了解防火墙
防火墙是一种控制跨网络流量的安全设备.防火墙可能是硬件设备,也可能是运行在第三方操作系统上的软件。防火墙的操作基于一套预先定义的,以及可定制的安全规则,这些安全规则检查网络流量,以阻止或允许访问网络。
各组织必须努力识别并选择适合其网络需求的防火墙类型。组织可能需要不止一种类型的防火墙来更好地保护其系统。
2. 电路级网关-这个防火墙根据预设的规则监视传输控制协议连接和活动会话。它不检查包,最好与其他类型的防火墙一起使用,以防范恶意软件。
3. 应用程序级网关/代理防火墙 -该防火墙充当两个终端系统之间的调解人,根据一套安全规则评估收到的请求,并决定是否允许或阻止这些请求。它监控第7层协议的流量,如http和FTP,并在通过代理之前使用有状态和深包检查来检测恶意的流量。一个应用级网关提供了最佳的防护措施 网络应用程序威胁 ,阻止进入有害站点,并有助于防止与外部客户直接接触,从而降低数据泄漏的风险。
4. 状态检查防火墙--该防火墙在现场视察模型的传输层运行。它维护一个状态表,以监视每个活动连接的状态。它还检查包头和有效载荷。该防火墙提供了高度的安全性和控制,但影响了网络通信的速度。
5. 新一代防火墙-新一代防火墙提供强大的威胁保护能力,包括入侵预防, 深包检查 分析零日利用和先进的持续威胁(APts),用户识别和应用程序识别,以及沙堆拳。与传统防火墙相比,防火墙成本昂贵、资源密集、复杂。
如何设置防火墙
安全和优化配置您的防火墙至关重要,以确保其有效和高效运行,并避免威胁行为体获得对受保护的内部网络和资源的控制。 思科 建议遵循以下六个简单步骤,安全可靠地配置防火墙,确保网络保护。
1. 保护防火墙--在开始添加新规则之前,确保防火墙的安全性通过实现以下基本配置得到保证:将防火墙更新为最新推荐的固件。删除/重命名默认用户帐户,并将默认密码更改为复杂密码。限制拥有设备管理权限的用户。
2. 建立防火墙区域和IP地址结构--确定你的网络资产,并根据它们的重要性或功能将它们分组为网络区域。例如,将电子邮件、Web和vpn服务器分配到限制入境流量的非军事区(DMZ)。为创建的区域创建一个相应的IP地址方案,并将它们分配给防火墙接口和子接口。对于使用IP版本4的网络,为私有网络使用内部的、不可路由的IP地址(根据 RFC1918 ),并配置网络地址转换(NAT),以促进内部设备与互联网之间的通讯。
3. 配置访问控制列表(ACLS)--ACLS是防火墙规则,用来确定哪些选定的流量可以穿越组织的网络区域。它们应用于每个防火墙接口和子接口,包括入站ACLS,以控制传入的流量和出站ACLS,从而有效地管理网络区域中的出入口流量。创建的ACLS应该尽可能具体,指定确切的源和/或目标IP地址和端口号。
4. 配置其他防火墙服务和日志配置防火墙,以支持其他服务,如动态主机配置协议(DHCP)、入侵预防和网络时间协议(NTP)。禁用不必要的服务。此外,如果适用,确保防火墙报告到日志服务,以满足支付卡行业数据安全标准(PCIDSS)的要求。
5. 测试防火墙配置--确保防火墙配置按计划运行;测试还可以包括漏洞扫描和渗透测试,并在出现故障时保持配置的安全备份。
6. 防火墙管理-在配置和启动防火墙之后,定期维护对于优化性能至关重要。记住更新固件,执行日志审查,进行漏洞扫描,至少每六个月或在基础设施发生任何基线更改时审查配置规则。
安全网络防火墙的最佳做法
l 保护基本配置-在默认情况下配置防火墙以阻止所有流量,只允许特定端口上的特定已知服务和协议。这就是所谓的"放弃所有"规则,并被定位为每个防火墙规则集中的最后规则。这一方法加强了网络安全,防止了未经授权的访问和可能的破坏。
l 实现对用户的最低权限访问----只有通过限制授权用户的帐户访问与其角色相关的必要文件和工具,才能对授权用户的网络防火墙进行安全访问。
l 定期进行防火墙审核-定期审核有助于确保防火墙的合规性和安全性.通过将最佳实践与这些审计相结合,您实现了兼容和安全的配置。进行审计,通过收集相关数据进行审计,确保访问政策得到遵守,并监测防火墙日志是否存在潜在威胁。根据需要审查和更新防火墙规则。
防火墙在保护网络免受潜在威胁方面发挥着关键作用。了解类型、适当配置和最佳做法将确保强有力的网络安全。通过全面和维护良好的防火墙战略,企业可以降低风险,保护敏感数据,并培养抵御不断变化的网络威胁的复原力。
本文选自:
https://www.tripwire.com/state-of-security/understanding-firewalls-types-configuration-and-best-practices-effective-network
