Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Melhores práticas de políticas de firewall

Uma rede segura é vital para uma empresa. Para proteger uma rede, um administrador de rede deve criar uma política de segurança que delineie todos os recursos de rede dentro desse negócio e o nível de segurança necessário para esses recursos. A política aplica as regras de segurança ao tráfego de trânsito em um contexto (zona de origem e zona de destino) e cada política é identificada exclusivamente pelo seu nome. O tráfego é classificado por zonas de origem e destino correspondentes, endereços de origem e destino, e o serviço (aplicativo) que o tráfego transporta em seus cabeçalhos de protocolo com o banco de dados de políticas no plano de dados.

Configurar políticas de segurança para aplicar regras de tráfego em uma rede pode ser relativamente fácil, mas requer uma consideração cuidadosa. Existem várias práticas recomendadas a serem usadas ao definir uma política de firewall eficaz para garantir um melhor uso da memória do sistema e otimizar a configuração de políticas:

  1. Use políticas de privilégio mínimas — torne as regras de firewall o mais rígidas possível em termos de critérios de correspondência e permissão de tráfego. Permita apenas o tráfego permitido pela sua política organizacional e negue todo o tráfego. Isso vale tanto para o tráfego de entrada quanto para a saída, o que significa tráfego da Internet para recursos internos e também tráfego de recursos internos para a Internet. Uma política de segurança de privilégio mínimo ajuda a minimizar a superfície de ataque, tornando outros controles mais eficazes.

  2. Segmente logicamente — os firewalls baseados em zona permitem que você coloque diferentes interfaces em diferentes zonas. Isso permite que você projete sua rede de maneira a colocar recursos de uma maneira em que o firewall possa aplicar controles (políticas de interzona e intrazona).

  3. Coloque as regras de firewall específicas em primeiro lugar — coloque as regras de firewall mais explícitas no topo da base de regras porque o tráfego é combinado começando no topo da base de regras e caindo com a primeira partida.

  4. Use conjuntos de endereços sempre que possível — os conjuntos de endereços simplificam a administração de políticas de firewall. Eles permitem agrupar grandes conjuntos de objetos para que você possa abordá-los como um único objeto em uma política de segurança. Quanto mais regras você pode fazer referência aos conjuntos de endereços, mais fácil é fazer mudanças porque a maioria das organizações tem objetos lógicos que podem ser agrupados

    Use prefixos únicos para endereços de origem e destino. Por exemplo, em vez de usar /32 endereços e adicionar cada endereço separadamente, use uma grande sub-rede que cobre a maioria dos endereços IP que você precisa. Use menos endereços IPv6 porque os endereços IPv6 consomem mais memória.

  5. Use conjuntos de serviços sempre que possível — os conjuntos de serviços simplificam a administração de políticas de firewall. Eles permitem agrupar grandes conjuntos de objetos para que você possa abordá-los como um único objeto em uma política de segurança. Use o serviço "qualquer" sempre que possível. Cada vez que você definir um serviço individual na política, você pode usar memória adicional.

  6. Use menos pares de zona em configurações de políticas — cada zona de origem e destino usa cerca de 16.048 bytes de memória. Recomendamos usar políticas globais sempre que possível. As políticas globais oferecem a você flexibilidade para realizar ações no tráfego sem as restrições das especificações da zona.

  7. Use regras explícitas de queda — para garantir que o tráfego indesejado não vaze por uma política de segurança, coloque uma regra de queda qualquer no fundo de cada contexto de zona de segurança (por exemplo, zona de origem para zona de destino) junto com uma política global. Isso não significa que você não deve definir suas regras de firewall, ele simplesmente fornece um mecanismo catch-all para capturar tráfego não classificado.

  8. Use o registro — Recomendamos muito que você faça login em todas as políticas de firewall. O registro oferece a você uma trilha de auditoria de todas as atividades da rede, o que ajuda na resolução de problemas e no diagnóstico. A menos que você esteja solucionando problemas, é melhor usar a opção Log on Session Close em vez da opção Log on Session Initialization. Os logs de fechamento da sessão incluem muito mais informações sobre a sessão; essas informações são úteis para fins de diagnóstico.

  9. Use o protocolo de tempo de rede (NTP) — o NTP é um protocolo amplamente usado usado para sincronizar os relógios de roteadores e outros dispositivos de hardware na Internet. Se algum dos clocks do dispositivo estiver errado, então não apenas logs e informações de solução de problemas podem ser incorretos, mas também objetos de política de segurança, como agendadores, podem ter resultados não intencionais.

  10. Verifique a utilização da memória — Verifique o uso da memória antes e depois da compilação das políticas.

Documentação relacionada