Что такое правила брандмауэра?

Прочитано: 42 раз(а)


Правила брандмауэра — это предварительно настроенные элементы управления логическими вычислениями, которые дают брандмауэру инструкции по разрешению и блокировке сетевого трафика. Они помогают командам ИТ и безопасности управлять трафиком, поступающим в их частную сеть и исходящим из нее. Это включает в себя защиту данных от интернет-угроз, но также означает ограничение несанкционированного трафика, пытающегося покинуть вашу корпоративную сеть. Сетевые администраторы должны настроить правила брандмауэра, которые защищают их данные и приложения от злоумышленников.

Что такое аудит кибербезопасности

Как работают правила брандмауэра

ИТ-администраторы используют несколько типов правил брандмауэра , чтобы ограничить поток трафика между вашей сетью и внешними сетями. Правила входящего и исходящего трафика различаются по своему назначению, но оба защищают частную сеть предприятия, предотвращая проникновение в нее вредоносного трафика и выход из нее конфиденциальных данных. Правила брандмауэра также упорядочены по-разному, поэтому сеть автоматически определяет приоритет наиболее важных ограничений безопасности и применяет эти правила выше других.

Входящие и исходящие правила

Правила входящего трафика предотвращают попадание определенного внешнего трафика в вашу сеть. Он управляет входящим трафиком веб-сервера и запросами на подключение из удаленных источников. Например, если IP-адрес из-за пределов сети попытается подключиться к внутренней базе данных, правило для входящего трафика, настроенное на блокировку таких IP-адресов, предотвратит это.

Правила для входящего трафика могут быть общими и настроены для идентификации определенного трафика, который появляется на нескольких IP-адресах. Но они также могут быть конкретными, предназначенными для блокировки отдельных источников, таких как конкретный веб-сайт или пользователь.

Исходящие правила ограничивают трафик пользователей внутри вашей сети, не позволяя им получить доступ к определенным внешним системам, веб-сайтам или сетям, которые считаются небезопасными. Например, сотрудник компании в сети компании может попытаться получить доступ к веб-сайту, который ранее вызвал заражение компьютера компании вредоносным ПО. Поскольку ИТ-отдел создал правило брандмауэра для блокировки этого URL-адреса, сотрудник не сможет получить к нему доступ.

Правила исходящего трафика также потенциально могут быть настроены для идентификации данных с конфиденциальной информацией, передаваемых за пределы сети. Например, если правило предназначено для предотвращения отправки файлов с информацией о клиентах по электронной почте, пользователь может получить уведомление при попытке отправить по электронной почте файл CV с данными о потенциальных клиентах.

Порядок правил брандмауэра

Правила брандмауэра обычно соблюдаются в порядке строгости. ИТ-специалисты или специалисты по безопасности должны настроить свои брандмауэры таким образом, чтобы в первую очередь соблюдались наиболее важные правила.

В своем контрольном списке для межсетевого экрана Институт SANS рекомендует следующий порядок правил:

  1. Фильтры защиты от спуфинга: блокируйте вредоносные IP-адреса.
  2. Правила разрешений пользователей: например, разрешите всему трафику достигать общедоступного веб-сервера.
  3. Правила разрешения на управление. Например, отправьте ловушку простого протокола управления сетью (SNMP) на сервер управления сетью.
  4. Снижение шума: игнорируйте нежелательный трафик, ранее присутствующий в базе правил брандмауэра, чтобы улучшить функциональность брандмауэра.
  5. Запретить и предупредить: уведомлять системного администратора о потенциально вредоносном трафике.
  6. Запретить и зарегистрировать: записывайте весь оставшийся трафик для последующего анализа.

4 типа правил брандмауэра

Устранение брешей в безопасности криптовалют часто занимает много времени, считают исследователи

Типы правил брандмауэра включают доступ, преобразование сетевых адресов, шлюзы уровня приложения и шлюзы уровня канала. Хотя некоторые из них, похоже, служат схожим целям, они могут работать на разных уровнях модели взаимодействия открытых систем (OSI) или управлять разными типами трафика.

