Konsiletoj por helpi vin, ke vi forbruligu
Ĉu vi estis akuzita pri subtenado de la reto fajrujo de via organizaĵo? Ĉi tio povas esti timiga tasko, precipe se la reto protektita de la fajrujo havas diversan komunumon de klientoj, serviloj kaj aliaj retaj aparatoj kun unikaj komunikaj postuloj.
Firewalls provizas ŝlosilon tavolo de defendo por via reto kaj estas integra parto de via entuta defendo-en profunda reto-sekureca strategio. Se ne administrita kaj efektivigita konvene, reto firewall povas lasi gapantajn truojn en via sekureco, permesante pirantojn kaj krimulojn en kaj ekstere de via reto.
Do, kie vi eĉ komencas en via provo mildigi ĉi tiun beston?
Se vi nur plonĝiĝos kaj komencos bati kun Access Control Listoj, vi neeviteble izolus iun mision-maltrankviligan servilon, kiu povus koleri vian estron kaj forigi vin.
La reto de ĉiuj estas malsama. Ne ekzistas panaceo aŭ resanigo por kreado de hack-pruva reto de fajrujo, sed iuj sugestis plej bonajn praktikojn por administri la fajrujon de via reto. Ĉar ĉiu organizaĵo estas unika, la sekvanta gvidado ne povas esti "plej bona" por ĉiu situacio, sed almenaŭ ĝi donos al vi komencan punkton por helpi vin akiri vian fajruŝton sub kontrolo por ke vi ne forbruligu.
Formu Firewall Change Control Board
Formi armilon de kontrolo de ŝanĝoj de fajroŝirmilo formita de uzantoj, sistemaj administrantoj, administrantoj kaj sekurecaj homoj povus helpi faciligi dialogon inter la malsamaj grupoj kaj povas helpi eviti konfliktojn, precipe se ili proponas ŝanĝojn proponitaj kaj kunordigitaj kun ĉiuj, kiuj povas esti trafitaj de ilin antaŭ la ŝanĝo.
Havante ĉiun ŝanĝon voĉdonita ankaŭ helpas certigi respondecon kiam temoj rilatigitaj al specifa fajroŝanĝo okazas.
Alert Uzantoj kaj Adminj Antaŭ Firewall Regulaj Ŝanĝoj
Uzantoj, administrantoj kaj serviloj-konektoj povas esti tuŝitaj de ŝanĝoj al via fajrujo. Eĉ ŝajne plej malgrandaj ŝanĝoj al firewall reguloj kaj ACLs povas havi plej grandajn efikojn sur konektebleco. Tial, estas plej bone atentigi uzantojn al proponitaj ŝanĝoj al fajroŝablonoj. Sistemaj administrantoj devas sciigi, kion ŝanĝoj estas proponitaj, kaj kiam ili efektiviĝos.
Se uzantoj aŭ administrantoj havas iujn problemojn kun la ŝanĝoj de reguloj de fajroŝirmilo, oni devas doni ampleksan tempon (se eble), por ke ili esprimu siajn zorgojn antaŭ ol fariĝu ŝanĝoj, krom okazas kriz-situacio, kiu postulas tujajn ŝanĝojn.
Dokumentu ĉiujn regulojn kaj uzu komentojn por klarigi la celon de specialaj reguloj
Provante eltrovi la celon de firewall-regulo povas esti malfacila, precipe kiam la persono, kiu origine skribis la regulon, forlasis la organizon kaj vi lasas provi ekscii, kiu povus esti tuŝita de la forigo de la regulo.
Ĉiuj reguloj devas esti bone dokumentitaj por ke aliaj administrantoj povu kompreni ĉiun regulon kaj determini ĉu ĝi bezonas aŭ devas esti forigita. Komentoj en reguloj devus klarigi:
- La celo de la regulo
- La servo, kiun regas la regulo
- La uzantoj / serviloj / aparatoj tuŝitaj de la regulo (Kie ĝi estas?)
- La dato la regulo estis aldonita kaj tempa kadro, kiun bezonas la regulo (te Ĉu tempo estas regulo?)
- La nomo de la administranto de fajrujo, kiu aldonis la regulon
Eviti Uzo de & # 34; Iu ajn & # 34; en Firewall & # 34; Permesi & # 34; Reguloj
En la artikolo de Cyberoam rilate al firewall regas plej bonajn praktikojn, ili rekomendas eviti la uzon de "Iu ajn" en "Permesi" fajroŝablonajn regulojn, pro potencialaj trafiko kaj fluo-kontroloj. Ili rimarkas, ke la uzo de "Iu" eble havas la nevolajn konsekvencojn de permesado de ĉiu protokolo tra la fajrujo.
& # 34; Denu Ĉiuj & # 34; Unue kaj Aldoni Aldonojn
Plej multaj fajraj muroj procesas siajn regulojn sekve de la supro de la reguloj listo sube. La ordo de la reguloj estas tre grava. Vi plej verŝajne volas havi regulon "Malkonfirmi" kiel via unua fajrujo. Ĉi tio estas la plej grava de la reguloj kaj ĝia lokigo ankaŭ estas grava. Metante la regulon "Deni Ĉiu" en pozicio n-ro 1 esence diras "Konservu ĉion kaj ĉion unue kaj poste ni decidos, kiu kaj kion ni deziras eniri".
Vi neniam volas havi "Permesi Ĉiuj" regi kiel via unua regulo, ĉar tio malvenkus la celon havi fajronŝirmilon, kiel vi nur lasis ĉiujn.
Unufoje vi havas vian regulon "Nekonu Ĉiu" en pozicio n. 1, vi povas komenci aldoni viajn regulojn por permesi specifajn trafikojn en kaj ekstere de via reto (supozante ke viaj fajrejaj procesoj reguloj de supre ĝis sube).
Reviziaj Reguloj Regule kaj Forigi Neuzitajn Regulojn sur Regula Bazo
Por ambaŭ agado kaj sekurecaj kialoj, vi volas "printempa pura" via fajroŝirmilo regas periode. La pli kompleksaj kaj multnombraj viaj reguloj estas, pli da efikeco estos trafita. Se vi havas regulojn konstruitajn por stacidomoj kaj serviloj, kiuj eĉ ne estas en via organizo, tiam vi eble volas forigi ilin por helpi malpliigi viajn regulojn pri prilaborado kaj helpi malpliigi la tutan nombron de minacaj vektoroj.
Organizu Firewall Reguloj por Elfaro
La ordono de viaj reguloj de fajroŝirmilo povas havi gravan efikon sur la trafo de via reto trafiko. eWEEk havas grandan artikolon pri plej bonaj praktikoj por organizado de viaj reguloj por maksimumigi la trafikon. Unu el iliaj sugestoj inkluzivas iom el la ŝarĝoj de via fajroŝirmilo filtrante iom da nedezirata trafiko tra viaj randaj routeroj. Kontrolu ilian artikolon por iuj aliaj grandaj konsiletoj.