您已經完成了新無線路由器的設置,並準備好進行下一次冒險:設置防火牆。咕嚕咕嚕。我們知道,看起來真的很嚇人。但請放心,因為我們已將其分解為 6 個簡單步驟,這應該可以幫助您邁向網路安全天堂。然後我們就出發了…
步驟 1:保護您的防火牆(我們知道這似乎是多餘的。)
對您的防火牆的管理存取應僅限於您信任的人。為了阻止任何潛在的攻擊者,請確保您的防火牆至少透過以下設定操作之一得到保護:
將您的防火牆更新至供應商建議的最新韌體。
刪除、停用或重新命名任何預設使用者帳戶,並變更所有預設密碼。確保僅使用複雜且安全的密碼。
如果多人管理防火牆,請根據職責建立具有有限權限的其他帳戶。切勿使用共用使用者帳戶。追蹤誰做了哪些更改以及原因。問責制促進做出改變時的盡職調查。
限制人們可以進行更改的位置以減少攻擊面,即只能從公司內受信任的子網路進行更改。
步驟 2:設計防火牆區域和 IP 位址(無需繁重的工作。)
為了最好地保護您的網路資產,您應該先識別它們。規劃一個結構,根據業務和應用程式需要相似的敏感度等級和功能對資產進行分組,並組合到網路(或區域)中。不要走捷徑,將一切變成一個扁平的網路。對你來說容易,對攻擊者來說也很容易!
所有提供基於 Web 的服務(例如電子郵件、VPN)的伺服器都應組織到一個專用區域中,以限制來自互聯網的入站流量 — 通常稱為非軍事區域或 DMZ。或者,不直接從網際網路存取的伺服器應放置在內部伺服器區域。這些區域通常包括資料庫伺服器、工作站以及任何銷售點 (POS) 或網際網路協定語音 (VoIP) 裝置。
如果您使用的是 IP 版本 4,則所有內部網路都應使用內部 IP 位址。必須設定網路位址轉換 (NAT),以允許內部設備在必要時在 Internet 上進行通訊。
設計網路區域結構並建立對應的 IP 位址方案後,您就可以建立防火牆區域並將它們指派給防火牆介面或子介面。當您建置網路基礎架構時,應使用支援虛擬 LAN (VLAN) 的交換器來維持網路之間的 2 級隔離。
步驟 3:設定存取控制清單(這是您的聚會,邀請您想要的人。)
建立網路區域並將其指派給介面後,您將開始建立稱為存取控制清單或 ACL 的防火牆規則。ACL 決定哪些流量需要流入和流出每個區域的權限。ACL 是誰可以與什麼通訊並阻止其餘部分的建置區塊。套用於每個防火牆介面或子介面時,您的 ACL 應盡可能具體到確切的來源和/或目標 IP 位址以及連接埠號碼。若要過濾掉未經批准的流量,請在每個 ACL 結尾建立一條「拒絕全部」規則。接下來,將入站和出站 ACL 套用到每個介面。如果可能,請停用防火牆管理介面的公共存取。請記住,在此階段盡可能詳細;不僅要測試您的應用程式是否能如預期運作,還要確保測試哪些內容是不允許的。確保研究防火牆控制下一代流量的能力;它可以根據網頁類別封鎖流量嗎?您可以開啟檔案進階掃描嗎?它是否包含某種等級的 IPS 功能。您已為這些高級功能付費,因此不要忘記採取這些“後續步驟”
步驟 4:設定您的其他防火牆服務和日誌記錄(您的非黑膠唱片集合。)
如果需要,可以讓您的防火牆充當動態主機設定協定 (DHCP) 伺服器、網路時間協定 (NTP) 伺服器、入侵防禦系統 (IPS) 等。停用您不打算使用的任何服務。
為了滿足 PCI DSS(支付卡產業資料安全標準)要求,請配置防火牆以向日誌伺服器報告,並確保包含足夠的詳細資訊以滿足 PCI DSS 的要求 10.2 至 10.3。
步驟 5:測試您的防火牆配置(別擔心,這是一個開卷測試。)
首先,驗證您的防火牆是否正在封鎖根據您的 ACL 設定應封鎖的流量。這應該包括漏洞掃描和滲透測試。請務必保留防火牆配置的安全備份,以防任何故障。如果一切正常,您的防火牆就可以投入生產了。測試 測試 測試復原配置的過程。在進行任何更改之前,請記錄並測試您的恢復過程。
步驟6:防火牆管理(所有火災都需要加火。)
一旦您的防火牆配置並運行,您將需要維護它以使其發揮最佳功能。請務必每六個月更新一次韌體、監控日誌、執行漏洞掃描並檢查您的設定規則。
下一步
現在你就擁有了!如果您做到了這一點,那麼您現在已經是偽網路安全專家了。但是,如果您需要進一步協助,請造訪我們的小型企業社群。在那裡,您可以找到常見問題的答案,並與經營類似業務並面臨類似 IT 挑戰的人員聯繫。