防火墙管理五大秘诀（下）

DoSECU 安全报道 9月16日消息：最近在拉斯维加斯举行的Defcon 17大会上，Tufin Technologies对79位黑客进行了一次调研来了解他们的攻击习惯。根据这项调研的结论，黑客活动暑期的暂时沉寂期即将结束，繁忙的圣诞节爆发季就要到来，因此你最好做好准备。

以最小的权限安装所有的访问规则

另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的：即源（IP地址），目的地（网络/子网络）和服务（应用软件或者其他目的地）。为了确保每个用户都有足够的端口来访问他们所需的系统，常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络，这些规则就会变得权限过度释放，因此就会增加不安全因素。服务域的规则是开放65535个TCP端口的ANY。防火墙管理员真的就意味着为黑客开放了65535个攻击矢量？

根据法规协议和更改需求来校验每项防火墙的更改

在防火墙操作中，日常工作都是以寻找问题，修正问题和安装新系统为中心的。在安装最新防火墙规则来解决问题，应用新产品和业务部门的过程中，我们经常会遗忘防火墙也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神，而不仅是一篇法律条文。

当服务过期后从防火墙规则中删除无用的规则

"规则膨胀"是防火墙经常会出现的安全问题，因为多数运作团队都没有删除规则的流程。业务部门擅长让你知道他们了解这些新规则，却从来不会让防火墙团队知道他们不再使用某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的开始。运行无用规则的报表是另外一步。黑客喜欢从来不删除规则的防火墙团队。

每年至少对防火墙完整的审核两次

如果你是名信用卡活动频繁的商人，那么除非必须的话这项不是向你推荐的最佳实践方法，因为支付卡行业标准1.1.6规定至少每隔半年要对防火墙进行一次审核。

防火墙审核也是维护防火墙规则基础的重要环节。你的网络和服务都是动态的，因此你的防火墙规则基础应该也同样如此。随着企业协议的介入和法规标准的更改，你必须审核如何执行防火墙上的流量。这是一个好地方来清除所有多余的规则以便用新规则来替代。对于那些由于收购，合并等暂时性例外需要随时添加。将不好的苗头消灭在源头的最佳方法就是不要为他们创造可以生长的环境。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友