防火墙优化的12点建议(落地执行篇)
  

俺老孙是也 38431人觉得有帮助

{{ttag.title}}
本帖最后由 俺老孙是也 于 2024-9-12 12:52 编辑

防火墙来源于建筑学,用以阻止火灾蔓延。网络中的防火墙更加高明,既能隔离安全风险的“火”,又能让“人”穿墙而过。
作为最基础的安全设备之一,防火墙在企业组织中得到广泛应用,但基础不意味着简单。
为确保防火墙的稳定高效运行,安全牛发布了《防火墙应用优化的12点建议》一文,提出通过分析和调整防火墙的配置策略,提升其运行性能和防护效果。
建议的落地与执行通常是复杂的一环,安博通以“晶石”安全策略智能运维平台为例,从策略智能运维出发,为你梳理12点建议落地执行的通路。
01 充分了解防火墙的运行策略
建议摘要:1)首先评估防火墙的现有配置,并映射网络架构,充分了解历史与当前策略。2)建设全面的日志记录系统,定期检查更新运营规则,确保配置的适用性。3)记录防火墙配置、网络图和安全规则,作为优化时的参考和审计。
落地指南
· 对云网混合架构下,异构设备的安全策略进行集中管理,让全网防火墙运行策略清晰可见。
· 提供策略自动开通、合规检查、历史台账、白名单等功能,实现策略的全生命周期管理,确保策略配置的适用性,保障持续优化与合规审计。
02 使用统一的防火墙管理工具
建议摘要:1)使用统一的、可兼容的防火墙管理方案,对不同品牌的防火墙进行纳管,使运行策略具有一致性和有效性。2)统一的管理工具,可以对所有防火墙进行监控、审计和报告,从而改进安全态势。
落地指南
· 可作为全网访问控制策略的集中管理与运维平台,对防火墙策略进行管理的同时,对路由交换、云平台上的访问控制策略一并管理,实现“云上+本地”安全策略一体化管理。
03 采用多层级的防火墙应用模式
建议摘要:1)实施多层级的防火墙应用模式,部署配置不同类型的防火墙,以增强安全性。2)相应配置边界层、内部层和应用层的防火墙,通过统一工具进行管控,提高防御多种威胁的能力。
落地指南
· 目前,绝大部分关基单位已实现异构品牌、多层级的防火墙应用模式,随之而来的是管理与运维差异性的问题。“晶石”可以有效解决异构设备导致的运维痛点,提升整体安全能力。
04 定期更新防火墙运行规则
建议摘要:1)为消除安全盲区,定期评估防火墙的运行规则与企业需求是否一致,删除陈旧、冗余的规则,关注可能影响设备性能或安全性的重叠规则。2)持续优化调整防火墙策略,尽量减小攻击面。
落地指南
· 策略注释与到期提醒功能,可以及时预警到期策略。
· 清理优化功能,发现隐藏、冗余、可合并等问题策略,并进行闭环整改,提高防火墙运行效率。
· 命中收敛功能,发现长期不命中或过于宽松的策略,给出收敛脚本,缩减核心业务的暴露面。
05 遵循最小权限原则
建议摘要:1)创建防火墙规则时,应遵循最小权限原则,建立基于身份的控制措施,确保用户只能访问必要的资源。2)定期评估并更新权限,及时撤销不再需要访问的人员或应用系统的权限,降低被非法访问的风险。
落地指南
· 事前控制:与企业的ITSM(IT服务管理)或工单系统对接,实现业务开通的全流程数字化;基于预置的宽松度检测规则,确保策略开通遵循最小权限原则,并关联至业务部门的申请者,便于后续清理和撤销。
· 事后收敛:针对历史遗留的宽松策略,通过命中收敛功能,发现长期不命中或过于宽松的策略,给出收敛脚本,逐步落实最小权限原则,缩减核心业务的暴露面。
06 实施网络分段
建议摘要:1)按照业务需求,将网络分为不同区域,以配合最小权限原则,使具体的安全措施更易于部署。2)能够隔离受影响的网段,保护其余网段,在遭受安全威胁时,提高企业的安全控制能力。
落地指南
· 进行网络规划设计时,大部分关基单位已经实施了网络分区、分段,并通过防火墙进行域间隔离。但随着网络配置的频繁变更,且缺乏有效的监控核验手段,很难评估当前网络分段的现状与效果。
· 全网逻辑拓扑可视,应用自研的安全可视化技术,实时了解业务区域划分情况,以及域间安全设备的有效性。
· 域间访问基线功能,定期对全网的域间访问策略进行基线核查,及时告警违规访问通路和违规策略,严格落实最小化原则。
07 对防火墙运行日志进行监控和记录
