Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Prácticas recomendadas de políticas de firewall

Una red segura es vital para una empresa. Para proteger una red, un administrador de red debe crear una política de seguridad que describa todos los recursos de red dentro de esa empresa y el nivel de seguridad requerido para esos recursos. La política aplica las reglas de seguridad al tráfico de tránsito dentro de un contexto (zona de origen y zona de destino) y cada política se identifica de forma única por su nombre. El tráfico se clasifica haciendo coincidir las zonas de origen y destino, las direcciones de origen y destino, y el servicio (aplicación) que lleva el tráfico en sus encabezados de protocolo con la base de datos de políticas en el plano de datos.

Configurar políticas de seguridad para aplicar reglas de tráfico en una red puede ser relativamente fácil, pero requiere una cuidadosa consideración. Existen varias prácticas recomendadas que se deben utilizar al definir una política de firewall eficaz para garantizar un mejor uso de la memoria del sistema y optimizar la configuración de las políticas:

  1. Usar políticas de privilegios mínimos: haga que las reglas del firewall sean lo más estrictas posible en términos de criterios de coincidencia y tráfico permitido. Solo permita el tráfico permitido por su política de organización y deniegue el resto del tráfico. Esto es cierto tanto para el tráfico de entrada como para el de salida, es decir, el tráfico de Internet a los recursos internos y también el tráfico de los recursos internos a Internet. Una política de seguridad con privilegios mínimos ayuda a minimizar la superficie de ataque, lo que hace que otros controles sean más eficaces.

  2. Segmentar lógicamente: los firewalls basados en zonas le permiten colocar diferentes interfaces en diferentes zonas. Esto le permite diseñar su red de tal manera que pueda colocar los recursos de manera que el firewall pueda aplicar controles (políticas entre zonas e intrazona).

  3. Colocar reglas de firewall específicas en primer lugar: coloque las reglas de firewall más explícitas en la parte superior de la base de reglas, ya que el tráfico coincide comenzando en la parte superior de la base de reglas y descendiendo con la primera coincidencia.

  4. Utilice conjuntos de direcciones siempre que sea posible: los conjuntos de direcciones simplifican la administración de las políticas de firewall. Le permiten agrupar grandes conjuntos de objetos para que pueda abordarlos como un único objeto en una política de seguridad. Cuantas más reglas pueda hacer referencia a los conjuntos de direcciones, más fácil será realizar cambios, ya que la mayoría de las organizaciones tienen objetos lógicos que se pueden agrupar

    Utilice prefijos únicos para las direcciones de origen y destino. Por ejemplo, en lugar de usar direcciones /32 y agregar cada dirección por separado, use una subred grande que cubra la mayoría de las direcciones IP que necesita. Use menos direcciones IPv6 porque las direcciones IPv6 consumen más memoria.

  5. Use conjuntos de servicios siempre que sea posible: los conjuntos de servicios simplifican la administración de las políticas de firewall. Le permiten agrupar grandes conjuntos de objetos para que pueda abordarlos como un único objeto en una política de seguridad. Utilice el servicio "cualquiera" siempre que sea posible. Cada vez que defina un servicio individual en la directiva, puede utilizar memoria adicional.

  6. Usar menos pares de zonas en las configuraciones de políticas: cada zona de origen y destino utiliza unos 16.048 bytes de memoria. Recomendamos utilizar políticas globales siempre que sea posible. Las políticas globales le proporcionan la flexibilidad para realizar acciones en el tráfico sin las restricciones de las especificaciones de zona.

  7. Usar reglas de colocación explícitas: para asegurarse de que el tráfico no deseado no se filtre a través de una política de seguridad, coloque una regla de colocación en la parte inferior de cada contexto de zona de seguridad (por ejemplo, de zona de origen a zona de destino) junto con una política global. Esto no significa que no deba definir sus reglas de firewall, simplemente proporciona un mecanismo general para capturar tráfico no clasificado.

  8. Usar registro: le recomendamos encarecidamente que inicie sesión en todas las políticas de firewall. El registro proporciona un registro de auditoría de toda la actividad de la red, lo que ayuda en la solución de problemas y el diagnóstico. A menos que esté solucionando problemas, es mejor usar la opción Iniciar sesión cerca de sesión en lugar de la opción Iniciar sesión inicialización de sesión. Los registros de cierre de sesión incluyen mucha más información sobre la sesión; Esta información es útil para fines de diagnóstico.

  9. Usar protocolo de tiempo de red (NTP): NTP es un protocolo ampliamente utilizado que se usa para sincronizar los relojes de enrutadores y otros dispositivos de hardware en Internet. Si alguno de los relojes del dispositivo es incorrecto, no solo los registros y la información de solución de problemas pueden ser incorrectos, sino que también los objetos de política de seguridad, como los programadores, pueden tener resultados no deseados.

  10. Comprobar el uso de la memoria: compruebe el uso de la memoria antes y después de compilar las políticas.

Documentación relacionada