如何配置防火墙之如何开始部署安全策略

admin 2023年2月16日23:26:24评论21 views字数 1682阅读5分36秒阅读模式

前言

网络中的流量错综复杂,安全策略的部署不可能一蹴而就,而任何错误的操作都可能影响组织的正常工作,所有的安全人员都对此提心吊胆。在把防火墙接入网络之前,防火墙管理员最大的困惑是,如何开始配置防火墙安全策略,才能不影响业务运行?


实际上,有一种万无一失的方法,可以降低这种风险,保证业务零中断


01

 适用范围


这个部署方法既适用于防火墙首次接入网络时初始部署安全策略,也适用于安全策略的优化。如果当前部署的某个安全策略不够精确(如指定了Any作为匹配条件),你可以参照这个方法来确定更具体的匹配条件。


通常情况下,安全策略中不指定用户、应用、URL分类、时间段是可以接受的。但是源/目的IP地址、源/目的安全区域、服务应指定具体的范围。


02

   暑期培训注意事项


【1】确定防火墙在网络中的部署位置,并使用安全区域划分网络。你需要对照组网图,了解当前网络资源的分布情况,识别关键信息资产、服务及其安全等级。


【2】尽你所能了解当前网络中的运行的合法业务,建立白名单。业务白名单通常有以下几类。


  • 网络基础设施,如路由协议、NTP、FTP、DNS、VPN等。


  • 企业IT基础设施,如AD/LDAP认证服务、企业邮箱、Windows Update升级服务等。


  • 管理服务,如SNMP、SSH、RDP远程桌面等。


  • 企业办公应用和服务,如MySQL、Salesforce、GitHub、Office 365、企业自建服务等。


  • 个人应用和服务,如上网、社交媒体、私人邮箱等。


【3】结合企业信息安全政策(Information security policy)、用户组结构和业务白名单,确定通信矩阵和业务访问规则。


【4】类似的,尽你所能了解需要禁止的高风险应用和非法业务(企业信息安全政策禁止的服务),建立黑名单,确定业务禁止规则。


【5】首先在防火墙上创建一条允许所有流量的临时安全策略,并记录策略命中日志。


【6】根据前面识别的业务规则,在防火墙上为白名单和黑名单配置安全策略。调整顺序,使临时安全策略位于策略列表底部,缺省安全策略之前,如表1-1所示。这样,可以保证所有业务都能通过防火墙,不会影响业务运行。同时,未知业务会命中临时安全策略,并在日志中记录下来。


表1-1 临时安全策略示意

如何配置防火墙之如何开始部署安全策略


【7】分析策略命中日志,识别并判断业务的合法性和必要性,并添加新的、精确的安全策略。在分析策略命中日志时,重点关注业务的源/目的IP地址、源/目的安全区域、服务/端口,识别出同类业务。然后把策略命中日志中离散的IP地址合并为地址段,创建地址组,并在精确安全策略中引用。建议优先分析和处理命中次数最多的服务/端口或应用(如图1-1中的TCP3389),这样可以快速减少日志的数量。


除了使用Web界面,你还可以从日志服务器查看策略命中日志,或者使用命令行display firewall session table verbose policy "Temporary Security Policy"。


如何配置防火墙之如何开始部署安全策略

图1-1 策略命中日志列表


【8】把新添加的精确安全策略移动到临时安全策略的前面。


【9】清除临时安全策略的命中计数,继续观察和分析日志、添加精确安全策略,直到没有流量命中临时安全策略。根据网络业务复杂度的不同,这个过程可能需要几个小时,甚至几天。


【10】在确认网络中所有流量都得到了充分的分析以后,删除临时策略。


【11】分析放行业务可能存在的安全风险,为安全策略添加合适的内容安全配置文件。


如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell

「 超详细 | 分享 」手把手教你如何进行内网渗透

神兵利器 | siusiu-渗透工具管理套件

一款功能全面的XSS扫描器

实战 | 一次利用哥斯拉马绕过宝塔waf

BurpCrypto: 万能网站密码爆破测试工具

快速筛选真实IP并整理为C段 -- 棱眼

自动探测端口顺便爆破工具t14m4t

渗透工具|无状态子域名爆破工具(1秒扫160万个子域)


查看更多精彩内容,还请关注橘猫学安全:

每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

原文始发于微信公众号(橘猫学安全):如何配置防火墙之如何开始部署安全策略

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月16日23:26:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何配置防火墙之如何开始部署安全策略https://cn-sec.com/archives/1276203.html

发表评论

匿名网友 填写信息