En brandvägg är en nätverkssäkerhetsstruktur som kan hjälpa till att skydda ditt nätverk genom att övervaka nätverkstrafiken och blockera utomstående från att få obehörig åtkomst till privata data i ditt datorsystem baserat på förutbestämda regler. En nätverksbrandvägg upprättar en barriär mellan ett pålitligt nätverk och ett opålitligt nätverk.
En nätverksbrandvägg blockerar dessutom inte bara opålitlig trafik, utan den blockerar även skadlig programvara som kan infektera din dator, samtidigt som den släpper igenom legitim trafik. Nätverksbrandväggar fungerar vanligtvis som den första försvarslinjen i ditt hemnätverks säkerhet.
- 8 Typer av brandväggar
- Paketfiltrerande brandväggar
- Gateways på kretsnivå
- Gateways på applikationsnivå/lager 7
- Firewalls med statusfylld inspektion
- Molnbrandväggar
- Hårdvarubrandväggar
- Mjukvarubrandväggar
- Nästa generationens brandväggar
- Hur konfigurerar och hanterar man en säker brandvägg?
- 1. Se till att din brandvägg är säker
- 2. Skapa dina brandväggszoner och motsvarande IP-adresser
- 3. Har en konfigurerad åtkomstkontrollista (ACL)
- 4. Konfigurera andra brandväggstjänster enligt de standarder som krävs
- 5. Utför tester av nätverksbrandväggskonfigurationen
- 6. Konstant brandväggshantering
- Tillkommande tips för att konfigurera en brandvägg på ett säkert sätt
- Tillkommande tips för säker hantering av en brandvägg
- Lär dig mer om att skapa en säker nätverksbrandvägg
- FAQS
8 Typer av brandväggar
Det finns olika typer av brandväggar, men de kategoriseras normalt som antingen ett värdbaserat system eller ett nätverksbaserat system. På samma sätt kan säkerhetsapparater för nätverksbrandväggar erbjuda funktioner som inte är brandväggar, t.ex. virtuellt privat nätverk (VPN) eller dynamiskt värdkonfigurationsprotokoll (DHCP). Följande är de vanligaste typerna av brandväggar.
Paketfiltrerande brandväggar
Detta är den äldsta och mest grundläggande
typen som skapar en kontrollpunkt för paket som överförs mellan datorer. Paketen filtreras efter käll- och målprotokoll, IP-adress, målportar och annan information på ytnivå utan att paketet öppnas för att inspektera dess innehåll.
Om informationspaketet inte uppfyller inspektionsstandarden släpps det. Dessa typer av brandväggar är inte extremt resurskrävande. De är dock relativt lätta att kringgå jämfört med brandväggar med en mer robust inspektionskompetens.
Gateways på kretsnivå
I motsats till brandväggar för paketfiltrering är gateways på kretsnivå extremt resurskrävande. Denna brandväggstyp fungerar genom att verifiera TCP-handskakningen (Transmission Control Protocol). TCP-handskakningen är en kontroll som är utformad för att säkerställa att sessionspaketet kommer från en autentisk källa.
Circuit-level gateways är förenklade typer av brandväggar som är avsedda att snabbt och enkelt neka eller godkänna trafik utan att förbruka betydande datorresurser. Denna brandväggstyp inspekterar dock inte själva paketet. Om ett paket har skadlig kod men innehåller rätt TCP-handskakning skulle det passera igenom.
Gateways på applikationsnivå/lager 7
Proxybrandväggar körs på applikationsnivå för att filtrera inkommande trafik mellan nätverkskällan och ditt nätverk. Dessa brandväggstyper levereras via en molnbaserad lösning eller andra proxysystem. Proxybrandväggar tittar på både paketet och TCP-handskakningsprotokollet. Även om den också kan utföra paketinspektioner i djupled för att bekräfta att det inte finns någon skadlig kod.
Den stora fördelen med filtrering i applikationsskiktet är att den kan förstå specifika applikationer och protokoll, inklusive Hyper-Text Transfer Protocol (HTTP), Domain Name System (DNS) eller File Transfer Protocol (FTP).
