају ту услугу.

Тхе прилагођена правила Ово су најсвеобухватнији и нуде највећу контролу. Омогућавају вам да наведете све параметре: програм (или све програме), тип услуге, IP протокол (са листом TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route, итд.), комбинацију локалних и удаљених портова, изворне и одредишне IP адресе (укључујући опсеге и подмреже) и додатне услове.

У протоколима као што су ICMPv4 или ICMPv6, можете изабрати да ли ћете Подржавају све врсте ICMP-а или само одређене поруке (захтев за одјек, одговор на одјек, прекорачено време итд.). Можете чак дефинисати и одређене типове и кодове који се не појављују на општој листи.

Такође, приликом дефинисања IP адреса у одељку опсега, чаробњак дозвољава додајте целе опсеге или подмреже (на пример, 192.168.10.0/24) да бисте додатно сузили избор уређаја који могу да користе то правило, како локално тако и даљински.

ICMP долазна правила на серверима

Да ли дозволити ICMP саобраћај ка серверу је стратешка одлука. долазно ICMP правило Омогућава уређају да реагује на пингове и одређене дијагностичке поруке мреже, што је веома корисно за административне задатке, али може пружити и информације нападачу.

Да бисте креирали ICMP правило за долазни саобраћај у Windows заштитном зиду, отворите напредну конзолу, идите на Правила уласка и креира се ново прилагођено правило. У одељку програма обично бирате „Сви програми“.

На екрану протокола изаберите ICMPv4 или ICMPv6 Ово зависи од коришћеног мрежног стека. Ако радите и са IPv4 и са IPv6, мораћете да креирате правило за сваки. Опција прилагођавања вам омогућава да изаберете одређене ICMP типове које желите да дозволите (само echo request/echo reply или шири скуп).

Затим се дефинише опсег (које IP адресе се могу пинговати), радња (обично дозвољавање везе) и мрежни профили где ће правило ступити на снагу. На крају, правилу се додељује описно име ради лакше идентификације.

Правила за долазне и одлазне услуге или програме

У неким сценаријима, жеља је да се дозволи Одређена услуга, слушајте долазни саобраћај на било ком порту који му је потребан, или управо супротно: спречити програм да комуницира са спољним светом преко било ког порта.

За долазни део, креира се прилагођено правило, бира се „Путања до овог програма“ и наводи се извршна датотека сервиса. Ово се затим може прилагодити тако да се правило примењује само на сервисе хостоване унутар тог извршног фајла, избором сервиса по његовом скраћеном имену.

Постоји чак и опција за подешавање тип SID-а услуге коришћењем команде sc sidtype Ово утиче на то како се та услуга може користити у оквиру правила заштитног зида. Промена на ОГРАНИЧЕНО може спречити њено покретање, па то треба урадити пажљиво и само када је та врста заштите потребна.

За одлазни део, процес је сличан, али креирање правило изласкаАко желите потпуно да блокирате приступ интернету том програму, дефинишите путању до извршне датотеке, подесите акцију на „Блокирај везу“ и изаберите профиле које желите да ограничите.

Посебне конфигурације за RPC и динамичке портове

Услуге које користе РПЦ (позив удаљеног поступка) Овај саобраћај може бити посебно осетљив јер користи динамичке портове које систем додељује током извршавања. Да би се овај саобраћај контролисано дозволио кроз Windows заштитни зид, обично је потребно креирати два посебна правила.

Први се упућује ка Услуга додељивања RPC крајњих тачака, који се налази у %systemroot%\system32\svchost.exe. Правило је прилагођено да се примењује на RpcSs сервис, TCP је подешен као протокол, а опција „RPC Endpoint Mapper“ је изабрана за локални порт.

Друго правило је створено за Мрежна услуга са омогућеним RPC-ом које желимо да дозволимо, наводећи путању до извршне датотеке која је хостује и повезујући је са том специфичном услугом. У овом случају, за локални порт се бирају „RPC динамички портови“.

