Yonishdan saqlashga yordam beradigan maslahatlar
Sizning tashkilotingizdagi tarmoqning xavfsizlik devorini saqlab qolish uchun sizdan ayblanganmi? Bu, ayniqsa, xavfsizlik devori tomonidan himoyalangan tarmoqqa turli xil mijozlar, serverlar va noyob aloqa talablariga ega bo'lgan boshqa tarmoq qurilmalariga ega bo'lsa, bu juda qiyin vazifa bo'lishi mumkin.
Xavfsizlik devorlari sizning tarmoqingiz uchun mudofaa kalitini ta'minlaydi va umumiy mudofaa chuqur tarmoq xavfsizligi strategiyasining ajralmas qismi hisoblanadi. Agar boshqarilmasa va to'g'ri ishlamasa, tarmoq xavfsizlik devori xavfsizligingizdagi bo'shliq teshiklarni qoldirib, sizning tarmoqingizdagi va hackerlar va jinoyatchilarga ruxsat beradi.
Xo'sh, bu hayvonni uyg'otish uchun qaerdan boshlaysiz?
Agar siz faqatgina sho'ppayib borasiz va Access Control Lists bilan aralashuvni boshlasangiz, siz xo'jayiningizni g'azablantiradigan va ishdan bo'shatishi mumkin bo'lgan ayrim muhim serverlarni tasodifan ajratib qo'yishingiz mumkin.
Har bir insonning tarmog'i boshqacha. Hacker-tarmoqli xavfsizlik devori konfiguratsiyasini yaratish uchun hech qanday dori yoki davo yo'q, biroq tarmoqning xavfsizlik devorini boshqarish uchun tavsiya etilgan ba'zi eng yaxshi usullar mavjud. Har bir tashkilot noyob bo'lganidek, quyidagi ko'rsatma har qanday vaziyat uchun "yaxshi" bo'lmasligi mumkin, ammo hech bo'lmaganda sizni yoqib yubormaslik uchun sizning xavfsizlik devoringizni nazorat ostiga olishingizga yordam berish uchun boshlang'ich nuqtani ta'minlaydi.
Faervolni o'zgartirishni boshqarish kengashi tuzing
Foydalanuvchilarning vakillari, tizim boshqaruvchilari, menejerlar va xavfsizlik xodimlaridan tashkil topgan xavfsizlik devori o'zgarishini nazorat qilish kengashi turli guruhlar orasidagi muloqotni engillashtirishga yordam beradi va ayniqsa, taklif qilinadigan o'zgarishlarni muhokama qilish va ular bilan bog'liq har qanday kishilar bilan kelishilgan holda kelishmovchiliklarni bartaraf etishga yordam berishi mumkin. ular o'zgarishdan oldin.
Tanlangan har bir o'zgarishga ega bo'lish, shuningdek, muayyan xavfsizlik devori o'zgarishi bilan bog'liq masalalar yuz berganda javobgarlikni ta'minlashga yordam beradi.
Foydalanuvchilarni va administratorlarni xavfsizlik devori qoidalarini o'zgartirishdan oldin ogohlantirish
Foydalanuvchilar, administratorlar va server aloqalari sizning xavfsizlik devoringizdagi o'zgarishlar bilan bog'liq bo'lishi mumkin. Xavfsizlik devori qoidalari va ACL larga nisbatan kichik o'zgarishlarga qaramay ulanishga katta ta'sir ko'rsatishi mumkin. Shuning uchun foydalanuvchilarni xavfsizlik devori qoidalariga kiritilgan o'zgartirishlarga ogohlantirish kerak. Tizim boshqaruvchilari qanday o'zgarishlarni taklif qilishlari va ular kuchga kirishi kerakligi haqida ma'lumotga ega bo'lishlari kerak.
Agar foydalanuvchilar yoki administratorlar tavsiya etilgan xavfsizlik devori qoidalari bilan bog'liq muammolarga duch kelsa, favqulodda vaziyat yuzaga kelmasa, o'zgarishlarni amalga oshirishdan oldin ularning xavotirlarini bildirishlari uchun (agar iloji bo'lsa) imkon qadar ko'proq vaqt berish kerak.
Hujjat Barcha qoidalar va Foydalanish qoidalarini tushuntirish uchun maxsus qoidalar
Xavfsizlik devori qoidasini belgilashga harakat qilish qiyin kechishi mumkin, ayniqsa, qoidani yozgan kishi tashkilotni tark etgan va siz kimning qoidani yo'qotishidan ta'sirlanishini tushunishga harakat qildingiz.