Firewalls med statusfylld inspektion
Firewalls med statusfylld inspektion kombinerar både TCP handshake-autentisering och paketinspektion för att etablera nätverkssäkerhet än vad brandväggar med paketfiltrering eller gateways på kretsnivå kan garantera på egen hand. Även om denna brandväggstyp saktar ner överföringen av autentiska paket, till skillnad från de andra två arkitekturerna.
Molnbrandväggar
Den viktigaste fördelen med molnbaserade brandväggar är att det är otroligt enkelt att skala med din organisation. Molnbrandväggar kallas också för brandvägg som tjänst (FaaS). Molnbrandväggar anses likna proxybrandväggar eftersom molnservrar ofta används i en brandväggskonfiguration.
Hårdvarubrandväggar
Denna typ av brandvägg implementerar en fysisk enhet som beter sig på samma sätt som en trafikrouter för att kontrollera trafikförfrågningar och datapaket innan de ansluts till nätverkets server.
Mjukvarubrandväggar
Detta inkluderar alla brandväggar som installeras på ett lokalt system i stället för en distinkt hårdvara eller molnbaserad lösning. Mjukvarubrandväggar är extremt fördelaktiga när man upprättar ett försvar på djupet genom att separera olika nätverksändpunkter från varandra.
Nästa generationens brandväggar
”Nästa generations brandväggar” omfattar de flesta av de nyligen utgivna brandväggsprodukterna. Även om det inte råder någon större enighet om vad som kännetecknar en nästa generations brandvägg, är några vanliga funktioner TCP handshake-inspektion, deep-packet-inspektion och paketinspektion på ytnivå.
Hur konfigurerar och hanterar man en säker brandvägg?
Det finns flera lämpliga brandväggsstandarder som du kan införa för att säkerställa försvaret av datornätverk. Trots detta är följande steg viktiga oavsett vilken brandväggsplattform du väljer.
1. Se till att din brandvägg är säker
Säkra din brandvägg är det första steget för att konfigurera och hantera en säker brandvägg. Låt aldrig brandväggen utföra åtgärder som inte är ordentligt säkrade, utan:
- Disaktivera Simple Network Management Protocol (SNMP)
- Namnge, inaktivera eller ta bort alla standardanvändarkonton och ändra alla standardlösenord
- Eskapa ytterligare administratörskonton utifrån ansvarsområden, särskilt om flera administratörer ska hantera brandväggen.
2. Skapa dina brandväggszoner och motsvarande IP-adresser
Desto fler zoner du upprättar, desto säkrare blir ditt nätverk. Innan du fortsätter att försvara dina värdefulla tillgångar måste du identifiera vilka dessa tillgångar är och sedan planera din nätverksstruktur för att placera nätverken utifrån deras funktionalitet och känslighet.
När du har utformat en säker struktur och skapat motsvarande IP-adressstruktur är du helt förberedd för att arkitektoniskt bygga upp dina brandväggszoner och tilldela dem till brandväggsgränssnitten och/eller undergränssnitten.
3. Har en konfigurerad åtkomstkontrollista (ACL)
När du har upprättat dina nätverkszoner och tilldelat dem till deras brandväggsgränssnitt är nästa steg att bestämma vilken trafik som måste flöda in och ut ur varje zon. Detta skulle göras möjligt med hjälp av åtkomstkontrollistor (ACL). Använd både utgående och inkommande ACL:er till varje gränssnitt och undergränssnitt på din nätverksbrandvägg för att endast tillåta godkänd trafik in och ut ur varje zon.
4. Konfigurera andra brandväggstjänster enligt de standarder som krävs
Avhängigt av din brandväggs förmåga att fungera som ett system för förebyggande av intrång (IPS), nätverkstidsprotokoll (NTP), DHCP och så vidare, kan du konfigurera de tjänster som du behöver och avaktivera alla de ytterligare tjänster som inte är relevanta för dig.