У оба правила, опсег (дозвољене IP адресе), акција (дозвола везе) и профили се затим подешавају. На овај начин, само уређаји и сервиси који испуњавају ове услове могу да искористе предности RPC прослеђивања портова.

Евиденција, ревизија и решавање проблема са Windows заштитним зидовима

Када нешто не функционише како треба, дневник заштитног зида и догађаји ревизије су први извор информацијаПрепоручљиво је да правилно конфигуришете колекцију дневника пре него што вам затреба.

У својствима заштитног зида, на картици сваког профила, можете прилагодити путања датотеке дневникаМаксимална величина у KB и да ли се евидентирају одбачени пакети, успешне везе или обоје. У серверским окружењима, обично је добра идеја евидентирати оба да би се имао јасан преглед.

С друге стране, помоћу алата командне линије auditpol.exe Одређене подкатегорије ревизије, као што су промене политика, могу се омогућити тако да систем генерише детаљне догађаје када се измене политике заштитног зида или IPsec-а.

Приликом истраживања проблема, корисно је забележити стање мреже помоћу нетстат -ано > нетстат.ткст и списак процеса са листа задатака > листа задатака.txtУпоређивањем PID-а процеса у листи задатака са активним везама у netstat-у, могуће је сазнати који програм користи одређени порт.

У сложеним сценаријима, Мајкрософт пружа скрипте као што су TSS.ps1 да прикупи напредне трагове Windows Filtering Engine-а (WFP), који се затим пакују у ZIP датотеку и могу се анализирати или послати техничкој подршци.

Спољни алати: SimpleWall и заштитни зидови трећих страна

Заштитни зид уграђен у Windows добро функционише, али се често занемарује. интуитивнији интерфејс и јасна обавештења када апликација покуша да први пут приступи интернету. Ту долазе до изражаја решења трећих страна.

Једна од лаганих опција отвореног кода за Windows је СимплеВаллОслања се на Windows платформу за филтрирање (WFP), али не мења директно Windows заштитни зид. Уместо тога, креира сопствена правила путем WFP-а како би контролисао које апликације имају приступ.

Међу његовим карактеристикама су једноставан уређивач правилаИнтерне листе за блокирање Windows телеметрије и шпијунирања, евиденције блокираних пакета, подршка за IPv6 и подршка за системске услуге и апликације из Microsoft продавнице.

SimpleWall вам омогућава да креирате трајна или привремена правила (која нестају након поновног покретања), активирате филтере глобално и класификујете програме као дозвољене, блокиране или тихо блокиране. Међутим, да би ваша правила ступила на снагу, сам SimpleWall мора да ради у позадини.

Поред SimpleWall-а, неки корисници се одлучују за комерцијални заштитни зидови са више функција: дубинска инспекција пакета, унапред конфигурисане листе за заштиту од праћења, испитивање у „песчанику“, анализа понашања, напредне графичке контролне табле и побољшана видљивост одлазног саобраћаја. Многи од ових производа се интегришу са Windows заштитним зидом или га делимично замењују.

Перформансе, предности и мане коришћења заштитних зидова на серверима

Коришћење заштитног зида, било на нивоу периметра или оперативног система, има мали трошкови у перформансамаЗато што се сваки мрежни пакет анализира у односу на једно или више правила. Ово може бити приметно на опреми са веома ограниченим или веома старим хардвером. Проверите Водич за оптимизацију Linux сервера да ублаже утицаје.

Међутим, предност поседовања прва баријера одбране Огроман је: смањује изложеност спољним нападима, контролише које апликације могу да се повежу споља, генерише корисне логове за ревизију и прилагођава ниво заштите у зависности од тога да ли сте на поузданој мрежи или јавној мрежи.

