防火墙出口过滤实战:日志和防火墙配置- 网络防火墙- TT安全 ...
正在加载数据...

【TechTarget中国原创】部署出口防火墙通信过滤在很多时候都是说起来容易做起来难。原因是这牵扯到如果阻止了外出与互联网的通信,通常不知道哪些应用程序或者服务可能会被中断。

  在本文中,我们一起回顾一下如何在边界防火墙上实施防火墙出口过滤,同时尽量减少任何业务中断或常规错误……

【TechTarget中国原创】部署出口防火墙通信过滤在很多时候都是说起来容易做起来难。部署可能看起来很简单:就是在防火墙上运行一个访问控制列表阻止所有外出通信,然后仅允许公司安全政策许可的通信。如果实施出口防火墙通信过滤真的如此简单,为什么却很少有公司这么做?原因是这牵扯到如果阻止了外出与互联网的通信,通常不知道哪些应用程序或者服务可能会被中断。

  在本文中,我们一起回顾一下如何在边界防火墙上实施防火墙出口过滤,同时尽量减少任何业务中断或常规错误。

  规划出口防火墙通信过滤

  在项目开始之前,我们先作一些假设。首先,我们假设所有涉及防火墙的更改是与企业安全政策一致的。其次,我们假设是从默认配置开始,默认配置允许受信任网络(内部接口)到未受限制的互联网的所有通信。{zh1},我们默认所有更改的配置在应用到实际生产环境之前都进行了测试。

  所有的防火墙配置参考将基于思科系统公司ASA 8.2版(1)多功能安全设备(其中包括防火墙功能)。虽然不用多说,但我们还是要指出:不同设备之间,具体配置的详细信息是各不相同的。我们还将利用Splunk,它是一款从防火墙收集和索引所有日志来分析的IT搜索和分析引擎。

  Splunk提供60天免费的产品版本。60天免费期后,Splunk每天只能检索500MB大小的日志。不过,试用版也容易满足我们的要求。
默认情况下,思科ASA防火墙内部接口有两条内置的访问控制列表(ACL)规则。{dy}条规则允许所有到较为安全网络的外出通信,第二条规则阻止外出的通信。规则自上而下生效,这就是说如果{dy}条规则允许了所有的外出通信,第二条规则就永远不会实际应用。当内部接口应用了其它规则后,{dy}条内置的规则就将失效,给管理员带来麻烦和阻止通信。默认配置允许防火墙内部接口后面没有被过滤的主机访问互联网。在这个例子中,访问控制列表 “inside_access_in”将被应用到防火墙的内部接口上,使内部主机可以访问互联网:

  

  日志

  接下来,安装Splunk。Splunk可以安装在笔记本电脑、工作站或专用服务器上。安装好Splunk后,就开始配置“数据输入”,让Splunk作为一台系统日志服务器,在UDP端口514上监听,接收从防火墙的日志数据输入。然后,参照下面的例子,配置防火墙让它发送系统日志消息到Splunk。例子假设当前还没有启用任何的日志记录。

  【* 192.168.10.10只是一个假设的Splunk的Ip地址。管理员可以使用任何一个防火墙内部接口可以达到的IP地址作为Splunk服务器的地址。】

  这些步骤完成后,检查一下是否可以看到Splunk索引的事件。根据防火墙的负荷情况,考虑是否使用日志过滤器,以减少发送到Splunk的事件数量 。

  防火墙配置

  为了监测和实施防火墙出口过滤,我们要建立防火墙规则需要使用的一个网络对象和三个服务对象。对象组可以包含许多IP主机、网络、协议,网络对象组里面的每一个Ip地址都是该组的一个成员。

  让我们来看看下面的例子:

object-group network egress_allow_networks
description Allowed egress networks
network-object host 10.10.10.100 
object-group service egress_allow_ports
description Allowed egress ports
service-object tcp eq http
service-object tcp eq https
object-group service egress_block_ports
description Blocked egress ports
service-object tcp-udp range 65534 65535 
object-group service egress_monitor_ports
description Monitor egress ports
service-object tcp-udp range 50000 65533 

  创建对象组的时候,必须添加一个成员。在这个例子中,添加了从65534到65535的TCP / UDP端口到阻止外出端口组。默认情况下阻止这些端口与外界通信是比较安全的。另外,上面将10.10.10.100添加到允许外出通信到达的目的网络中。

郑重声明:资讯 【防火墙出口过滤实战:日志和防火墙配置- 网络防火墙- TT安全 ...】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——