保護網路安全的 8 項防火牆最佳實踐
防火牆安全最佳實務指南可以向安全利害關係人傳達公司的安全政策目標,確保符合產業法規,並改善公司的整體安全勢態。
以下,我們會深入探討一些資源和八個防火牆安全最佳實務,讓您開始改善安全勢態的旅程。
#1.加固並正確設定防火牆
大多數一體式防火牆解決方案作業系統都由廠商加固。如果您部署的是軟體防火牆解決方案,請確保先修補作業系統並加強其硬度。
除了從強化的作業系統開始,安全管理員還要確保防火牆的安全設定。指南可從廠商和第三方取得,例如網際網路安全中心 (CIS),該中心出版了CIS Benchmarks 網路裝置。此外,請參閱SANS 防火牆檢查清單。
#2.規劃防火牆部署
防火牆是應用零信任安全原則的重要工具。它們監視並控制宏分割網路中跨越網路邊界的入站和出站存取。這適用於第 3 層路由防火牆 部署 (其中防火牆作為連接多個網路的閘道器) 和第 2 層橋接防火牆 部署 (其中防火牆在單一網路中連接並隔離裝置)。
部署防火牆時,防火牆的網路介面會連接到這些網路或區域。 然後可以使用這些區域來簡化防火牆政策。例如,一個 perimeter 防火牆會有一個連線到網際網路的外部區域、一個或多個連線到內部網路的內部介面,以及一個DMZ 網路連線。 然後,可根據需要自訂防火牆政策,以增加更細緻的控制。
需要管理防火牆。一個重要的問題是:「防火牆是否也需要專用的管理介面?」Lights-out Management 和序列主控台存取只能從專用的安全網路存取。
最後,一個防火牆就是一個單點故障 (SPOF)。在高可用性 (HA) 群集中部署兩個或更多群集,可確保當其中一個群集失效時,安全性仍可持續。持續使用每個群集成員資源的更好選擇是超大規模網路安全解決方案。對於流量負載有季節性高峰的網路,也應該考慮這一點。
#3.保護防火牆
防火牆是組織安全基礎架構的重要組成部分,需要加以保護以防被利用。要確保防火牆的安全,請採取下列步驟:
- 停用不安全的通訊協定,例如 telnet 和 SNMP,或使用安全的 SNMP 設定。
- 排定配置和資料庫的定期備份。
- 啟用系統變更稽核,並透過安全的系統日誌或其他方法將日誌傳送至外部、安全的中央安全性資訊與事件管理伺服器或 防火牆管理解決方案,以便取證與報告。
- 在防火牆政策中加入隱藏規則,以隱藏防火牆,避免網路掃描。
- 限制特定主機的管理存取。
- 防火牆也無法避免脆弱性。 向供應商查詢是否有任何已知的脆弱性和安全修補程式可修復脆弱性。
#4.安全的使用者帳戶
帳戶接管是網路威脅份子常用的技術。要保護防火牆上使用者帳戶的安全,請執行下列步驟:
- 重新命名或變更預設帳號和密碼
- 要求使用 MFA 和/或設定強密碼政策(包含大小楷字母、特殊字符和數字的複雜密碼,12 個字元或更長,防止重複使用密碼)
- 對防火牆管理員使用基於角色的存取控制 (RBAC)。授權和限制存取權限,以符合使用者的存取需求(例如,只允許稽核人員唯讀存取,並為 DevSecOps 團隊建立專屬的存取角色和帳戶)
#5.鎖定區域,只允許經核准的車輛進入
防火牆的主要功能是強制執行和監控網路分割的存取。
防火牆可以檢查和控制跨越網路邊界的南北流量。在此宏分割使用案例中,區域是廣泛的群組,例如外部、內部、DMZ 和訪客無線網路。 他們也可能是獨立內部網路如數據中心、人力資源部、財務部的業務群組,或是使用工業控制系統 (ICS) 的製造廠的生產樓層。
防火牆部署在虛擬化的私人或公共雲端,可以檢查個別伺服器或應用程式之間的流量,這些流量會隨著實體的啟動而動態改變。 在此微分割使用個案中,區域可由 Web 應用程式或資料庫等應用程式定義。虛擬伺服器的功能可由標籤設定,並在防火牆政策中動態使用,無需人為干預,減少手動設定錯誤的機會。
在宏觀和微觀部署中,防火牆透過設定防火牆政策規則來控制存取,此政策規則大致上根據流量來源和目的地來定義存取。 應用程式使用的服務或連接埠也可以定義。例如,埠 80 和 443 是網頁流量的預設埠。在 Web 伺服器上,應該只允許存取這些連接埠,並封鎖所有其他連接埠。這種情況可以將允許的流量列入白名單。
