敬请参加将于 7 月 7 日举行的思科安全在线技术峰会,聆听网络安全专家对当今重大问题的深入见解。
我要预约您已掌握如何设置全新无线路由器,接下来开始下一段旅程:设置防火墙。我们知道,很难一下全部掌握。不用担心,我们会将其分解为 6 个简单步骤,有效帮助您获得网络安全必杀技。现在开始...
仅对信任的对象授予防火墙管理访问权限。为了防范任何潜在攻击者,请确保至少通过以下一种配置操作保护防火墙:
为了更好地保护您的网络资产,您首先应该清楚认识这些资产。规划结构,可以按需要相似灵敏度级别和功能的业务和应用对资产分组,并组合成网络(或区域)。不要简单地将其组合为一个平面网络。方便自己也会方便攻击者!
所有提供基于 Web 的服务(例如,邮件、VPN)的服务器应该划分到限制互联网入站流量的专门区域,通常称为隔离区 (DMZ)。或者,应该将不能直接通过互联网访问的服务器放入内部服务器区域。这些区域通常包含数据库服务器、工作站及任何销售点 (POS) 或基于互联网协议的语音 (VoIP) 设备。
如果您使用 IPv4,则应对所有内部网络使用内部 IP 地址。必须配置网络地址转换 (NAT),让内部设备可以在必要时可通过互联网通信。
设计网络区域结构并制定相应的 IP 地址方案后,您就可以创建防火墙区域并将它们分配给防火墙接口或子接口。当您构建网络基础设施后,应当使用支持虚拟局域网 (VLAN) 的交换机来维护网络之间的 2 层隔离。
一旦建立网络区域并为其分配接口,您将开始创建称为访问控制列表 (ACL) 的防火墙规则。ACL 确定哪些流量需要权限才能流入和流出各个区域。ACL 是管理谁可以与什么对象通信,然后阻止其他通信的基础。向各个防火墙接口或子接口应用 ACL 后,应尽可能将其明确指向确切源和/或目的 IP 地址及端口号。要过滤未经批准的流量,请在每个 ACL 末尾创建一个“全部拒绝”规则。接下来,请为每个接口应用入站和出站 ACL。如果可能,禁用防火墙管理接口的公共访问。请记住,这一阶段应该尽量详细;不仅要测试应用是否如期运行,还要确保测试哪些内容不得允许。确保了解防火墙控制下一代流的能力;它能否根据 Web 类别阻止流量?您能否开启文件高级扫描?是否包含某些级别的 IPS 功能?您已经为这些高级功能付费,别忘了“物尽其用”。
如果需要,请启用防火墙作为动态主机配置协议 (DHCP) 服务器、网络时间协议 (NTP) 服务器、入侵防御系统 (IPS) 等。禁用任何不想使用的服务。
为满足 PCI DSS(支付卡行业数据安全标准)要求,请将防火墙配置为向日志记录服务器报告,确保其中包含足够细节,从而满足 PCI DSS 10.2 到 10.3 的要求。
首先验证防火墙是否阻止了根据 ACL 配置应该阻止的流量。应该包括漏洞扫描和渗透测试。确保保留防火墙配置的安全备份,以防出现任何故障。如果所有检查完成,防火墙即可投入使用。严格测试恢复到配置的过程。执行任何更改之前,请记录并测试您的恢复程序。
防火墙一旦配置完成并开始运行,您需要不断维护,保证其发挥最佳性能。确保更新固件、监控日志、执行漏洞扫描并每六个月检查一次配置规则。
现在您已准备就绪!如果您已完成所有步骤,就已成为半个网络安全专家。但是,如需进一步帮助,请访问我们的中小企业社区。在该社区,您不仅可以找到常见问题的答案,还可与运营类似企业和面临类似 IT 难题的人员交流。