Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Best Practices für Firewall-Richtlinien

Ein sicheres Netzwerk ist für ein Unternehmen von entscheidender Bedeutung. Um ein Netzwerk zu sichern, muss ein Netzwerkadministrator eine Sicherheitsrichtlinie erstellen, die alle Netzwerkressourcen innerhalb dieses Unternehmens und die erforderliche Sicherheitsstufe für diese Ressourcen beschreibt. Die Richtlinie wendet die Sicherheitsregeln auf den Transitdatenverkehr innerhalb eines Kontexts (Quellzone und Zielzone) an, und jede Richtlinie wird eindeutig durch ihren Namen identifiziert. Der Datenverkehr wird klassifiziert, indem Quell- und Zielzonen, Quell- und Zieladressen sowie der Dienst (die Anwendung), den der Datenverkehr in seinen Protokollheadern mit der Richtliniendatenbank in der Datenebene überträgt, abgeglichen werden.

Die Konfiguration von Sicherheitsrichtlinien zur Durchsetzung von Datenverkehrsregeln in einem Netzwerk kann relativ einfach sein, erfordert jedoch sorgfältige Überlegungen. Es gibt mehrere bewährte Methoden, die bei der Definition einer effektiven Firewall-Richtlinie verwendet werden können, um eine bessere Nutzung des Systemspeichers sicherzustellen und die Richtlinienkonfiguration zu optimieren:

  1. Richtlinien mit den geringsten Rechten verwenden: Gestalten Sie die Firewall-Regeln in Bezug auf Übereinstimmungskriterien und das Zulassen von Datenverkehr so streng wie möglich. Lassen Sie nur Datenverkehr zu, der durch Ihre Organisationsrichtlinie zulässig ist, und verweigern Sie allen anderen Datenverkehr. Dies gilt sowohl für eingehenden als auch für ausgehenden Datenverkehr, d. h. Datenverkehr aus dem Internet zu internen Ressourcen sowie Datenverkehr von internen Ressourcen zum Internet. Eine Sicherheitsrichtlinie mit den geringsten Rechten trägt dazu bei, die Angriffsfläche zu minimieren und andere Kontrollen effektiver zu machen.

  2. Logisch segmentieren: Zonenbasierte Firewalls ermöglichen es Ihnen, verschiedene Schnittstellen in verschiedenen Zonen zu platzieren. Auf diese Weise können Sie Ihr Netzwerk so gestalten, dass Sie Ressourcen so platzieren können, dass die Firewall Kontrollen durchsetzen kann (Interzonen- und Intrazonenrichtlinien).

  3. Bestimmte Firewallregeln zuerst platzieren: Platzieren Sie die explizitesten Firewallregeln oben in der Regelbasis, da der Datenverkehr von oben in der Regelbasis abgeglichen wird und mit der ersten Übereinstimmung abwärts geht.

  4. Verwenden Sie nach Möglichkeit Adresssätze: Adresssätze vereinfachen die Verwaltung von Firewallrichtlinien. Sie ermöglichen es Ihnen, große Mengen von Objekten zu gruppieren, sodass Sie sie als ein einzelnes Objekt in einer Sicherheitsrichtlinie adressieren können. Je mehr Regeln Sie auf die Adresssätze verweisen können, desto einfacher ist es, Änderungen vorzunehmen, da die meisten Organisationen über logische Objekte verfügen, die gruppiert werden können

    Verwenden Sie einzelne Präfixe für Quell- und Zieladressen. Anstatt beispielsweise /32-Adressen zu verwenden und jede Adresse separat hinzuzufügen, verwenden Sie ein großes Subnetz, das die meisten benötigten IP-Adressen abdeckt. Verwenden Sie weniger IPv6-Adressen, da IPv6-Adressen mehr Arbeitsspeicher verbrauchen.

  5. Verwenden Sie nach Möglichkeit Service-Sets: Service-Sets vereinfachen die Verwaltung von Firewall-Richtlinien. Sie ermöglichen es Ihnen, große Mengen von Objekten zu gruppieren, sodass Sie sie als ein einzelnes Objekt in einer Sicherheitsrichtlinie adressieren können. Verwenden Sie nach Möglichkeit den Dienst "any". Jedes Mal, wenn Sie einen einzelnen Dienst in der Richtlinie definieren, können Sie zusätzlichen Arbeitsspeicher verwenden.

  6. Weniger Zonenpaare in Richtlinienkonfigurationen verwenden: Jede Quell- und Zielzone verwendet etwa 16.048 Byte Arbeitsspeicher. Es wird empfohlen, nach Möglichkeit globale Richtlinien zu verwenden. Globale Richtlinien bieten Ihnen die Flexibilität, Aktionen für Datenverkehr ohne die Einschränkungen von Zonenspezifikationen durchzuführen.

  7. Explizite Drop-Regeln verwenden: Um sicherzustellen, dass kein unerwünschter Datenverkehr durch eine Sicherheitsrichtlinie fließt, platzieren Sie eine Any-Any-Drop-Regel am Ende jedes Sicherheitszonenkontexts (z. B. Quellzone zu Zielzone) zusammen mit einer globalen Richtlinie. Dies bedeutet nicht, dass Sie Ihre Firewall-Regeln nicht definieren sollten, es bietet lediglich einen Auffangmechanismus zum Erfassen von nicht klassifiziertem Datenverkehr.

  8. Protokollierung verwenden: Es wird dringend empfohlen, dass Sie sich bei allen Firewall-Richtlinien anmelden. Durch die Protokollierung erhalten Sie einen Prüfpfad für alle Netzwerkaktivitäten, der bei der Fehlersuche und -diagnose hilft. Sofern Sie keine Fehlerbehebung durchführen, empfiehlt es sich, die Option "Sitzung schließen" anstelle der Option "Sitzungsinitialisierung anmelden" zu verwenden. Sitzungsabschlussprotokolle enthalten viel mehr Informationen über die Sitzung. Diese Informationen sind für diagnostische Zwecke nützlich.

  9. Network Time Protocol (NTP) verwenden—NTP ist ein weit verbreitetes Protokoll zur Synchronisierung der Uhren von Routern und anderen Hardwaregeräten im Internet. Wenn eine der Geräteuhren falsch ist, können nicht nur Protokolle und Informationen zur Fehlerbehebung falsch sein, sondern auch Sicherheitsrichtlinienobjekte wie Scheduler können unbeabsichtigte Folgen haben.

  10. Speicherauslastung prüfen: Überprüfen Sie die Speicherauslastung vor und nach dem Kompilieren von Richtlinien.

Zugehörige Dokumentation