對於白名單安全政策而言,從組織到網際網路的出口流量問題較大,因為幾乎不可能說明哪些連接埠需要用來存取網際網路。出口安全政策中較常見的方法是黑名單,即封鎖已知的不良流量,並透過「全部接受」防火牆政策規則允許其他所有流量。
要偵測已知的不良網站,除了 IP 和連接埠控制之外,還可以在次世代防火牆 (NGFW)上啟用其他安全功能。 其中包括網址過濾和應用程式控制。 例如,這可以用來允許存取 Facebook,但封鎖 Facebook 遊戲。
#6.確保防火牆政策和使用符合標準
法規對防火牆有特定要求。任何安全最佳作法都必須符合這些要求,並可能需要在任何已部署的防火牆上增加額外的安全控制。需求範例包括使用虛擬私人網路路由 (VPN) 加密傳輸中的資料、使用防毒軟體防止已知的惡意軟體,以及使用入侵偵測與防禦系統 (IDS/IPS) 偵測任何網路路由入侵嘗試。
例如,PCI DSS要求在信任區和非信任區之間採用基於防火牆區域的控制。這包括在所有無線網路和持卡人資料環境之間使用 DMZ 和周邊防火牆。一些額外的 PCI DSS 要求包括
- 使用防偽手段偵測並阻止偽造的來源 IP 位址進入網路。例如,封鎖外部介面上來源位址為內部網路之一的入站流量。
- 使用網路位址轉換 (NAT) 和移除私人網路的路由廣告,不向未經授權的各方揭露私人 IP 位址和路由資訊。
- 每半年清理一次不必要、過時或錯誤的規則,並確保所有規則集僅允許授權的服務和連接埠。
- 加密持卡人資料在開放、公共網路的傳輸。
- 安裝供應商提供的安全修補程式。在發佈後一個月內安裝重要的安全修補程式。(鑑於威脅份子利用已知弱性的速度非常快,公司可能想要將此變更為在有修補程式時更新。 自動更新 IPS 簽名的 NGFW 可保護整個網路免於新公佈的弱性)。
- 必須制定流程,根據需要瞭解的情況和工作職責限制存取權限。
- 追蹤並監控所有網路資源和持卡人資料的存取。
- 使用時間同步技術,同步所有重要的系統時鐘和時間。
- 定期測試安全系統和程序。
#7.測試以驗證政策並找出風險
對於較大的安全政策,可能很難想像它會如何處理新的連線。現有工具可執行路徑分析,也可能存在於安全管理系統中,以搜尋和尋找規則。
此外,有些安全管理系統會在建立重複物件時提出警告,或不會安裝具有隱藏另一個物件的規則的政策。定期測試您的政策,以驗證它是否按照設計執行,從而找出未使用和重複的物件。
防火牆政策通常是以自上而下的順序套用,並可透過將頂端命中規則在檢查順序中往上移動來進行最佳化。定期檢查政策以最佳化防火牆效能。
最後,定期執行滲透測試,以識別除防火牆外可能需要的任何風險額外安全措施,確保組織安全。
#8.稽核軟體或韌體及日誌
定期審核對於確保軟體和韌體的正確性和最新性,以及日誌的正確設定和運作是非常重要的。這些稽核的一些最佳做法包括
- 為修改安全政策建立正式的變更控制計畫,以確保安全不受影響。
- 在來源、目的地或連接埠中設有 Any 的規則可能會在安全政策中成為漏洞。可能的話,請變更這些內容,以加入規則目的的特定來源、目的地或服務。
- 建立區段或層級以增加安全政策的層級,使其更容易檢閱。
- 在章節或圖層的末端加入符合圖層意圖的清理規則(即允許全部或拒絕全部)。
- 在規則中加入註解和名稱,以協助辨識每項規則的原始目的。
- 啟用記錄功能,以便更好地追蹤網路流量,並增加取證調查和報告的可視性。
- 定期檢閱稽核記錄和報告,查看是誰變更了防火牆政策。
Check Point 政策最佳化建議
Check Point 提供許多資源,協助配置您的 Check Point NGFW。要初步討論 Check Point 防火牆政策,請檢閱這篇關於規則庫建構與最佳化的支援文章。此外,如果您是Check Point 的新手,請查看CheckMates 社群Check Point for Beginners。
若要深入瞭解如何更好地管理您的 Check Point 解決方案,請參加我們的免費線上學習課程。我們也歡迎您要求NGFW 或安全管理的示範。
