Zapora sieciowa to struktura zabezpieczeń sieci, która może pomóc w ochronie sieci poprzez monitorowanie ruchu sieciowego i blokowanie osobom postronnym nieautoryzowanego dostępu do prywatnych danych w systemie komputerowym na podstawie wcześniej ustalonych reguł. Zapora sieciowa ustanawia barierę pomiędzy zaufaną siecią a niezaufaną siecią.
Co więcej, zapora sieciowa nie tylko blokuje niezaufany ruch, ale również blokuje złośliwe oprogramowanie, które może zainfekować komputer, jednocześnie pozwalając na legalny ruch. Zapory sieciowe zazwyczaj służą jako pierwsza linia obrony w bezpieczeństwie sieci domowej.
- 8 Rodzaje zapór sieciowych
- Zapory filtrujące pakiety
- Bramy na poziomie obwodu
- Bramy poziomu aplikacji/warstwa 7
- Stateful inspection firewalls
- Zapory w chmurze
- Zapory sprzętowe
- Pożary programowe
- Zapory nowej generacji
- How to Configure and Manage a Secure Firewall?
- 1. Upewnij się, że twój firewall jest bezpieczny
- 2. Utwórz strefy zapory i odpowiadające im adresy IP
- 3. mieć skonfigurowane listy kontroli dostępu (ACL)
- 4. Skonfiguruj inne usługi zapory sieciowej zgodnie z wymaganymi standardami
- 5. Przeprowadź testy konfiguracji zapory sieciowej
- 6. Stałe zarządzanie zaporą
- Dodatkowe wskazówki dotyczące bezpiecznej konfiguracji zapory sieciowej
- Dodatkowe wskazówki dotyczące bezpiecznego zarządzania zaporą
- Dowiedz się więcej o tworzeniu bezpiecznej zapory sieciowej
- FAQS
8 Rodzaje zapór sieciowych
Istnieją różne rodzaje zapór sieciowych; jednak zazwyczaj są one skategoryzowane jako system oparty na hoście lub system oparty na sieci. Podobnie, sieciowe urządzenia zabezpieczające firewall mogą oferować funkcje inne niż firewall, w tym wirtualną sieć prywatną (VPN) lub protokół dynamicznej konfiguracji hosta (DHCP). Poniżej przedstawiono najczęściej spotykane typy zapór ogniowych.
Zapory filtrujące pakiety
Jest to najstarszy i najbardziej podstawowy
typ, który tworzy punkt kontrolny dla pakietów przesyłanych między komputerami. Pakiety są filtrowane według protokołu źródłowego i docelowego, adresu IP, portów docelowych i innych informacji na poziomie powierzchni, bez otwierania pakietu w celu sprawdzenia jego zawartości.
Jeżeli pakiet informacyjny nie spełnia standardów kontroli, jest odrzucany. Tego typu zapory sieciowe nie są bardzo zasobożerne. Są one jednak stosunkowo łatwe do obejścia w porównaniu z zaporami z bardziej rozbudowaną kompetencją inspekcji.
Bramy na poziomie obwodu
W przeciwieństwie do zapór filtrujących pakiety, bramy na poziomie obwodu są niezwykle zasobochłonne. Ten typ zapory działa poprzez weryfikację protokołu TCP (Transmission Control Protocol). TCP handshake to kontrola mająca na celu zapewnienie, że pakiet sesji pochodzi z autentycznego źródła.
Bramy poziomu obwodu to uproszczone typy zapór przeznaczone do szybkiego i prostego odmawiania lub zatwierdzania ruchu bez zużywania znacznych zasobów obliczeniowych. Niemniej jednak, ten typ firewalla nie sprawdza samych pakietów. Jeśli pakiet ma złośliwe oprogramowanie, ale zawiera prawidłowy handshake TCP, przejdzie przez niego.
Bramy poziomu aplikacji/warstwa 7
Proxy firewall działają na warstwie poziomu aplikacji, aby filtrować ruch przychodzący pomiędzy źródłem sieci a siecią użytkownika. Te typy zapór są dostarczane za pośrednictwem rozwiązań opartych na chmurze lub innych systemów proxy. Zapory proxy przyglądają się zarówno pakietom, jak i protokołowi TCP handshake. Chociaż mogą również przeprowadzać głęboką inspekcję pakietów, aby sprawdzić, czy nie zawierają złośliwego oprogramowania.
Główną zaletą filtrowania warstwy aplikacji jest to, że może zrozumieć konkretne aplikacje i protokoły, w tym Hyper-Text Transfer Protocol (HTTP), Domain Name System (DNS) lub File Transfer Protocol (FTP).