Правила доступа

Правила доступа ограничивают трафик, который может достигать ресурсов в вашей сети. Они охватывают как входящие, так и исходящие правила. Правила доступа в межсетевых экранах определяют, разрешен ли трафик из определенного источника входить в сеть (входящий). Они также определяют, разрешено ли трафику из внутреннего источника покидать сеть (исходящее).

Правила доступа помогают блокировать известные источники вредоносного трафика. Для команд в таких отраслях, как финансовые услуги, здравоохранение и правительство, чем конкретнее правило доступа, тем лучше. Они также могут помочь вашим группам по данным и обеспечению соответствия нормативным требованиям улучшить положение вашей организации в области соблюдения нормативных требований — ограничивая доступ к таким ресурсам, как базы данных и другие места хранения, вы сможете лучше отслеживать, кто имеет доступ к конфиденциальной информации вашей компании.

Правила трансляции сетевых адресов

Правила трансляции сетевых адресов (NAT) используют технологию трансляции сетевых адресов для сопоставления незарегистрированных IP-адресов с законными зарегистрированными. При передаче информации по сети заголовки пакетов содержат данные сетевого адреса. NAT изменяет эти адресные данные, поэтому IP-адрес становится другим.

NAT сопоставляет несколько внутренних (частных) IP-адресов, которые могут исходить от нескольких устройств или передач, в один внешний (общедоступный). NAT работает на третьем уровне OSI, сетевом уровне, поскольку он имеет дело с IP-заголовками. Правила NAT позволяют вашим ИТ-специалистам и специалистам по безопасности указывать, как ваша частная сеть взаимодействует с общедоступными сетями, такими как Интернет.

Шлюзы прикладного уровня

Шлюзы уровня приложений предназначены для защиты приложений вашего бизнеса. Они фильтруют передачу данных на основе правил, ограничивающих попытки подключения к приложениям. В идеале они блокируют вредоносный трафик, когда злоумышленник пытается получить доступ к приложению в сети. Их также можно называть шлюзами программного или аппаратного уровня.

Шлюзы уровня цепи

Шлюзы уровня канала проверяют IP- и TCP-коммуникации, определяя, одобрены ли пакеты на основе правил шлюза, и соответственно блокируют или разрешают их. Они управляют процессом установления связи на пятом уровне OSI, сеансовом уровне. Они только проверяют рукопожатие, а не проверяют IP-адрес в пакете данных.

Простой пример правила брандмауэра

Если ваша ИТ-команда размещает HTTP-сервер (общедоступный интернет-трафик) в своей частной сети, они могут настроить правило брандмауэра, которое выполняет следующие действия:

  • Определите протокол трафика: HTTP-трафик обычно использует TCP.
  • Разрешить трафик: если трафик поступает с порта 80, он будет разрешен.
  • Дайте описание: Описанное правило будет что-то говорить о переадресации портов. В этом случае трафик из порта 80 разрешен внутри частной сети, даже если он поступает из общедоступной сети.

Подобные правила брандмауэра логически настроены так, чтобы разрешать или отбрасывать пакеты из определенных мест и типов трафика, что дает ИТ-администраторам больше контроля над своей средой безопасности.

6 лучших практик для правил брандмауэра

Когда ваши команды разрабатывают правила брандмауэра, рассмотрите следующие рекомендации по настройке и управлению, чтобы ваши правила имели смысл и хорошо работали вместе. К ним относятся указание деталей правил брандмауэра, управление правилами в группах, а также обеспечение читабельности правил, достаточной безопасности и возможности взаимодействия с другими правилами. Кроме того, ваша команда может рассмотреть возможность применения других методов обеспечения безопасности, таких как сегментация сети с детальными правилами.