Barcha qoidalar boshqa rahbarlar har bir qoidani tushunib, kerak yoki yo'qligini aniqlash uchun yaxshi hujjatlashtirilgan bo'lishi kerak. Qoidalardagi izohlar quyidagilarni tushuntirishi kerak:
- Qoidalarning maqsadi
- Qoida uchun xizmat ko'rsatiladigan xizmat
- Qoidadan ta'sirlangan foydalanuvchilar / serverlar / qurilmalar (kim uchun?)
- Qoida qo'shilgan sana va qoida talab qilinadigan vaqt (ya'ni vaqtinchalik qoidadirmi?)
- Qoidani qo'shgan xavfsizlik devori ma'muri nomi
& # 34; Har qanday & # 34; Firewall & # 34; Allow & # 34; Qoidalar
Cyberoamning xavfsizlik devori qoidalarini qo'llash bo'yicha maqolasida, potentsial transport va oqimlarni boshqarish masalalariga bog'liq ravishda, "Faollashtirish" xavfsizlik devori qoidalarida "Har qanday" ni ishlatmaslik kerak. Ular "har qanday" dan foydalanish har bir protokolni xavfsizlik devori orqali ruxsat etilmasligi oqibatida bo'lishi mumkinligiga ishora qiladilar.
& # 34; Barchasini rad qilish & # 34; Birinchidan, keyin istisnolarni qo'shing
Ko'pgina xavfsizlik devorlari qoidalarini ketma-ket tartib-qoidalar ro'yxatidan pastga qarab ishlaydi. Qoidalarning tartibi juda muhim. Siz birinchi marta xavfsizlik devori qoidangiz sifatida "Barchasini rad etish" qoidasini xohlaysiz. Bu qoidalarning eng muhimi va uni joylashtirish ham hal qiluvchi ahamiyatga ega. "Barchasini rad etish" qoidasini 1-holatida qo'yish asosda "Har kimni va hamma narsani saqlab qo'ying, keyin biz kimga va nimaga kirishni istaymiz" deb aytamiz.
Hech qachon "Allow All" qoidasini birinchi qoida sifatida qabul qilishni xohlamaysiz, chunki bu xavfsizlik devoriga ega bo'lish maqsadini engib o'tishiga olib keladi, chunki siz hamma ruxsat berishingiz mumkin.
1-sonli pozitsiyada "Barchasini rad etish" qoidasini qo'llaganingizdan so'ng, o'zingizning tarmoqingizdagi va tashqarisidagi aniq harakatlanishni (xavfsizlik devorining yuqoridan pastga qarab harakat qilishini hisobga olgan holda) ruxsat berish qoidalarini quyida qo'shishingiz mumkin.
Muntazam ravishda muntazam ravishda qoidalarni ko'rib chiqing va qo'llanilmagan qoidalarni muntazam asosda olib tashlang
Har ikkala ishlash va xavfsizlik sababli, siz "xavfsizlik bahorini" muntazam ravishda o'chirishni xohlaysiz. Sizning murakkab va ko'p sonli qoidalaringiz qanchalik ko'p bo'lsa, natijalaringiz yanada ko'proq ta'sir qiladi. Ish stantsiyalari va sizning tashkilotingizda bo'lmagan serverlar uchun tuzilgan qoidalar mavjud bo'lsa, siz qoidalaringizni qayta ishlashni kamaytirish va tahdid vektorlarining umumiy sonini kamaytirish uchun ularni olib tashlashingiz mumkin.
Ishlash uchun xavfsizlik devori qoidalarini tashkil eting
Xavfsizlik devori qoidalaringiz tartibi tarmoq trafigingizning ishiga katta ta'sir ko'rsatishi mumkin. eWEEk sizning trafik tezligini maksimal darajada oshirish uchun xavfsizlik devori qoidalarini tashkil qilish bo'yicha eng yaxshi amaliyotlar haqida ajoyib maqola bor. Ularning takliflaridan biri sizning chekkangizdagi marshrutizatorlardan ba'zi kiruvchi yo'llarni filtrlash orqali sizning xavfsizlik devoringizdagi ba'zi yuklarni olib tashlashni o'z ichiga oladi. Boshqa ajoyib maslahatlar uchun ularning maqolalarini tekshiring.