首页 > 关于安博通 > 新闻中心
防火墙策略管理优化的12点建议(落地执行篇)
2024-01-15
1230


防火墙来源于建筑学,用以阻止火灾蔓延。网络中的防火墙更加高明,既能隔离安全风险的“火”,又能让“人”穿墙而过。


作为最基础的安全设备之一,防火墙在企业组织中得到广泛应用,但基础不意味着简单


为确保防火墙的稳定高效运行,安全牛发布了《防火墙应用优化的12点建议》一文,提出通过分析和调整防火墙的配置策略,提升其运行性能和防护效果。


1.jpg


建议的落地与执行通常是复杂的一环,安博通以“晶石”安全策略智能运维平台为例,从策略智能运维出发,为你梳理12点建议落地执行的通路。


01 充分了解防火墙的运行策略


建议摘要:1)首先评估防火墙的现有配置,并映射网络架构,充分了解历史与当前策略。2)建设全面的日志记录系统,定期检查更新运营规则,确保配置的适用性。3)记录防火墙配置、网络图和安全规则,作为优化时的参考和审计。


落地指南

·  对云网混合架构下,异构设备的安全策略进行集中管理,让全网防火墙运行策略清晰可见。

·  提供策略自动开通、合规检查、历史台账、白名单等功能,实现策略的全生命周期管理,确保策略配置的适用性,保障持续优化与合规审计。


02 使用统一的防火墙管理工具


建议摘要:1)使用统一的、可兼容的防火墙管理方案,对不同品牌的防火墙进行纳管,使运行策略具有一致性和有效性。2)统一的管理工具,可以对所有防火墙进行监控、审计和报告,从而改进安全态势。


落地指南

·  可作为全网访问控制策略的集中管理与运维平台,对防火墙策略进行管理的同时,对路由交换、云平台上的访问控制策略一并管理,实现“云上+本地”安全策略一体化管理。


03 采用多层级的防火墙应用模式


建议摘要:1)实施多层级的防火墙应用模式,部署配置不同类型的防火墙,以增强安全性。2)相应配置边界层、内部层和应用层的防火墙,通过统一工具进行管控,提高防御多种威胁的能力。


落地指南

·  目前,绝大部分关基单位已实现异构品牌、多层级的防火墙应用模式,随之而来的是管理与运维差异性的问题。“晶石”可以有效解决异构设备导致的运维痛点,提升整体安全能力。


2.jpg


04 定期更新防火墙运行规则


建议摘要:1)为消除安全盲区,定期评估防火墙的运行规则与企业需求是否一致,删除陈旧、冗余的规则,关注可能影响设备性能或安全性的重叠规则。2)持续优化调整防火墙策略,尽量减小攻击面。


落地指南

·  策略注释与到期提醒功能,可以及时预警到期策略。

·  清理优化功能,发现隐藏、冗余、可合并等问题策略,并进行闭环整改,提高防火墙运行效率。

·  命中收敛功能,发现长期不命中或过于宽松的策略,给出收敛脚本,缩减核心业务的暴露面。


05 遵循最小权限原则


建议摘要:1)创建防火墙规则时,应遵循最小权限原则,建立基于身份的控制措施,确保用户只能访问必要的资源。2)定期评估并更新权限,及时撤销不再需要访问的人员或应用系统的权限,降低被非法访问的风险。


落地指南

·  事前控制:与企业的ITSM(IT服务管理)或工单系统对接,实现业务开通的全流程数字化;基于预置的宽松度检测规则,确保策略开通遵循最小权限原则,并关联至业务部门的申请者,便于后续清理和撤销。

·  事后收敛:针对历史遗留的宽松策略,通过命中收敛功能,发现长期不命中或过于宽松的策略,给出收敛脚本,逐步落实最小权限原则,缩减核心业务的暴露面。


06 实施网络分段


建议摘要:1)按照业务需求,将网络分为不同区域,以配合最小权限原则,使具体的安全措施更易于部署。2)能够隔离受影响的网段,保护其余网段,在遭受安全威胁时,提高企业的安全控制能力。


落地指南

·  进行网络规划设计时,大部分关基单位已经实施了网络分区、分段,并通过防火墙进行域间隔离。但随着网络配置的频繁变更,且缺乏有效的监控核验手段,很难评估当前网络分段的现状与效果。