Примените любые важные данные к правилам

Правила брандмауэра могут включать определенную информацию о правиле брандмауэра и его действиях, чтобы они были максимально точными и подробными. Если вы являетесь сетевым администратором, вам может потребоваться указать следующие данные при создании правила брандмауэра:

  • Применимый сетевой протокол: к ним относятся TCP, UDP и ICMP.
  • Источник трафика: Откуда взялся трафик?
  • IP-адрес назначения: куда идет трафик?
  • Соответствующее действие: для типа пакета, пытающегося войти (или выйти) в сеть, после его идентификации должно быть выполнено определенное действие.

Не всем сетям или системам могут потребоваться эти данные, но они могут быть полезным организационным инструментом, особенно если ваша команда безопасности пытается отслеживать источники данных и протоколы с течением времени.

Максимально оптимизируйте управление правилами

Некоторые сетевые продукты и приложения позволяют создавать группы правил брандмауэра. Упрощая процесс применения правил, группы также улучшают организацию — например, администратор сети может легко просмотреть похожие правила, расширив определенную группу. В зависимости от продукта они также могут иметь возможность применять изменения ко всей группе правил вместо настройки каждого по отдельности.

Группы должны иметь связанные правила — они имеют схожую цель или функцию или касаются одного конкретного компонента сети, например правила для исходящего трафика или правила для конечных точек с определенной операционной системой.

Создавайте правила с соответствующими уровнями защиты

Настройте правила брандмауэра в соответствии с потребностями безопасности вашей организации. Не всем сетям потребуется одинаковое количество правил, а некоторые будут более строгими, чем другие. Например, для частной сети больницы, поставщика финансовых услуг или государственного учреждения потребуются весьма строгие правила, такие как подробные черные списки и ограниченные списки разрешенных.

Но хотя все межсетевые экраны должны защищать бизнес-данные и системы, некоторым из них такая защита не потребуется. Вы должны знать требования вашей отрасли к безопасности и конфиденциальности данных, а также знать, что правила вашего брандмауэра соответствуют вашим требованиям.

Убедитесь, что правила читабельны

Разрастание правил брандмауэра вполне возможно, особенно если в ИТ-отдел приходят и уходят несколько членов команды. Если сетевой администратор создает набор правил, не поддерживает их и уходит, у нового администратора могут возникнуть проблемы с изучением того, какие правила активны в данный момент.

Убедитесь, что правила имеют смысл, когда их просматривают другие члены команды, в том числе будущие. Их следует упорядочивать логически и группировать, когда это уместно или возможно, и они должны быть хотя бы в некоторой степени интуитивно понятными.

Убедитесь, что правила хорошо взаимодействуют

Убедитесь, что все правила брандмауэра работают вместе. Некоторые правила могут полностью противоречить друг другу, что будет замедлять легитимный трафик. Со временем это может снизить производительность сети. В частности, крупные предприятия могут в конечном итоге столкнуться с серьезным замедлением работы сети из-за противоречия правилам брандмауэра.

Если вы администратор, внимательно изучите каждое правило и убедитесь, что вы точно знаете, что оно делает. Если одно правило блокирует весь трафик с порта 57, а другое правило разрешает только определенные пакеты с порта 57, вы столкнетесь с проблемами. Вместо этого измените или удалите правила, чтобы они не пересекались противоречивым образом.

Рассмотрите сегментацию сети

Сегментирование сети и применение к ней различных правил может быть полезным, если определенные подсети нуждаются в более строгом контроле. Например, вы можете сегментировать свою сеть, чтобы база данных с конфиденциальной информацией о клиентах находилась в другой зоне. В этой зоне могут действовать более строгие правила брандмауэра, поскольку данные нуждаются в большей защите. Это помогает защитить ваши конфиденциальные данные и приложения, особенно если ваш бизнес разрабатывает стратегию нулевого доверия.

Найм женщин IT-специалистов может улучшить управление рисками кибербезопасности

Как управлять правилами брандмауэра

Если вы администратор сети, ИТ-специалиста или администратора безопасности, управляйте правилами брандмауэра, гарантируя, что они правильно задокументированы, следуйте соответствующей процедуре внесения изменений и продолжайте удовлетворять потребности вашей команды.

