完善安全策略管理流程
第一、与业务部门相关人员确认访问哪些服务、端口或应用
第二、从哪里访问(通常是指某个子网,如果是从服务器侧发起访问,需要指定具体IP地址)
第三、新增安全策略的用途和目的
第四、设置安全策略的有效期
使用安全区域划分网络
安全区域越多,网络访问控制越精确,网络越安全。但是管理复杂度也会相应提高。
第一、对于彼此之间没有交互的系统,不要将它们置于同一子网中。否则,攻击者只要突破外围防御措施,就可以更轻松地访问所有内容。
第二、把具有相同安全级别的设备和业务资源部署在同一个安全区域中。根据安全区域来为设备分配地址。地址集可以反映出网络分段情况,也意味着具有相同业务属性和安全等级的一组设备。在安全策略中使用地址集,可以使安全策略更易理解,简化安全策略的管理。
第三、对于需要交互的不同安全等级的系统,请部署在不同安全区域,并开放严格的安全策略。例如,所有对外提供服务的服务器(如Web服务器、邮件服务器)应该部署在一个专用区域(通常为DMZ),不应该被外网直接访问的服务器(如数据库)必须部署在内部服务器区。
各安全区域之间都应针对自身业务特点设定访问控制策略,可参考以下原则设置安全策略:
核心交换区 | DMZ区 | 移动互联网接入区 | 专网接入区 | 共享交换区 | 安全管理区 | 业务服务器区 | 业务终端区 | |
核心交换区 | - | 互通 | 互通 | 互通 | 互通 | 互通 | 互通 | 互通 |
DMZ区 | 互通 | - | 互通 | 互通 | 禁止 | 禁止 | 禁止 | 禁止 |
移动互联网接入区 | 互通 | 互通 | - | 禁止 | 禁止 | 禁止 | 互通 | 互通 |
专网接入区 | 互通 | 互通 | 禁止 | - | 互通 | 互通 | 禁止 | 禁止 |
共享交换区 | 互通 | 禁止 | 禁止 | 互通 | - | 禁止 | 禁止 | 互通 |
安全管理区 | 互通 | 禁止 | 禁止 | 互通 | 禁止 | - | 互通 | 互通 |
业务服务器区 | 互通 | 禁止 | 互通 | 禁止 | 禁止 | 互通 | - | 互通 |
业务终端区 | 互通 | 禁止 | 互通 | 禁止 | 互通 | 互通 | 互通 | - |
安全策略遵循最小化原则
防火墙默认禁止所有的域间流量,所有未明确允许的流量都被禁止。这是在防火墙上落实最小授权原则的基础。在此基础上,仅为合法流量开放安全策略,可以有效减小攻击面。
第一,为合法流量开放安全策略时,请谨慎使用Any作为匹配条件,建议设置尽可能精确的匹配条件,严格控制到端口级别。包括两个方面:(1)限制到具体的源/目的IP地址;(2)服务设置尽可能多的匹配条件,如用户、应用等。
第二,为临时安全策略设置有效时间段。
第三,关注安全策略的方向。如华为防火墙都是状态检测防火墙,只需要允许业务的主动发起方建立连接,回程流量就可以顺利通过。只有在通信双方都需要主动发起连接的情况下,才需要配置双向安全策略。
先精确后宽泛,先常用后少用原则
防火墙收到报文以后按照安全策略列表的顺序来匹配,一旦匹配到某一条安全策略就不再向下匹配,否则会一直检查到策略列表底部,命中默认策略。因此,安全策略的顺序非常重要,相同的安全策略,不同的排列顺序,可能会导致不同的结果,还可能影响设备性能。
第一、精确的安全策略优先。在安全策略列表的顶部,应该是按照最小授权原则配置的、最精确的策略。请始终把更精确的安全策略放在前面,把更宽泛的安全策略放在后面。对于这些宽泛的安全策略,要持续分析,逐渐精确化,或者停用。
第二、把频繁命中的安全策略放在更前面。命中次数越多,说明匹配此安全策略的流量越多。让网络中主要的流量快速完成安全策略匹配,能显著提高性能。这在高负载环境中尤为明显。
注意:
1.防欺骗的安全策略:如果来自公网的访问使用了私网地址,说明其有意伪装成内部设备发起的流量,需要禁止此类流量。
2.允许合法的用户业务的安全策略:如允许内网用户访问外部Web服务的HTTP流量。
3.允许合法的管理业务的安全策略:如防火墙与网管之间的SNMP流量,防火墙向网管发送SNMP Trap等。
4.阻断非法流量的安全策略:对于明确需要禁止的非法业务,配置阻断策略,用于快速丢弃,以提高匹配速度。
5.阻断可疑流量的安全策略:可疑流量通常需要管理员及时关注,因此需要阻断的同时记录日志,以便分析和调整安全策略的动作。
定期审计和优化安全策略
在网络环境的不断变化中,安全策略会过时,建议定期审视防火墙的安全策略,通过审计精简和优化安全策略,帮助防火墙在性能和安全性之间实现相对理想的状态。
第一、花时间理解当前的安全策略,了解其意图和背景。如果你为安全策略设置了语义化的名称、在描述字段记录了策略变更请求的历史信息。
第二、检查描述字段为空的安全策略。虽然描述字段为空本身不是问题,但是这确实增加了安全策略的管理复杂度。
第三、检查临时安全策略,删除过期失效的安全策略,检查禁用的安全策略,删除禁用期满的安全策略。
第四、检查是否有未使用、重复或过时的安全策略。可以集中分析命中次数为0的安全策略。请根据分析结果,删除冗余策略。
第五、检查是否有匹配条件交叉的安全策略。如果交叉策略的动作相同,可以进行合并。如果交叉策略的动作不同,请确认合理的动作,并调整配置。
第六、检查匹配条件中带有Any的策略。要确认此安全策略是否必需,是否可以限制该匹配条件的范围。通常情况下,服务不应该设置为Any。
第七、检查是否放行了不安全的服务。如FTP、Telnet等。这些服务明文传输,存在安全风险。
第八、检查命中次数最多的那些安全策略。在不影响策略匹配结果的前提下,把频繁命中的安全策略调整到更前面的位置。这能显著提高匹配速度。
第九、检查日志,根据会话日志、策略命中日志等优化和完善安全策略配置。
总结
访问控制策略应根据网络及业务变化和单位的安全基线进行合理配置和及时调整,删除多余和无效的访问控制规则,优化访问控制列表,保证访问控制规则数量最小化。删除策略之前,建议先禁用,确认不影响业务之后再删除。一旦删除了安全策略,就很难恢复具体配置及其在策略列表中的位置了。禁用后,如果发现该安全策略还有必要,可以快速启用。