Stateful inspection firewalls
Stateful inspection firewalls łączą w sobie zarówno uwierzytelnianie TCP handshake jak i inspekcję pakietów w celu ustanowienia bezpieczeństwa sieciowego niż to, co mogą zagwarantować same firewalle filtrujące pakiety lub bramy na poziomie obwodu. Chociaż ten typ zapory spowalnia przesyłanie autentycznych pakietów, w przeciwieństwie do dwóch pozostałych architektur.
Zapory w chmurze
Kluczową zaletą zapór opartych na chmurze jest to, że można je niesamowicie łatwo skalować wraz z organizacją. Zapory ogniowe w chmurze są również nazywane firewall-as-a-service (FaaS). Zapory w chmurze są uważane za podobne do zapór proxy, ponieważ serwery w chmurze są często wdrażane w konfiguracji zapory.
Zapory sprzętowe
Ten typ zapory implementuje fizyczne urządzenie, które zachowuje się podobnie do routera ruchu w celu sprawdzenia żądań ruchu i pakietów danych przed podłączeniem do serwera sieci.
Pożary programowe
To obejmuje wszelkie zapory zainstalowane w systemie lokalnym zamiast odrębnego kawałka sprzętu lub rozwiązania opartego na chmurze. Zapory programowe są niezwykle korzystne przy ustanawianiu obrony w głąb poprzez oddzielanie od siebie różnych punktów końcowych sieci.
Zapory nowej generacji
Zapory „nowej generacji” obejmują większość nowo wydanych produktów zaporowych. Podczas gdy nie ma zgody co do tego, co charakteryzuje firewall nowej generacji, niektóre wspólne cechy obejmują inspekcję TCP handshake, głęboką inspekcję pakietów i inspekcję pakietów na poziomie powierzchni.
How to Configure and Manage a Secure Firewall?
Istnieje kilka odpowiednich standardów firewall, które można wdrożyć w celu zapewnienia obrony sieci komputerowej. Niezależnie od tego, następujące kroki są kluczowe niezależnie od wybranej platformy firewall.
1. Upewnij się, że twój firewall jest bezpieczny
Zabezpieczenie firewalla jest pierwszym krokiem do skonfigurowania i zarządzania bezpiecznym firewallem. Nigdy nie zezwalaj zaporze na wykonywanie czynności, które nie są odpowiednio zabezpieczone, zamiast tego:
- Wyłącz prosty protokół zarządzania siecią (SNMP)
- Zmień nazwę, wyłącz lub usuń każde domyślne konto użytkownika i zmodyfikuj wszystkie domyślne hasła
- Utwórz dodatkowe konta administratorów w zależności od zakresu obowiązków, szczególnie jeśli zaporą będzie zarządzać wielu administratorów.
2. Utwórz strefy zapory i odpowiadające im adresy IP
Im więcej stref utworzysz, tym bezpieczniejsza stanie się twoja sieć. Zanim przystąpisz do obrony swoich cennych aktywów, musisz określić, czym są te aktywa, a następnie zaplanować strukturę sieci, aby rozmieścić sieci w oparciu o ich funkcjonalność i wrażliwość.
Po zaprojektowaniu bezpiecznej struktury i stworzeniu równoważnej struktury adresów IP, jesteś w pełni przygotowany do stworzenia architektury stref zapory i przypisania ich do interfejsów zapory i/lub podinterfejsów.
3. mieć skonfigurowane listy kontroli dostępu (ACL)
Po ustanowieniu stref sieciowych i przypisaniu ich do ich interfejsów firewall, następnym krokiem jest określenie, jaki ruch musi przepływać do i z każdej strefy. Będzie to możliwe dzięki listom kontroli dostępu (ACL). Użyj zarówno wychodzących, jak i przychodzących list ACL do każdego interfejsu i podinterfejsu na zaporze sieciowej, aby zezwolić tylko na zatwierdzony ruch do i z każdej strefy.
4. Skonfiguruj inne usługi zapory sieciowej zgodnie z wymaganymi standardami
Zależnie od zdolności twojej zapory sieciowej do działania jako system zapobiegania włamaniom (IPS), sieciowy protokół czasu (NTP), DHCP i tak dalej, możesz skonfigurować usługi, których potrzebujesz i wyłączyć wszystkie dodatkowe usługi, które nie są dla ciebie istotne.
Musisz zapoznać się z wymaganiami PCI DSS i spełnić wymagania dla 10.2 do 10.3 PCI DSS, aby skonfigurować zaporę sieciową do prawidłowego raportowania do serwera logowania.