Главни недостаци, поред утицаја на перформансе, су сложеност одржавања (посебно за неискусне кориснике) и лажни осећај сигурности: заштитни зид не замењује добар антивирус, ажурирања система или, наравно, здрав разум администратора.

Штавише, правилно управљање правилима захтева време: преглед онога што се заправо користи, уклањање застарелих правила, документовање промена и провера да се ненамерно не остављају отворене рупе приликом извођења брзих тестова или привремених изузетака.

Напредне најбоље праксе за безбедност заштитног зида на серверима

У озбиљном серверском окружењу, није довољно само подесити четири правила и заборавити на њих. Постоји низ добре праксе који помажу у одржавању контроле и смањењу дугорочних ризика.

Прво је примена принцип најмањих привилегија (ПоЛП)Ово се односи и на кориснике и на правила. Избегава генеричка правила попут „дозволи све са било које ИП адресе“ и уместо тога дефинише правила прилагођена одређеним ИП адресама или подмрежама, одређеним портовима и познатим апликацијама.

Још једна кључна ствар је одржавање заштитног зида и његових компоненти. увек ажуриранОво подразумева примену закрпа за оперативни систем, фирмвера физичког заштитног зида, IPS потписа и свих ажурирања које је објавио добављач, пожељно након тестирања у тест окружењу.

Коначно, неопходно је распоредити ефикасно праћење и снимањеШаљите логове SIEM систему, дефинишите упозорења за сумњиве обрасце (на пример, много пакета блокираних са исте IP адресе) и периодично прегледајте извештаје, не само да их прикупљате „за сваки случај“.

Поред логичког слоја, физичко обезбеђење Важне карактеристике заштитног зида укључују: опрему у затвореним рековима, ограничен приступ техничкој просторији и резервне копије конфигурације како би се омогућило брзо враћање на претходно стање ако се нешто поквари након промене.

Додатни слојеви: филтрирање URL-ова, VPN, IPS, QoS и контрола апликација

Већина модерних NGFW-ова вам омогућава да омогућите напредне функције које допуњују основно филтрирање пакета и IP/порт правила.

El Филтрирање URL-ова Омогућава вам да класификујете веб странице по категоријама (малвер, друштвене мреже, садржај за одрасле, P2P преузимања итд.) и блокирате оне које се сматрају неприкладним или опасним, што помаже и у јачању безбедности и у спровођењу политика прихватљивог коришћења.

Тхе ВПНБез обзира да ли се ради о приступу од локације до локације или удаљеном приступу, VPN-ови се ослањају на протоколе попут IPsec-а или SSL/TLS-а за шифровање саобраћаја између канцеларија и удаљених корисника. Заштитни зидови обично интегришу прекидање ових VPN-ова и примењују исте политике контроле на шифровани саобраћај као и на остатак мреже.

Un Систем за спречавање упада (IPS) Прегледава саобраћај у реалном времену тражећи познате обрасце напада или чудно понашање и може аутоматски блокирати везе које покушавају да искористе рањивости система или апликације.

El контрола апликација Пружа много већу видљивост од самог порта: омогућава вам да одлучите које су одређене апликације (нпр. Skype, Dropbox, апликације за игре итд.) дозвољене или блокиране, чак и када користе стандардне или шифроване портове.

Коначно Квалитет услуге (КоС) Омогућава давање приоритета критичном саобраћају (глас, видео конференције, пословне апликације) у односу на друге мање важне токове, спречавајући да се масовно преузимање или прављење резервних копија претвори у мрежу неупотребљиву за крајњег корисника.

Пажљиво водите рачуна о напредна конфигурација заштитног зида на серверимаОд дизајна зона и детаљних правила до употребе функција следеће генерације, евидентирања, ревизије и алата попут SimpleWall-а или наменског NGFW-а, то прави разлику између мреже која „мање-више пролази“ и инфраструктуре која је заиста спремна да издржи нападе, расте без губитка контроле и испуњава тренутне безбедносне захтеве.