防火墙策略管理优化的12点建议(落地执行篇)
防火墙来源于建筑学,用以阻止火灾蔓延。网络中的防火墙更加高明,既能隔离安全风险的“火”,又能让“人”穿墙而过。
作为最基础的安全设备之一,防火墙在企业组织中得到广泛应用,但基础不意味着简单。
为确保防火墙的稳定高效运行,安全牛发布了《防火墙应用优化的12点建议》一文,提出通过分析和调整防火墙的配置策略,提升其运行性能和防护效果。
建议的落地与执行通常是复杂的一环,安博通以“晶石”安全策略智能运维平台为例,从策略智能运维出发,为你梳理12点建议落地执行的通路。
01 充分了解防火墙的运行策略
建议摘要:1)首先评估防火墙的现有配置,并映射网络架构,充分了解历史与当前策略。2)建设全面的日志记录系统,定期检查更新运营规则,确保配置的适用性。3)记录防火墙配置、网络图和安全规则,作为优化时的参考和审计。
落地指南
· 对云网混合架构下,异构设备的安全策略进行集中管理,让全网防火墙运行策略清晰可见。
· 提供策略自动开通、合规检查、历史台账、白名单等功能,实现策略的全生命周期管理,确保策略配置的适用性,保障持续优化与合规审计。
02 使用统一的防火墙管理工具
建议摘要:1)使用统一的、可兼容的防火墙管理方案,对不同品牌的防火墙进行纳管,使运行策略具有一致性和有效性。2)统一的管理工具,可以对所有防火墙进行监控、审计和报告,从而改进安全态势。
落地指南
· 可作为全网访问控制策略的集中管理与运维平台,对防火墙策略进行管理的同时,对路由交换、云平台上的访问控制策略一并管理,实现“云上+本地”安全策略一体化管理。
03 采用多层级的防火墙应用模式
建议摘要:1)实施多层级的防火墙应用模式,部署配置不同类型的防火墙,以增强安全性。2)相应配置边界层、内部层和应用层的防火墙,通过统一工具进行管控,提高防御多种威胁的能力。
落地指南
· 目前,绝大部分关基单位已实现异构品牌、多层级的防火墙应用模式,随之而来的是管理与运维差异性的问题。“晶石”可以有效解决异构设备导致的运维痛点,提升整体安全能力。
04 定期更新防火墙运行规则
建议摘要:1)为消除安全盲区,定期评估防火墙的运行规则与企业需求是否一致,删除陈旧、冗余的规则,关注可能影响设备性能或安全性的重叠规则。2)持续优化调整防火墙策略,尽量减小攻击面。
落地指南
· 策略注释与到期提醒功能,可以及时预警到期策略。
· 清理优化功能,发现隐藏、冗余、可合并等问题策略,并进行闭环整改,提高防火墙运行效率。
· 命中收敛功能,发现长期不命中或过于宽松的策略,给出收敛脚本,缩减核心业务的暴露面。
05 遵循最小权限原则
建议摘要:1)创建防火墙规则时,应遵循最小权限原则,建立基于身份的控制措施,确保用户只能访问必要的资源。2)定期评估并更新权限,及时撤销不再需要访问的人员或应用系统的权限,降低被非法访问的风险。
落地指南
· 事前控制:与企业的ITSM(IT服务管理)或工单系统对接,实现业务开通的全流程数字化;基于预置的宽松度检测规则,确保策略开通遵循最小权限原则,并关联至业务部门的申请者,便于后续清理和撤销。
· 事后收敛:针对历史遗留的宽松策略,通过命中收敛功能,发现长期不命中或过于宽松的策略,给出收敛脚本,逐步落实最小权限原则,缩减核心业务的暴露面。
06 实施网络分段
建议摘要:1)按照业务需求,将网络分为不同区域,以配合最小权限原则,使具体的安全措施更易于部署。2)能够隔离受影响的网段,保护其余网段,在遭受安全威胁时,提高企业的安全控制能力。
落地指南
