防火墙规则管理最佳实践

日期: 2009-07-01 作者:Michael Cobb翻译:Tina Guo 来源:TechTarget中国 英文

有多少网络管理员想过如果他们对公司防火墙规则设置所作的变化会在网络防御上打开缺口呢?   现在网络的复杂性使对整个边界、应用和用户的纵览的维护变得很难。IT人员经常有变更、新应用会添加,用户来来去去或者角色发生变化。这些变化都要要求对防火墙规则作出变更,许可证也会很快变得混乱。在本文中,我们将讨论成功变更防火墙规则的方法和技术。

  首先,我认为管理防火墙规则的最佳方式是使用这三条关键指导方针: 保持规则库的简单记录每一条规则采用变更控制策略   保持规则库简单   防火墙使用手册经常难以理解,但要切记的关键点是过滤器指定了特定值的行为,例如阻止端口80,但是规则采用了条件语言,如果port=……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

有多少网络管理员想过如果他们对公司防火墙规则设置所作的变化会在网络防御上打开缺口呢?

  现在网络的复杂性使对整个边界、应用和用户的纵览的维护变得很难。IT人员经常有变更、新应用会添加,用户来来去去或者角色发生变化。这些变化都要要求对防火墙规则作出变更,许可证也会很快变得混乱。在本文中,我们将讨论成功变更防火墙规则的方法和技术。

  首先,我认为管理防火墙规则的最佳方式是使用这三条关键指导方针:

  • 保持规则库的简单
  • 记录每一条规则
  • 采用变更控制策略

  保持规则库简单

  防火墙使用手册经常难以理解,但要切记的关键点是过滤器指定了特定值的行为,例如阻止端口80,但是规则采用了条件语言,如果port=80,那就拒绝。配制防火墙的方式应该来源于在企业的安全策略中建立的业务规则。如果你以支持这些指令为目标而采用了防火墙配制,这些规则和过滤器就应该自我解释。

  把过滤器和规则规则结合起来的最好方式是建立基本的 “拒绝”过滤器,然后设置独立的过滤器或者规则来处理特殊情况。例如,阻止所有端口,允许80端口。这种防火墙规则管理方式不能必然地规避互相重叠的规则,但是通过总是把“允许”规则放在“拒绝”过滤器前面,整体的规则设置就安全多了。

  记录和变更控制策略

  通过对每一条规则的评论和详细的记录,在做出变更的时候就很容易理解每一条规则背后的含义。还有一点很重要,只在遵循变更控制程序下作变更,正式协调的方法可以保住变更经过测试,并在产生了非故意结果(例如,不安全的配置)发生后可以翻转。还要确保规则或者策略都有有意义的名字,文件名中要包含创建实践和管理员名字首字母。

  有些管理员认为依靠单一的防火墙技术并不安心,淡然没有一个防火墙可以把多有的事情出色的完成。很多时候,多个防火墙需要处理网络上的多个入口,保护各种不同的业务应用。但是在网络上设置的防火墙越多,让他们在整个网络上协调一致工作就越难。

  在这种情况下最好的策略是确定每一个防火墙在网络流量中的目都有明确的标和位置。例如,如果有一个防火墙是为了保护数据库,那么它的规则和过滤器就只需要关注控制流入流出数据库的流量,而不关注网络上的其他设备。这样规则设置就简单的多,从而管理也很容易。

  可以自动管理防火墙规则的产品

  目前已经有了自动进行防火墙管理的技术,这样在企业中维护防火墙设置的一致性和协调性就很简单了。例如只使用了四科防火墙的望楼哦可以使用CiscoWorks Management Center for PIX来管理多个PIX Firewall设备的配置,而McAfee的Firewall Enterprise Control Center提供了一个中央界面来简化多个McAfee Firewall工具的管理。

  Juniper的Network and Security Manager (NSM)防火墙管理工具中我喜欢的一个功能是在每个Junipei 防火墙上创建“开始”和“结束”规则的能力,而本地的管理员不能删除或者仅用这些规则。为了在复杂的环境中配置连贯的规则,可以尝试使用Firewall Builder,这是一个中立场上的应用,可以配置和管理防火墙规则。使用Firewall Builder可以从它的GUI中的相同策略中为所支持的目标防火墙平台产生配置文件。
 
  (原文此处还提到两款国外流行的防火墙管理工具,分别是Algosec Inc.和RedSeal Systems Inc.的产品,有兴趣的读者可以参照英文原文。)

  不管使用哪个产品,切记对防火墙策略的不断改变会影响它们的性能。调整还包含了策划以及与网络上的其他方面协调变化的成本和时间。最后,我建议定期对防火墙规则进行审计,来确定“已经采用的”配置没有和“设计的”配置分离。在服务和系统从网络上移出的时候会产生孤立和不使用的规则,或者其他的变化也会导致规则的废弃。

翻译

Tina Guo
Tina Guo

相关推荐

  • NSS实验室评估下一代防火墙

    根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]

  • 为什么单靠网络外围安全行不通?

    近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…

  • “外围”消亡 企业安全防护需要新形态

    外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

  • 怎样正确地测试和维护防火墙?

    大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事……