常見的防火牆規則管理錯誤與最佳實務!
文/屠震
防火牆可以阻擋非法的入侵,透過防火牆規則可達成流量的過濾,與減少攻擊面。然而,許多防火牆管理員的管理不善可能會導致安全漏洞。
防火牆規則不一定遵循人類邏輯
例如,當你想要阻止主機 A 與主機 B 之間的通訊時,新手的防火牆管理員可能會這樣設置防火牆規則:Source A to Source B TCP/IP 埠號 80 拒絕並記錄。 其實,你根本不需要設置任何防火牆規則,因為防火牆的預設狀態就是拒絕,你只需要設立允許的規則即可!
防火牆部署與規則設計提示
‧不要將管理埠如 SSH、RDP、Telnet 等暴露在網際網路。
‧對於公眾可存取的主機或服務,必須將其放置在防火牆內部介面中,即所謂的 DMZ(非軍事區)內。
‧在 DMZ 內部的主機必須進一步採取措施,用防火牆和內網隔離。
‧VPN 伺服器必須受到防火牆的保護,設置於 DMZ 內部。
‧解密後的 VPN 流量應該再次通過防火牆,建立白名單控制內部應用程式的存取。
‧始終從內部向 DMZ 發起流量(例如,從內部向 DMZ push 資料,從內部 pull DMZ 資料)。
‧特定的規則應創建在通用的允許規則之前,因為防火牆規則是按順序執行的。
‧使用具備新一代「應用程式辨識」功能的防火牆(例如僅允許網站 Web 流量,擋下任何其他流量)。
常見的防火牆規則管理錯誤
‧建立來源或目標欄位中包含「any」的規則。
‧將拒絕規則放在第一位或夾在其他規則之間。
‧未啟用日誌。
‧忽略審查零流量或拒絕規則的日誌。
‧忽略審查來源或目標欄位中自定義群組中的主機或網段。
‧VPN 伺服器與防火牆並聯,完全繞過防火牆。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG,與全球CIO同步獲取精華見解 ]
防火牆設備管理與強化
‧實施強身份驗證和授權。
‧實施強密碼政策。
‧修改預設憑證。
‧僅允許從受限的內部管理子網路存取防火牆管理控制台,並且必須使用加密協定,如 HTTPS 和 SSH。
‧遵循變更管理的標準作業程序(SOP)。
‧預先規劃防火牆的承載量,並正確設定高可用性(HA)。
‧將系統日誌傳送到遠端主機,設定日誌警報,特別是拒絕規則的日誌。
‧定期備份。
‧遵循標準作業程序(SOP)進行防火牆的修補與強化。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
