ファイアウォールポリシーのベストプラクティス
セキュアなネットワークは、ビジネスに欠かせません。ネットワークを保護するには、ネットワーク管理者は、そのビジネス内のすべてのネットワーク リソースと、それらのリソースに必要なセキュリティ レベルの概要を示す セキュリティ ポリシー を作成する必要があります。ポリシーは、コンテキスト(送信元ゾーンと宛先ゾーン)内のトランジットトラフィックにセキュリティルールを適用し、各ポリシーはその名前によって一意に識別されます。トラフィックは、送信元ゾーンと宛先ゾーン、送信元アドレスと宛先アドレス、およびトラフィックがプロトコルヘッダーで伝送するサービス(アプリケーション)によって分類され、データプレーン内のポリシーデータベースが使用されます。
ネットワークにトラフィックルールを適用するためのセキュリティポリシーの設定は比較的簡単ですが、慎重に検討する必要があります。システムメモリをより有効に活用し、ポリシー設定を最適化するために効果的なファイアウォールポリシーを定義する際に使用するベストプラクティスがいくつかあります。
最小権限ポリシーを使用する - 一致条件とトラフィックの許可に関して、ファイアウォールルールをできるだけ厳しくします。組織のポリシーで許可されているトラフィックのみを許可し、他のすべてのトラフィックを拒否します。これは、イングレストラフィックとエグレストラフィックの両方に当てはまります。つまり、インターネットから内部リソースへのトラフィックと、内部リソースからインターネットへのトラフィックを意味します。最小限の特権のセキュリティ ポリシーは、攻撃対象領域を最小限に抑え、他のコントロールをより効果的にするのに役立ちます。
論理的にセグメント化する - ゾーンベースのファイアウォールでは、異なるインターフェイスを異なるゾーンに配置できます。これにより、ファイアウォールが制御(ゾーン間およびゾーン内ポリシー)を適用できるようにリソースを配置できるようにネットワークを設計できます。
特定のファイアウォールルールを最初に配置 - トラフィックはルールベースの一番上から始まり、最初の一致で下がっていくため、最も明示的なファイアウォールルールを ルールベースの 一番上に配置します。
可能な場合はアドレス セットを使用する - アドレス セットは、ファイアウォール ポリシーの管理を簡素化します。これにより、大規模なオブジェクトのセットをグループ化して、セキュリティ ポリシー内の 1 つのオブジェクトとしてアドレス指定することができます。アドレス セットに参照できるルールが多いほど、ほとんどの組織にはグループ化可能な論理オブジェクトがあるため、変更が容易になります
送信元アドレスと宛先アドレスに 1 つのプレフィックスを使用します。たとえば、/32 アドレスを使用して各アドレスを個別に追加する代わりに、必要な IP アドレスのほとんどをカバーする大規模なサブネットを使用します。IPv6 アドレスはより多くのメモリを消費するため、使用する IPv6 アドレスの数を減らします。
可能な場合はサービス セットを使用する - サービス セットはファイアウォール ポリシーの管理を簡素化します。これにより、大規模なオブジェクトのセットをグループ化して、セキュリティ ポリシー内の 1 つのオブジェクトとしてアドレス指定することができます。可能な限り、サービス "any" を使用します。ポリシーで個々のサービスを定義するたびに、追加のメモリを使用できます。
ポリシー構成で使用するゾーン ペアの数が少ない - 各ソース ゾーンと宛先ゾーンは、約 16,048 バイトのメモリを使用します。可能な限り、グローバル ポリシーを使用することをお勧めします。グローバル ポリシーは、ゾーン指定の制限なしにトラフィックに対してアクションを実行する柔軟性を提供します。
明示的なドロップルールを使用する:望ましくないトラフィックがセキュリティポリシーを通じて漏洩しないようにするには、グローバルポリシーとともに、各セキュリティゾーンコンテキストの一番下(送信元ゾーンから宛先ゾーンなど)にany-any-anyドロップルールを配置します。これは、ファイアウォールルールを定義しるべきではないという意味ではなく、単に未分類のトラフィックをキャプチャするためのキャッチオールメカニズムを提供するだけです。
ログ記録を使用する - すべてのファイアウォール ポリシーにログオンすることを強くお勧めします。ログ記録は、すべてのネットワークアクティビティの監査証跡を提供し、トラブルシューティングと診断に役立ちます。トラブルシューティングを行う場合を除き、[ログオン セッションの初期化] オプションではなく [セッションの終了時にログオン] オプションを使用することをお勧めします。セッションクローズログには、セッションに関するより多くの情報が含まれています。この情報は、診断目的に役立ちます。
ネットワーク タイム プロトコル(NTP)を使用する - NTP は、インターネット上のルーターやその他のハードウェア デバイスのクロックを同期するために使用される広く使用されているプロトコルです。デバイスのクロックのいずれかが間違っていると、ログやトラブルシューティング情報が正しくないだけでなく、スケジューラなどのセキュリティ ポリシー オブジェクトも意図しない結果を招く可能性があります。
メモリ使用率の確認 - ポリシーのコンパイル前後のメモリ使用量を確認します。