Hebt u een account?

  •   Gepersonaliseerde content
  •   Uw producten en ondersteuning

Hebt u een account nodig?

Account maken

Uw firewall opzetten in zes stappen

Volg deze eenvoudige best practices en u bent verzekerd van een beveiligd netwerk.

U bent geslaagd voor het installeren van die nieuwe draadloze router en bent nu klaar voor uw volgende avontuur: het instellen van een firewall. Slik. We weten het, dat klinkt heel spannend. Maar geen zorgen, want we hebben het opgesplitst in zes eenvoudige stappen waarmee u het nirwana van netwerk security kunt bereiken. Daar gaan we …

Stap 1: Beveilig uw firewall (Dat lijkt overbodig, we weten het.)

De administratieve toegang tot uw firewall moet worden beperkt tot mensen die u vertrouwt. Beveilig uw firewall door minimaal een van de volgende configuratie-acties om mogelijke aanvallers buiten te houden:

  • Update uw firewall met de recentste firmware die door uw leverancier wordt aanbevolen.
  • Verwijder, deactiveer of hernoem alle standaard gebruikersaccounts en wijzig alle standaard wachtwoorden. Gebruik alleen complexe en veilige wachtwoorden.
  • Als meerdere mensen de firewall beheren, maak dan extra accounts aan met beperkte bevoegdheden op basis van verantwoordelijkheden. Kies nooit voor gedeelde gebruikersaccounts. Traceer wie welke verandering doorvoert en waarom. Verantwoordelijkheid stimuleert zorgvuldigheid bij wijzigingen.
  • Beperk vanaf waar mensen wijzigingen mogen doen zodat u uw aanvalsgebied beperkt. Sta bijvoorbeeld alleen wijzigingen toe vanaf vertrouwde subnets binnen uw bedrijf.

Stap 2: Zet een structuur op met firewallzones en IP-adressen (Minder moeilijk dan het klinkt.)

Om uw netwerkmiddelen te beschermen, kunt u ze het beste eerst identificeren. Maak een structuur waarin middelen gegroepeerd worden op basis van zakelijke of toepassingsbehoeften, vergelijkbare gevoeligheidsniveaus en functies, en gecombineerd worden in netwerken (of zones). Kies niet voor een gemakkelijke uitweg door een plat netwerk te maken. Eenvoudig voor u betekent eenvoudig voor aanvallers!

Al uw servers die webgebaseerde diensten (zoals e-mail, VPN) leveren, moeten worden ingedeeld in een specifieke zone die inkomend verkeer van het internet beperkt – vaak de gedemilitariseerde zone genoemd, of DMZ. Een alternatief is om servers die niet direct in verbinding met het internet staan, in interne serverzones te plaatsen. Deze zones bevatten meestal databaseservers, werkstations en point of sale (POS)- of Voice over Internet Protocol (VoIP)-apparaten.

Als u IP-versie 4 gebruikt, moeten er interne IP-adressen worden gebruikt voor al uw interne netwerken. Netwerkadresomzetting (NAT) moet worden geconfigureerd om interne apparaten op het internet te laten communiceren indien nodig.

Nadat u uw netwerkzones in kaart heeft gebracht en het bijpassende IP-adresschema heeft opgesteld, kunt u uw firewallzones maken en toewijzen aan uw firewallinterface of subinterfaces. Bij het uitbreiden van uw netwerkinfrastructuur moeten er switches worden gebruikt die virtuele LAN’s (VLAN’s) ondersteunen, om een niveau-2 scheiding tussen de netwerken te behouden.

Stap 3: Configureer toegangscontrolelijsten (Het is uw feestje, u kiest wie u uitnodigt.)

