两项研究表明,有防火墙规则集的复杂性和配置错误的可能性之间有直接的关系。一项研究表明,大多数防火墙配置不当和使用“构成重大过失十分宽松的规则。”你可能是其中之一?
防火墙必须是每一个网络的幕后英雄。实际上,连接到互联网的每个公司使用防火墙作为防御的第一道防线。尽管他们的虔诚信仰,我们的地方,以保持不好的事情了(和好东西),这些设备只能强如他们被要求强制执行的策略(或规则集)。在许多情况下,这些规则集是如此复杂,防火墙实际上比我们希望他们不那么有效。
两个经典的研究,一个在2004年和后续于2009年,已经表明有政策的复杂程度和配置错误的可能性之间有直接的关系。
2009年的调查,“防火墙设置错误再探”,是由电气工程在特拉维夫大学学院Avishai羊毛进行。羊毛也是防火墙分析仪公司的首席技术官AlgoSec。在他的研究,研究羊毛84个规则集从思科和Check Point防火墙由希望自己的防火墙规则集的审计和部署的软件做了分析机构拥有。
毛从他的研究画了两个主要结论。1:在大多数情况下,防火墙配置错误。第2:规则集事项的复杂性;一个小规则集是最好的一段路要走。
他援引他的试验台配置较差的几个例子:
•在入站方向上,防火墙的超过45%的允许DNS,或FTP或SMTP达到超过256个地址。此外,防火墙的42%允许的入站NetBIOS通信。
•在出局方向,防火墙的超过80%的允许广泛的出站SMTP访问。
•超过60%,允许出站对等网络流量 - 而很少有企业使用的服务。
•防火墙的60%以上的有如下形式的规则“从地方到任何允许任何服务。”
在毛的话说,这些都是“构成重大过失十分宽松的规则。”
复杂性是大问题。根据羊毛的报告,很少有非常复杂的规则集以及配置,并且他们很难有效管理。“它的安全限制防火墙规则集的复杂性,”他说。“相反,另一个子网连接到主防火墙,并添加更多的规则和多个对象,似乎最好安装一个新的专用防火墙来保护只有新的子网。”他的研究结果还表明,“使用多个小的(虚拟)防火墙是可能比一个大的防火墙,更安全。”
所以上周我跟毛,问他有什么最佳实践,他会建议为防火墙管理。他说,这归结为三个步骤:
第1步:制定提高。认识到管理您的防火墙的问题是花费你的时间和金钱,如果你的业务属于下,如PCI或SOX任务可能会导致合规性问题。该不必要的复杂性意味着它需要更长的时间进行审核,并执行安全评论。要知道,有产品,可以帮助您分析您的防火墙和得到控制你的规则集备份。
第2步:决定问题的一个方面是最迫切的。你可能会宣布的情况是如此糟糕,你必须做一个大清理。或者,也许你想部署一个工作流系统。有时从一个供应商的防火墙迁移到另一个时有问题。不管是什么情况,挑来解决和之后获得的区域。
第3步:使用工具来自动解决您的问题的过程。有许多防火墙工具,可以分析您的规则集,寻找冲突,冗余和错误。防火墙维护必须是一个持续的过程。毛说,人的心灵才能真正只能理解关于规则的一页。当规则集变得比长,它的时间来部署自动化的变化过程的工具。
从他2009年的研究退房Avishai的报告中看到的最常见的配置错误。下载报告来自康奈尔大学图书馆网站。
防火墙是每个网络的工作母机。如果你的防火墙已经被“骑硬,并提出了湿”(我们在得克萨斯州说),那么它的时间给这些马匹一点点的温柔呵护,让他们控制住了。
琳达Musthaler是必要的解决方案公司的首席分析师。您可以写信给她LMusthaler@essential-iws.com。
基本解决方案研究信息技术的实用价值,以及如何使职工个人和整个组织的工作效率。基本解决方案提供给计算机厂商和企业客户咨询服务,以帮助定义和实现它的潜力。