Du måste konsultera PCI DSS-kraven och uppfylla kraven för 10.2 till 10.3 i PCI DSS för att konfigurera din brandvägg så att den rapporterar korrekt till din loggningsserver.
5. Utför tester av nätverksbrandväggskonfigurationen
Du måste testa din brandvägg för att kontrollera att din brandvägg fungerar som förväntat. Du bör inkludera både penetrationstestning och sårbarhetsskanning för att testa din brandväggskonfiguration. Kom ihåg att alltid säkerhetskopiera din brandväggskonfiguration.
6. Konstant brandväggshantering
När din brandväggskonfiguration är klar måste du se till att brandväggshanteringen är säker. För att göra detta på ett effektivt sätt, måste du
- Göra sårbarhetsundersökningar
- Bevaka loggar
- Regelbundet se över brandväggsregler
- Hålla firmware uppdaterad
- Dokumentera framsteg
.
Tillkommande tips för att konfigurera en brandvägg på ett säkert sätt
- Uppfyller standardiserade lagstadgade krav, t.ex. från NIST, PCI DSS, ISO, och NERC
- Företa frekventa konfigurationsändringar av brandväggen
- Blocka trafiken som standard och övervaka användarnas åtkomst
- Inrätta och använd endast en säker anslutning
- Strömlinjeforma konfigurationsändringarna och eliminera konfigurationshålen
- Testa brandväggskonfigurationen kontinuerligt
- Registrera alla konfigurationsändringar i realtid
- .tid
Tillkommande tips för säker hantering av en brandvägg
- Har en tydligt definierad plan för hantering av brandväggsändringar
- Testar konsekvenserna av ändringen av brandväggspolicyn
- Rensar upp och optimerar brandväggsregelbasen
- Reguljärt uppdatera brandväggsmjukvara
- Centralisera brandväggshanteringen för fleraleverantörsbrandväggar
Lär dig mer om att skapa en säker nätverksbrandvägg
Den certifierade nätverksförsvararen (CND) är ett certifieringsprogram som skapar kunniga nätverksadministratörer som är välutbildade i att identifiera, försvara, reagera och minska alla nätverksrelaterade sårbarheter och attacker. CND-certifieringsprogrammet omfattar praktiska laborationer som byggs upp med hjälp av kända programvaror, verktyg och tekniker för nätverkssäkerhet och som ger den certifierade nätverksadministratören verkliga och uppdaterade kunskaper om teknik och verksamhet för nätverkssäkerhet. Klicka här för mer information om EC-Councils CND-program.
FAQS
- Varje brandväggsregel bör registreras för att känna igen vilken åtgärd regeln var tänkt att göra
- Innan du lägger till eller ändrar någon brandväggsregel, bör du skapa ett formellt ändringsförfarande
- Blocka all trafik som standard och tillåt endast specifik trafik till erkända tjänster
- Inställ exakta och tydliga brandväggsregler
- Inställ uttrycklig nedläggningsregel (Cleanup Rule)
- Auditera loggar
- Säkerställ att de gamla brandväggsreglerna granskas och raderas vid behov
- Säkerställ att du säkrar kritiska resurser före allt annat
- Håll alltid i minnet att det finns en skillnad mellan perimetersäkerhet och intern säkerhet
- Ge inte varje VPN-användare fria tyglar till hela det interna nätverket.
- Etablera Internet-perimetrar i Internet-stil för partner-extranät
- Skapa virtuella perimetrar
- Automatisk övervakning av säkerhetspolicy
- Bekräfta säkerhetsbeslut
- Släck inaktiva nätverk. tjänster
- Eliminera oseriösa trådlösa åtkomstpunkter och skapa säker trådlös åtkomst
- Bygg säker åtkomst för besökare
Det finns dock ett behov av en översyn av brandväggsreglerna för att utvärdera din säkerhetspolicy och eliminera föråldrade tjänster, regler, efterlevnad av policyn och omplacering för prestanda. Du måste gå igenom brandväggsreglerna en efter en för att se till att de är i rätt ordning. Nätverkssäkerhetsansvarig eller brandväggen utför ofta översynen av brandväggsreglerna.
