Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Meilleures pratiques en matière de stratégies de pare-feu

Un réseau sécurisé est vital pour une entreprise. Pour sécuriser un réseau, un administrateur réseau doit créer une stratégie de sécurité qui décrit toutes les ressources réseau au sein de cette entreprise et le niveau de sécurité requis pour ces ressources. La stratégie applique les règles de sécurité au trafic de transit dans un contexte (zone source et zone de destination) et chaque stratégie est identifiée de manière unique par son nom. Le trafic est classé en faisant correspondre les zones source et de destination, les adresses source et de destination et le service (application) que le trafic transporte dans ses en-têtes de protocole avec la base de données de stratégies dans le plan de données.

La configuration de stratégies de sécurité pour appliquer des règles de trafic sur un réseau peut s’avérer relativement simple, mais nécessite un examen attentif. Il existe plusieurs bonnes pratiques à utiliser lors de la définition d’une stratégie de pare-feu efficace afin de garantir une meilleure utilisation de la mémoire système et d’optimiser la configuration des stratégies :

  1. Utiliser des stratégies de moindre privilège : rendez les règles de pare-feu aussi strictes que possible en termes de critères de correspondance et d’autorisation du trafic. N’autorisez que le trafic autorisé par votre stratégie d’organisation et refusez tout autre trafic. Cela est vrai pour le trafic entrant et sortant, c’est-à-dire le trafic d’Internet vers les ressources internes, ainsi que pour le trafic des ressources internes vers Internet. Une stratégie de sécurité de moindre privilège permet de minimiser la surface d’attaque, ce qui rend les autres contrôles plus efficaces.

  2. Segmenter logiquement : les pare-feu basés sur des zones vous permettent de placer différentes interfaces dans différentes zones. Cela vous permet de concevoir votre réseau de manière à pouvoir placer les ressources de manière à ce que le pare-feu puisse appliquer des contrôles (stratégies interzone et intrazone).

  3. Placer des règles de pare-feu spécifiques en premier : placez les règles de pare-feu les plus explicites en haut de la base de règles, car la correspondance du trafic commence en haut de la base de règles et descend avec la première correspondance.

  4. Utiliser des jeux d’adresses lorsque cela est possible : les jeux d’adresses simplifient l’administration des stratégies de pare-feu. Ils vous permettent de regrouper de grands ensembles d’objets afin de pouvoir les traiter en tant qu’objet unique dans une stratégie de sécurité. Plus vous pouvez référencer de règles aux ensembles d’adresses, plus il est facile d’apporter des modifications, car la plupart des organisations ont des objets logiques qui peuvent être regroupés

    Utilisez des préfixes uniques pour les adresses source et de destination. Par exemple, au lieu d’utiliser des adresses /32 et d’ajouter chaque adresse séparément, utilisez un grand sous-réseau qui couvre la plupart des adresses IP dont vous avez besoin. Utilisez moins d’adresses IPv6 car les adresses IPv6 consomment plus de mémoire.

  5. Utiliser des ensembles de services dans la mesure du possible : les ensembles de services simplifient l’administration des stratégies de pare-feu. Ils vous permettent de regrouper de grands ensembles d’objets afin de pouvoir les traiter en tant qu’objet unique dans une stratégie de sécurité. Utilisez le service « n’importe quel » dans la mesure du possible. Chaque fois que vous définissez un service individuel dans la stratégie, vous pouvez utiliser de la mémoire supplémentaire.

  6. Utiliser moins de paires de zones dans les configurations de stratégie : chaque zone source et zone de destination utilise environ 16 048 octets de mémoire. Nous vous recommandons d’utiliser des stratégies globales dans la mesure du possible. Les stratégies globales vous permettent d’agir sur le trafic sans les restrictions des spécifications de zone.

  7. Utiliser des règles d’abandon explicites : pour vous assurer que le trafic indésirable ne passe pas par une stratégie de sécurité, placez une règle de suppression de tout au bas de chaque contexte de zone de sécurité (par exemple, de la zone source à la zone de destination) avec une stratégie globale. Cela ne signifie pas que vous ne devez pas définir vos règles de pare-feu, il fournit simplement un mécanisme fourre-tout pour capturer le trafic non classifié.

  8. Utiliser la journalisation : nous vous recommandons vivement de vous connecter à toutes les stratégies de pare-feu. La journalisation vous fournit une piste d’audit de toutes les activités du réseau, ce qui facilite le dépannage et le diagnostic. À moins que vous ne fassiez un dépannage, il est préférable d’utiliser l’option Ouvrir une session Fermer la session au lieu de l’option Ouvrir une session lors de l’initialisation de la session. Les journaux de fermeture de session contiennent beaucoup plus d’informations sur la session ; Ces informations sont utiles à des fins de diagnostic.

  9. Utiliser le protocole NTP (Network Time Protocol) : le protocole NTP est un protocole largement utilisé pour synchroniser les horloges des routeurs et autres périphériques matériels sur Internet. Si l’une des horloges de l’appareil est incorrecte, non seulement les journaux et les informations de dépannage peuvent être incorrects, mais les objets de stratégie de sécurité tels que les planificateurs peuvent également avoir des résultats inattendus.

  10. Vérifier l’utilisation de la mémoire : vérifiez votre utilisation de la mémoire avant et après la compilation des stratégies.

Documentation connexe