接着,利用刚创建的对象组来设置5条防火墙规则,这些规则是按如下顺序启用的(记住防火墙的规则是自上至下应用的): 允许网络 此规则将允许所有内部通信和任意已知的互联网连接到特定网络,其中可能包括商业合作伙伴。该规则是开放的,如果需要可以在以后缩紧: access-list inside_access_in extended permit ip any object-group egress_allow_networks log 6 interval 300 允许服……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
接着,利用刚创建的对象组来设置5条防火墙规则,这些规则是按如下顺序启用的(记住防火墙的规则是自上至下应用的):
允许网络
此规则将允许所有内部通信和任意已知的互联网连接到特定网络,其中可能包括商业合作伙伴。该规则是开放的,如果需要可以在以后缩紧:
| access-list inside_access_in extended permit ip any object-group egress_allow_networks log 6 interval 300 |
允许服务
这条规则将应用于所有允许外出到互联网的网络服务。常见的服务包括HTTP和HTTPS。最好的办法是将代理服务器设置为这条规则的唯一源地址。但是,在这个例子中,我们允许所有源地址。
| access-list inside_access_in extended permit object-group egress_allowed_ports any any log 6 interval 300 |
如果你只想允许代理服务器,假设代理服务器的IP地址是192.168.10.20,出口的规则,如下:
| object-group egress_allowed_ports host 192.168.10.20 any log 6 interval 300 |
监测服务
这条规则将监测和识别出哪些服务我们可以安全的阻止:
| access-list inside_access_in extended permit object-group egress_monitor_ports any any log 6 interval 300 |
阻止服务
这条规则启用出口通信过滤,另一方面,也是强制执行企业的安全策略。规则通过协议阻止 “阻止外出端口”对象组的外出通信,当然持续监测也至关重要:
| access-list inside_access_in extended deny object-group egress_block_ports any any log 6 interval 300 |
允许所有
创建一条允许所有外出通信的规则是至关重要的。一旦我们添加了规则,第一条内置的允许所有到较为安全网络的规则就将失效,第二条内置的规则就会拒绝所有设置之外的通信:
| access-list inside_access_in extended permit ip any any |
检查所有规则
| ciscoasa# show run access-list inside_access_in access-list inside_access_in extended permit ip any object-group egress_allow_networks log informational access-list inside_access_in extended permit object-group egress_allowed_ports any any log informational access-list inside_access_in extended permit object-group egress_monitor_ports any any log informational access-list inside_access_in extended deny object-group egress_block_ports any any log informational access-list inside_access_in extended permit ip any any |
您应该在SPlunk里面看看与这些规则相关的系统日志信息。每一条防火墙规则都有一个唯一的十六进制标识符,这使搜索变得相对容易。我们将关注“监测服务”规则。为了找到这个规则的唯一标识符,用防火墙的这条命令:
| ciscoasa# show access-list inside_access_in | include egress_monitor_ports access-list inside_access_in extended permit object-group egress_monitor_ports any any log informational 0x221e3425 |
在Splunk里搜索十六进制的0x221e3425。搜索结果将显示出这条规则的命中数。
实施
使用十六进制数0x221e3425监测‘监测服务’这条规则的命中数。Splunk会监测出任何从50000到65533 TCP/UDP端口出去的通信。如果确定允许外出的通信不使用这个范围的端口,将对象组“阻止外出端口”从65534到65535改为从50000到65535。同时将对象组“egress_monitor_ports”改为下一个需要监测的端口范围。
例如:TCP/UDP 3000到49999。
继续按从高到低的过程来监测端口。一旦发现允许到达的网络被拒绝,就将这个网络加入到“允许外出网络”对象组。当然,也要将信任的网络端口添加到“允许外出端口”对象组。
当监测完所有的端口后,“允许所有”规则应该没有任何命中数,这时就可以禁用这条规则了。为保险起见,可以将“允许所有”规则移动到规则列表的顶部,在紧急情况下启用它。然后就可以禁用和删除“监测服务”规则了。
以同样的方式继续监测“阻止服务”规则。通过这条规则的命中,可以帮助定位网络内受感染的机器、数据泄漏和配置错误的网络设备。
作者
翻译
相关推荐
-
防火墙出口过滤实战:日志和防火墙配置
部署出口防火墙通信过滤在很多时候都是说起来容易做起来难,如何尽量减少任何业务中断或常规错误?本文结合实例介绍了防火墙出口过滤中的日志和防火墙配置……
-
防火墙规则管理最佳实践
IT人员经常有变更、新应用会添加,用户来去或者角色发生变化。这些变化都要求对防火墙规则的变更,许可证也会变得混乱。本文将讨论成功变更防火墙规则的方法和技术。
-
安全专家称企业防火墙规则难以驾驭
企业防火墙通常包含一个安全规则的潘多拉魔盒,这些规则可以区分允许或者拒绝决定的优先次序,而且这些规则只有最勇敢的安全操作人员才敢修改……
-
PCI DSS成功策略:第一条规则
PCI DSS第一条规则是安装并维护防火墙配置,保护信用卡持卡人数据。安全专家第一眼看到这条规则,简单在网络边界上安装防火墙,然后认为就万事大吉了。不完全是这样……