Документирование правил с течением времени

Любой, кто работает в вашей команде ИТ-безопасности, должен иметь возможность очень быстро определить, для чего предназначено каждое из правил вашего брандмауэра, просматривая вашу документацию. Как минимум, вам необходимо отслеживать следующие данные:

  • Цель: Почему существует правило брандмауэра.
  • Сервис(ы): Приложения, на которые он влияет.
  • Влияние на пользователя и оборудование: пользователи и устройства, на которые это влияет.
  • Дата: когда правило было добавлено.
  • Сроки: когда истечет срок действия временных правил, если это необходимо.
  • Создатель: имя человека, добавившего правило.

Некоторые эксперты также рекомендуют использовать категории или названия разделов для группировки схожих правил. Это может быть особенно полезно, когда дело доходит до определения наилучшего порядка правил.

Установите и выполните процедуру изменения конфигурации брандмауэра.

Прежде чем приступить к изменению каких-либо существующих правил брандмауэра, установите формальную процедуру, которую вы будете использовать для любых изменений, если у вас еще нет такого процесса. Типичная процедура внесения изменений может включать в себя логически упорядоченный набор процессов, подобных приведенным ниже:

  1. Запрос на изменение. Бизнес-пользователи могут использовать его, чтобы запросить изменения в конфигурации брандмауэра.
  2. Оценка: команда межсетевого экрана анализирует риск и определяет лучший курс действий, чтобы сбалансировать потребности бизнес-пользователей с потребностями безопасности.
  3. Тестирование. Тесты гарантируют, что любые изменения в правилах брандмауэра будут иметь желаемый эффект.
  4. Развертывание: новое правило необходимо запустить в производство после его тестирования.
  5. Проверка. Проверка конфигурации гарантирует, что новые настройки брандмауэра работают должным образом.
  6. Документация: изменения необходимо отслеживать после их внесения.

Если у вас небольшая команда безопасности, может возникнуть соблазн внести изменения менее формально. Но эксперты утверждают, что строгое соблюдение этого процесса может помочь избежать упущений в безопасности, вызванных плохой настройкой брандмауэра.

Постоянно пересматривайте правила

Вашим ИТ-отделам или командам безопасности следует регулярно проверять правила брандмауэра с течением времени, особенно если администраторы часто уходят и заменяют роли. Новые сетевые администраторы могут не знать, какие правила уже существуют, и добавлять лишние. Чтобы избежать беспорядка в правилах брандмауэра, проведите инвентаризацию существующих правил и определите, нужно ли их объединить или удалить. Некоторые из них могут дублировать друг друга, а некоторые могут утратить свою актуальность и замедлить текущие процессы.

Приступая к процессу тонкой настройки и оптимизации правил брандмауэра, найдите время и пересмотрите существующие правила. Вы можете обнаружить, что следуете некоторым правилам, установленным по умолчанию, и никто не понимает, зачем они вам нужны.

Итог: настройка правил брандмауэра

Прежде чем настраивать определенные правила для брандмауэра вашего бизнеса, обязательно изучите сеть и хорошо изучите все свои приложения. Какие из них необходимо защитить? Какие сайты чаще всего посещают ваши сотрудники? Есть ли какие-либо интернет-источники, к которым они никогда не должны иметь доступ? Кроме того, насколько обширными должны быть белые и черные списки вашей команды?

Правила межсетевого экрана должны быть настроены специально профессионалами, которые знают сетевые потребности бизнеса. Будьте мудры с настройками брандмауэра, а не просто создавайте правила волей-неволей — каждое из них должно иметь конкретную цель, которую вы можете четко объяснить. Чем больше правил брандмауэра управляется, тем лучше они смогут служить вашему ИТ-отделу и всему бизнесу.

Как провести аудит брандмауэра



Новости партнеров