·  全网逻辑拓扑可视,应用自研的安全可视化技术,实时了解业务区域划分情况,以及域间安全设备的有效性。

·  域间访问基线功能,定期对全网的域间访问策略进行基线核查,及时告警违规访问通路和违规策略,严格落实最小化原则。


3.jpg


07 对防火墙运行日志进行监控和记录


建议摘要:1)启用完善的防火墙日志功能,并使用安全信息和事件管理(SIEM)工具,实现异常情况自动报警。2)将防火墙运行日志保存在易于访问的安全位置,定期分析日志,以发现异常行为、潜在风险和待改进之处。3)完善的日志分析,还可以支撑响应决策和配置优化,从而增进威胁检测、故障排除工作成效。


落地指南

·  对防火墙运行日志进行监控和记录,主要接收并处理3种类型的日志:第一种是防火墙策略命中日志,可用于策略收敛;第二种是防火墙操作日志,可用于主动的策略变更监控分析;第三种是防火墙告警日志,依托SOAR(安全编排、自动化及响应)产品,进行安全事件的关联分析。


08 定期审计防火墙性能


建议摘要:1)执行严格的安全审计,确认防火墙的漏洞、脆弱性及合规情况。2)开展防火墙安全评估和渗透测试,全面检查配置以发现弱点。3)模拟网络攻击,分析防火墙在检测和阻止非法访问方面的有效性。


落地指南

·  合规审计功能,针对防火墙配置基线进行定期检查,发现配置问题并整改。

·  自动构建全网模拟仿真环境,以路径仿真分析方式模拟网络攻击,或从核心业务资产视角分析其对外暴露路径,验证检测防火墙在访问控制方面的有效性,进一步收敛业务暴露面。


09 及时进行补丁更新


建议摘要:1)防火墙的软件系统可能存在安全漏洞,应该通过自动化手段及时更新固件,并安装最新补丁。2)密切关注设备供应商发布的版本更新信息,在无人工干预的情况下定期进行软件更新检查,自动更新防火墙。3)监控跟踪防火墙的更新状态,经常检查软件发布说明了解关键信息。


落地指南

·  通过漏洞管理平台进行落地。


4.jpg


10 确保可靠的配置备份


建议摘要:1)为防范配置漂移风险,应定期备份防火墙配置,在发生故障时可尽快恢复正常运营状态。2)备份应保存在远离主系统的安全区域,并定期测试恢复过程,确保其有效性。3)可靠的配置备份,可以防止配置错误、硬件故障和恶意行为,提供快速恢复机制,缩短停运时间。


落地指南

·  纳管全网防火墙后,定期(如每天1次)对防火墙的全量配置进行采集留存,配置备份保存周期可达3年以上。

·  将任意时间点的配置文件进行对比分析,可视化展现配置差异。


11 实施规范的变更管理流程


建议摘要:1)实施规范的变更管理流程,减少非法或破坏性变更出现的风险,简化事后分析与合规遵从工作。2)临时仓促进行的更新,往往会导致安全漏洞或错误,影响防火墙的有效性。规范流程可加强安全运营人员的责任意识,降低错误配置的可能性。


落地指南

·  自动分析业务的访问控制策略开通需求,定位开通路径途经的防火墙或其他设备,进行安全风险分析与配置脚本生成,对开通结果进行自动验证。

·  可通过集成对接方式,内嵌到企业的ITSM、OA等工单类系统中,实现策略变更的全流程数字化,提高策略配置的准确性与敏捷性,让合规工作更高效、可持续。


12 加强用户沟通和安全意识


建议摘要:1)设立持续的培训计划和沟通渠道,提高用户对潜在风险的认知。2)模拟网络钓鱼,定期评估员工发现风险的能力。3)定期宣讲防火墙策略、不断变化的威胁及网络安全最佳实践,制订奖励制度,表彰和激励员工对网络安全做出积极贡献。


落地指南

·  结合企业安全教育进行落地。

联系我们
请填写相关信息×

您好!为了提供更优质的服务,请先填写以下信息,帮助我们更快更精准地为您解答。

  • 您的称呼*

  • 电话*

  • 单位*

  • 意向产品

  • 验证码*

  • 提交
×

提交成功

感谢您的反馈!我们将在3个工作日内回复您的需求,请留意查收。