5. Przeprowadź testy konfiguracji zapory sieciowej
Trzeba przetestować zaporę sieciową, aby sprawdzić, czy zapora działa zgodnie z oczekiwaniami. Powinieneś uwzględnić zarówno testy penetracyjne jak i skanowanie podatności w celu przetestowania konfiguracji firewalla. Pamiętaj, aby zawsze tworzyć kopie zapasowe konfiguracji zapory.
6. Stałe zarządzanie zaporą
Po zakończeniu konfiguracji zapory, musisz zapewnić bezpieczne zarządzanie zaporą. Aby zrobić to skutecznie, musisz
- Przeprowadzać skanowanie podatności
- Monitorować logi
- Regularnie przeglądać reguły zapory
- Uaktualniać firmware
- Dokumentuj postępy
.
Dodatkowe wskazówki dotyczące bezpiecznej konfiguracji zapory sieciowej
- Spełniaj standardowe mandaty regulacyjne, takie jak NIST, PCI DSS, ISO, i NERC
- Prowadź częste zmiany konfiguracji zapory
- Blokuj ruch domyślnie i monitoruj dostęp użytkowników
- Utwórz i używaj tylko bezpiecznego połączenia
- Uporządkuj zmiany konfiguracji i wyeliminuj luki w konfiguracji
- Ciągle testuj konfigurację zapory
- Rejestruj wszystkie zmiany konfiguracji w czasie rzeczywistymw czasie rzeczywistym
Dodatkowe wskazówki dotyczące bezpiecznego zarządzania zaporą
- Posiadaj jasno zdefiniowany plan zarządzania zmianami w zaporze
- Testuj wpływ zmian w polityce zapory
- Oczyść i zoptymalizuj bazę reguł zapory
- Regularnie aktualizuj oprogramowanie zapory
- Scentralizuj zarządzanie zaporą w przypadku zapór wieluproducentów zapór
Dowiedz się więcej o tworzeniu bezpiecznej zapory sieciowej
Certyfikowany obrońca sieci (CND) to program certyfikacji, który tworzy świadomych administratorów sieci, którzy są dobrze wyszkoleni w identyfikowaniu, obrony, reagowania i łagodzenia wszystkich związanych z siecią podatności i ataków. Program certyfikacji CND obejmuje praktyczne laboratoria skonstruowane poprzez godne uwagi oprogramowanie, narzędzia i techniki bezpieczeństwa sieciowego, które zapewnią certyfikowanemu administratorowi sieci rzeczywiste i aktualne umiejętności w zakresie technologii i operacji bezpieczeństwa sieciowego. Kliknij tutaj aby uzyskać więcej informacji na temat programu CND EC-Council.
FAQS
- Każda reguła zapory powinna być zarejestrowana, aby można było rozpoznać, jakie działanie reguła miała wykonać
- Przed dodaniem lub zmianą jakiejkolwiek reguły zapory, należy stworzyć formalną procedurę zmian
- Blokuj domyślnie cały ruch i zezwalaj tylko na określony ruch do rozpoznanych usług
- Ustalaj precyzyjne i przejrzyste reguły zapory
- Ustalaj jawną regułę usuwania (Cleanup Rule)
- Audytuj logi
- Upewnij się, że stare reguły zapory są przeglądane i usuwane w razie potrzeby
- Zapewnij zabezpieczenie krytycznych zasobów przed wszystkim innym
- Zawsze pamiętaj, że istnieje różnica między bezpieczeństwem obwodowym a wewnętrznym
- Nie dawaj każdemu użytkownikowi VPN wolnej ręki do całej sieci wewnętrznej.
- Utwórz granice w stylu internetowym dla partnerów zewnętrznych
- .dla ekstranetów partnerów
- Twórz wirtualne perymetry
- Automatycznie monitoruj politykę bezpieczeństwa
- Uprawomocniaj decyzje dotyczące bezpieczeństwa
- Wyłącz nieczynne usługi sieciowe
- Wyłączaj nieczynne usługi sieciowe
- . usługi sieciowe
- Eliminuj nieuczciwe punkty dostępu bezprzewodowego i ustanawiaj bezpieczny dostęp bezprzewodowy
- Buduj bezpieczny dostęp dla gości
Jednakże istnieje potrzeba przeglądu reguł firewall, aby ocenić politykę bezpieczeństwa i wyeliminować przestarzałe usługi, reguły, zgodność z polityką i repozycjonowanie dla wydajności. Należy przejrzeć reguły firewalla jedna po drugiej, aby upewnić się, że są one w odpowiedniej kolejności. Urzędnik ds. bezpieczeństwa sieci lub firewall często przeprowadza przegląd reguł zapory.