我了解每个企业都有自己的需求和情况,但是我正在寻找一个通用的指导方针,以防止在configuration防火墙时遇到的常见阻塞的服务和端口以及其他策略。 例如,我应该阻止一切进来(广域网 – >局域网),除了我所知道的安全吗? 是否有特定的端口在内部(LAN,WLAN,VPN)担心? 我应该允许所有访问资源从VPN到局域网吗?
我知道这里有很多问题,但是我正在寻找的是为小型企业设置防火墙/安全性的一般指导原则。
这是相当广泛的,但我会给它一个镜头。它归结于知道谁在做什么,并validation他们仍然需要它
为你所做的一切开始一个电子表格。 跟踪哪些港口,什么时候开放,谁要求和为什么。
阻止一切入站默认情况下。 任何需要进入的服务都应该被批准,并且您需要知道这一点。 您可能已经知道入站邮件,networking等。打开到特定目的地的端口,将它们添加到电子表格。 换句话说,打开80端口到您的networking服务器,而不是networking上的任何其他主机(直到你知道为什么)
阻止一切出站。 当您学习/询问关于它们的特定服务(80,443,DNS,NTP)时,打开端口。 尽可能限制地开放端口用于业务案例。 如果邮件服务需要出站端口25,则打开它,但不是每个桌面。
一次/年,检查电子表格,并与请求者确认仍然需要
也许是严厉的,但是如果你从一开始就把它严格pipe理,你将有更好的机会知道发生了什么事情。 请记住,这是一个企业,而不是你的家庭networking,所以员工有一些限制是可以的。 中断的可能性要严重得多。
当我为小企业工作时,我只是告诉你我做了什么。
所有入站从阻塞开始,端口只在需要时打开。 在我的情况下,包括在需要时select性地打开外部支持端口,并在完成后再次closures它们。 在防火墙上configuration了cron作业,可以在给定时间closures这些端口,以防万一因为任何原因没有手动closures它们。
几乎所有传出都允许从我们的networking,只有一些例外。 例如端口25(SMTP)仅对那些被允许直接发送电子邮件的机器(例如Exchange服务器和监控系统)开放。 后者必须不能通过Exchange服务器,因为它可能会告诉我,Exchange已closures。
这与大型组织中较为常见的做法明显不同,在这些组织中,只能根据需要打开出站启动屏蔽和访问。 造成差异的原因之一是由于使用的设备。 例如,我们的防火墙无法根据用户ID授予或拒绝出站,因此实现这些function要困难得多。
一般来说,我会:
阻止所有入站连接默认情况下(加上出站,我被uSlackr提醒)。
在内部服务器和客户端上运行防火墙程序,并在专用硬件(也可能是您的VPN服务器)上安装外围防火墙。 外围防火墙在内部stream量上根本没有任何帮助,但是会大大减less内部系统对外界的影响。
允许特定的入站(和出站)连接到应该提供(或使用)服务的端口/ IP。 这可能会使得外围防火墙上有许多端口允许,但是像Shorewall这样的系统可以让您将一组端口定义为“Web通信”,从而使事情更轻松。 如果内部客户机/服务器是Windows或OS X,那么内置的防火墙GUI往往会使“允许文件和打印机共享stream量”变得更容易。
如果我们谈论的是像OpenVPN这样的VPN系统,那么我只会将它用于不能通过外围防火墙的特定情况,这对于远程用户来说是至关重要的。 OpenVPN可以让你定义一个客户端configuration目录,你可以在其中放入特定用户的特定规则 。 例如,我的规则允许我从异地连接到办公室的打印机,但不打开它的其他VPN用户。
大多数人的一般指导是, 只允许你所需要的,阻止其他一切。
这是一个非常高级的指南,特别适用于入站连接。
阻塞出站连接是事情变得有趣的地方。 最严格的解释是,你也应该对出境做同样的事情。 端口80和443为每个人,DNS如果需要的话。 在小商业环境下,这不可能是政治上可以接受的,因为你可能认识业务中的每一个人,并且暗中相信他们不是邪恶的。 如果你这样做的话,你将会在用户识别他们需要的东西的时候添加几个星期/几个月左右的端口。