如何配置防火墙之如何开始部署安全策略
2022-9-5 00:0:44 Author: 橘猫学安全(查看原文) 阅读量:13 收藏

前言

网络中的流量错综复杂,安全策略的部署不可能一蹴而就,而任何错误的操作都可能影响组织的正常工作,所有的安全人员都对此提心吊胆。在把防火墙接入网络之前,防火墙管理员最大的困惑是,如何开始配置防火墙安全策略,才能不影响业务运行?

实际上,有一种万无一失的方法,可以降低这种风险,保证业务零中断

01

 适用范围

这个部署方法既适用于防火墙首次接入网络时初始部署安全策略,也适用于安全策略的优化。如果当前部署的某个安全策略不够精确(如指定了Any作为匹配条件),你可以参照这个方法来确定更具体的匹配条件。

通常情况下,安全策略中不指定用户、应用、URL分类、时间段是可以接受的。但是源/目的IP地址、源/目的安全区域、服务应指定具体的范围。

02

   暑期培训注意事项

【1】确定防火墙在网络中的部署位置,并使用安全区域划分网络。你需要对照组网图,了解当前网络资源的分布情况,识别关键信息资产、服务及其安全等级。

【2】尽你所能了解当前网络中的运行的合法业务,建立白名单。业务白名单通常有以下几类。

  • 网络基础设施,如路由协议、NTP、FTP、DNS、VPN等。

  • 企业IT基础设施,如AD/LDAP认证服务、企业邮箱、Windows Update升级服务等。

  • 管理服务,如SNMP、SSH、RDP远程桌面等。

  • 企业办公应用和服务,如MySQL、Salesforce、GitHub、Office 365、企业自建服务等。

  • 个人应用和服务,如上网、社交媒体、私人邮箱等。

【3】结合企业信息安全政策(Information security policy)、用户组结构和业务白名单,确定通信矩阵和业务访问规则。

【4】类似的,尽你所能了解需要禁止的高风险应用和非法业务(企业信息安全政策禁止的服务),建立黑名单,确定业务禁止规则。

【5】首先在防火墙上创建一条允许所有流量的临时安全策略,并记录策略命中日志。

【6】根据前面识别的业务规则,在防火墙上为白名单和黑名单配置安全策略。调整顺序,使临时安全策略位于策略列表底部,缺省安全策略之前,如表1-1所示。这样,可以保证所有业务都能通过防火墙,不会影响业务运行。同时,未知业务会命中临时安全策略,并在日志中记录下来。

表1-1 临时安全策略示意

【7】分析策略命中日志,识别并判断业务的合法性和必要性,并添加新的、精确的安全策略。在分析策略命中日志时,重点关注业务的源/目的IP地址、源/目的安全区域、服务/端口,识别出同类业务。然后把策略命中日志中离散的IP地址合并为地址段,创建地址组,并在精确安全策略中引用。建议优先分析和处理命中次数最多的服务/端口或应用(如图1-1中的TCP3389),这样可以快速减少日志的数量。

除了使用Web界面,你还可以从日志服务器查看策略命中日志,或者使用命令行display firewall session table verbose policy "Temporary Security Policy"。

图1-1 策略命中日志列表

【8】把新添加的精确安全策略移动到临时安全策略的前面。

【9】清除临时安全策略的命中计数,继续观察和分析日志、添加精确安全策略,直到没有流量命中临时安全策略。根据网络业务复杂度的不同,这个过程可能需要几个小时,甚至几天。

【10】在确认网络中所有流量都得到了充分的分析以后,删除临时策略。

【11】分析放行业务可能存在的安全风险,为安全策略添加合适的内容安全配置文件。

如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell

「 超详细 | 分享 」手把手教你如何进行内网渗透

神兵利器 | siusiu-渗透工具管理套件

一款功能全面的XSS扫描器

实战 | 一次利用哥斯拉马绕过宝塔waf

BurpCrypto: 万能网站密码爆破测试工具

快速筛选真实IP并整理为C段 -- 棱眼

自动探测端口顺便爆破工具t14m4t

渗透工具|无状态子域名爆破工具(1秒扫160万个子域)

查看更多精彩内容,还请关注橘猫学安全:

每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247498072&idx=3&sn=c8878c9d0c7d1736cfab40295cc892b2&chksm=c04d7e66f73af7705353ac0fa691430c12954e66b33a77f7c83433143482806ffd3fcf5d05bb#rd
如有侵权请联系:admin#unsafe.sh