Zodra de netwerkzones zijn ingesteld en toegewezen aan interfaces, kunt u firewallregels maken, ook wel toegangscontrolelijsten of ACL’s genoemd. ACL’s bepalen welk verkeer toegang nodig heeft om in en uit elke zone te stromen. ACL’s zijn de bouwstenen die bepalen van wie met wat mag praten en de rest blokkeren. Uw ACL’s worden toegepast op elke firewallinterface of subinterface en moeten als dat kan zo specifiek mogelijk worden afgestemd op de exacte bron- en/of doel IP-adressen en ‑poortnummers. Om niet-goedgekeurd verkeer te filteren creëert u een regel ‘alles weigeren’ aan het einde van elke ACL. Pas vervolgens zowel de inkomende als uitgaande ACL’s toe op elke interface. Deactiveer indien mogelijk openbare toegang tot de administratie-interfaces van uw firewall. Wees in deze fase zo gedetailleerd mogelijk: test niet alleen of uw toepassingen naar behoren werken, maar test ook wat niet is toegestaan. Bekijk ook het vermogen van uw firewalls om next-generation verkeersstromen te beheren; wordt er verkeer geblokkeerd op basis van webcategorieën? Kunt u het geavanceerd scannen van bestanden inschakelen? Bevat de firewall enige IPS-functionaliteit? U heeft betaald voor deze geavanceerde functionaliteit, dus neem deze ‘volgende stappen’.

Stap 4: Configureer uw andere firewallservices en logbestanden (Want we doen alles in één keer goed.)

U kunt uw firewall desgewenst instellen als DHCP-server (Dynamic Host Configuration Protocol), NTP-server (Network Time Protocol), IPS (inbraakpreventiesysteem), enzovoort. Deactiveer alle services die u niet wilt gebruiken.

Om te voldoen aan de vereisten van de PCI DSS (Payment Card Industry Data Security Standard) moet u uw firewall zo configureren dat deze aan uw logboekserver rapporteert en ervoor zorgen dat er voldoende gegevens worden opgenomen om te voldoen aan de vereisten 10.2 en 10.3 van de PCI DSS.

Stap 5: Test uw firewallconfiguratie (Geen zorgen, u mag uw aantekeningen erbij houden.)

Verifieer eerst of uw firewall verkeer blokkeert dat geblokkeerd hoort te zijn volgens uw ACL-configuraties. Hierbij horen kwetsbaarheidsscans en penetratietests. Bewaar een beveiligde back-up van uw firewallconfiguratie voor het geval er fouten optreden. Als alles klopt, is uw firewall klaar om gebruikt te worden. TEST het proces van terugkeren naar een configuratie. Documenteer en test uw herstelprocedure voordat u iets wijzigt.

Stap 6: Firewallbeheer (Ook een brandscherm vergt onderhoud.)

Zodra uw firewall geconfigureerd en geactiveerd is, moet u deze onderhouden zodat deze optimaal functioneert. Update firmware, monitor logboeken, voer kwetsbaarheidstests uit en controleer uw configuratieregels elke zes maanden.

Volgende stappen

Dat is het dus! Als u dit punt heeft bereikt bent u een pseudo-netwerkbeveiligingsexpert. Heeft u toch nog behoefte aan verdere assistentie? Ga dan naar onze MKB-community. Hier vindt u antwoorden op veelgestelde vragen en kunt u in contact komen met mensen met vergelijkbare bedrijven die te maken hebben met dezelfde IT-uitdagingen.

Begin met een Cisco-statuscontrole van uw netwerk security!

Wilt u meer weten?

Security

Onze bronnen helpen u het security landschap te begrijpen en technologieën te kiezen om uw bedrijf te beschermen.

Samenwerking

Met deze tools en artikelen kunt u belangrijke beslissingen nemen over communicatie om zo uw bedrijf te schalen en verbonden te blijven.

Networking

Leer hoe u de juiste beslissingen kunt nemen bij het opzetten en onderhouden van uw netwerk zodat uw bedrijf kan floreren.

Resource Center

Krijg stappenplannen, checklists en andere tips om aan die behoeften te voldoen en uw bedrijf te schalen en te laten floreren.