· 进行网络规划设计时,大部分关基单位已经实施了网络分区、分段,并通过防火墙进行域间隔离。但随着网络配置的频繁变更,且缺乏有效的监控核验手段,很难评估当前网络分段的现状与效果。
· 全网逻辑拓扑可视,应用自研的安全可视化技术,实时了解业务区域划分情况,以及域间安全设备的有效性。
· 域间访问基线功能,定期对全网的域间访问策略进行基线核查,及时告警违规访问通路和违规策略,严格落实最小化原则。
07 对防火墙运行日志进行监控和记录
建议摘要:1)启用完善的防火墙日志功能,并使用安全信息和事件管理(SIEM)工具,实现异常情况自动报警。2)将防火墙运行日志保存在易于访问的安全位置,定期分析日志,以发现异常行为、潜在风险和待改进之处。3)完善的日志分析,还可以支撑响应决策和配置优化,从而增进威胁检测、故障排除工作成效。
落地指南
· 对防火墙运行日志进行监控和记录,主要接收并处理3种类型的日志:第一种是防火墙策略命中日志,可用于策略收敛;第二种是防火墙操作日志,可用于主动的策略变更监控分析;第三种是防火墙告警日志,依托SOAR(安全编排、自动化及响应)产品,进行安全事件的关联分析。
08 定期审计防火墙性能
建议摘要:1)执行严格的安全审计,确认防火墙的漏洞、脆弱性及合规情况。2)开展防火墙安全评估和渗透测试,全面检查配置以发现弱点。3)模拟网络攻击,分析防火墙在检测和阻止非法访问方面的有效性。
落地指南
· 合规审计功能,针对防火墙配置基线进行定期检查,发现配置问题并整改。
· 自动构建全网模拟仿真环境,以路径仿真分析方式模拟网络攻击,或从核心业务资产视角分析其对外暴露路径,验证检测防火墙在访问控制方面的有效性,进一步收敛业务暴露面。
09 及时进行补丁更新
建议摘要:1)防火墙的软件系统可能存在安全漏洞,应该通过自动化手段及时更新固件,并安装最新补丁。2)密切关注设备供应商发布的版本更新信息,在无人工干预的情况下定期进行软件更新检查,自动更新防火墙。3)监控跟踪防火墙的更新状态,经常检查软件发布说明了解关键信息。
落地指南
· 通过漏洞管理平台进行落地。
10 确保可靠的配置备份
建议摘要:1)为防范配置漂移风险,应定期备份防火墙配置,在发生故障时可尽快恢复正常运营状态。2)备份应保存在远离主系统的安全区域,并定期测试恢复过程,确保其有效性。3)可靠的配置备份,可以防止配置错误、硬件故障和恶意行为,提供快速恢复机制,缩短停运时间。
落地指南
· 纳管全网防火墙后,定期(如每天1次)对防火墙的全量配置进行采集留存,配置备份保存周期可达3年以上。
· 将任意时间点的配置文件进行对比分析,可视化展现配置差异。
11 实施规范的变更管理流程
建议摘要:1)实施规范的变更管理流程,减少非法或破坏性变更出现的风险,简化事后分析与合规遵从工作。2)临时仓促进行的更新,往往会导致安全漏洞或错误,影响防火墙的有效性。规范流程可加强安全运营人员的责任意识,降低错误配置的可能性。
落地指南
· 自动分析业务的访问控制策略开通需求,定位开通路径途经的防火墙或其他设备,进行安全风险分析与配置脚本生成,对开通结果进行自动验证。
· 可通过集成对接方式,内嵌到企业的ITSM、OA等工单类系统中,实现策略变更的全流程数字化,提高策略配置的准确性与敏捷性,让合规工作更高效、可持续。
12 加强用户沟通和安全意识
建议摘要:1)设立持续的培训计划和沟通渠道,提高用户对潜在风险的认知。2)模拟网络钓鱼,定期评估员工发现风险的能力。3)定期宣讲防火墙策略、不断变化的威胁及网络安全最佳实践,制订奖励制度,表彰和激励员工对网络安全做出积极贡献。
落地指南
· 结合企业安全教育进行落地。