建议摘要:1)启用完善的防火墙日志功能,并使用安全信息和事件管理(SIEM)工具,实现异常情况自动报警。2)将防火墙运行日志保存在易于访问的安全位置,定期分析日志,以发现异常行为、潜在风险和待改进之处。3)完善的日志分析,还可以支撑响应决策和配置优化,从而增进威胁检测、故障排除工作成效。
落地指南
· 对防火墙运行日志进行监控和记录,主要接收并处理3种类型的日志:第一种是防火墙策略命中日志,可用于策略收敛;第二种是防火墙操作日志,可用于主动的策略变更监控分析;第三种是防火墙告警日志,依托SOAR(安全编排、自动化及响应)产品,进行安全事件的关联分析。
08 定期审计防火墙性能
建议摘要:1)执行严格的安全审计,确认防火墙的漏洞、脆弱性及合规情况。2)开展防火墙安全评估和渗透测试,全面检查配置以发现弱点。3)模拟网络攻击,分析防火墙在检测和阻止非法访问方面的有效性。
落地指南
· 合规审计功能,针对防火墙配置基线进行定期检查,发现配置问题并整改。
· 自动构建全网模拟仿真环境,以路径仿真分析方式模拟网络攻击,或从核心业务资产视角分析其对外暴露路径,验证检测防火墙在访问控制方面的有效性,进一步收敛业务暴露面。
09 及时进行补丁更新
建议摘要:1)防火墙的软件系统可能存在安全漏洞,应该通过自动化手段及时更新固件,并安装最新补丁。2)密切关注设备供应商发布的版本更新信息,在无人工干预的情况下定期进行软件更新检查,自动更新防火墙。3)监控跟踪防火墙的更新状态,经常检查软件发布说明了解关键信息。
落地指南
· 通过漏洞管理平台进行落地。
10 确保可靠的配置备份
建议摘要:1)为防范配置漂移风险,应定期备份防火墙配置,在发生故障时可尽快恢复正常运营状态。2)备份应保存在远离主系统的安全区域,并定期测试恢复过程,确保其有效性。3)可靠的配置备份,可以防止配置错误、硬件故障和恶意行为,提供快速恢复机制,缩短停运时间。
落地指南
· 纳管全网防火墙后,定期(如每天1次)对防火墙的全量配置进行采集留存,配置备份保存周期可达3年以上。
· 将任意时间点的配置文件进行对比分析,可视化展现配置差异。
11 实施规范的变更管理流程
建议摘要:1)实施规范的变更管理流程,减少非法或破坏性变更出现的风险,简化事后分析与合规遵从工作。2)临时仓促进行的更新,往往会导致安全漏洞或错误,影响防火墙的有效性。规范流程可加强安全运营人员的责任意识,降低错误配置的可能性。
落地指南
· 自动分析业务的访问控制策略开通需求,定位开通路径途经的防火墙或其他设备,进行安全风险分析与配置脚本生成,对开通结果进行自动验证。
· 可通过集成对接方式,内嵌到企业的ITSM、OA等工单类系统中,实现策略变更的全流程数字化,提高策略配置的准确性与敏捷性,让合规工作更高效、可持续。
12 加强用户沟通和安全意识
建议摘要:1)设立持续的培训计划和沟通渠道,提高用户对潜在风险的认知。2)模拟网络钓鱼,定期评估员工发现风险的能力。3)定期宣讲防火墙策略、不断变化的威胁及网络安全最佳实践,制订奖励制度,表彰和激励员工对网络安全做出积极贡献。
落地指南
· 结合企业安全教育进行落地。

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

牛马D大腿 发表于 2024-9-12 15:45
  
感谢您分享的《防火墙优化的12点建议(落地执行篇)》。这些建议为我们提供了宝贵的指导,帮助我们在复杂的网络环境中有效管理和优化防火墙策略。通过实施这些最佳实践,我们能够提升网络安全性能,降低安全风险,并确保业务的连续性。期待在今后的工作中,能够将这些建议落到实处,进一步增强我们的网络安全防护能力。再次感谢您的分享!
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
技术盲盒
干货满满
社区新周刊
每日一问
新版本体验
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
143
63

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人