最佳實作:有效部署防火牆
八月初,惡意軟體入侵北卡羅來納州一家變速箱工廠的電腦網路和系統。這起攻擊原本可能造成高昂的損失,因為工廠如果無法製造並將汽車零組件送至美國各地工廠,每小時損失高達27萬美元,不過這工廠有一道防火牆擋在工廠關鍵系統和駭客之間,當惡意軟體試圖結束他們網路時加以阻止。
就如同其名,防火牆是防禦網路犯罪的第一道防線。它們檢查、控制和封鎖進出的網路流量。經過你系統的資料必須先通過防火牆,如果沒有符合設定規則就會加以檢查或封鎖。
但維護公司防火牆是件艱鉅的工作,特別是當要保護的網路包含了客戶端、端點系統、伺服器和其他設備時,每個都有自己的連線需求。如果管理或部署不當,防火牆會讓你的組織出現攻擊者可用來侵入你網路的安全漏洞。Gartner公司甚至預測在未來三年內,有99%的防火牆被突破事件會是因為設定錯誤造成。
防火牆是你的第一道防線:它們按照規則審查進出的網路流量是否有惡意內容。
要建立防駭客的防火牆並沒有萬用通則,但有方法能夠幫助簡化管理。每個組織都有自己獨特而具體的要求,底下的建議可以幫助你開始管理防火牆,讓你和你的公司不會被燒到。
什樣的防火牆適合你?
防火牆有網路型和主機型。網路防火牆被放在閘道(檢視內部電腦與外部網路間的網路流量), 像是放在區域網路和廣域網路(LAN / WAN)或內部網路間。主機型防火牆最顯著的例子就是在2004年被整合到Windows XP,定位是放在有連線的端點上,成為作業系統(OS)或安全應用程式的一部分。
關鍵是連線從哪裡發起以及要在哪裡進行檢查和攔截。評估自己的選擇和定義自己的安全需求。你的網路和系統需要什麼?你的網路會進行什麼類型的連線?有足夠資源加以執行嗎?誰負責管理防火牆?這足夠遏制和防止入侵嗎?
應用最低權限原則
這個概念也適用於防火牆部署。運用最低權限原則可以減少防火牆的受攻擊面。預設封鎖所有的進出流量,再透過只允許所需服務的流量進出來逐步建立自己的規則。停用不必要的服務或軟體,並限制防火牆上的應用程式執行。
加強你的防火牆規則
定期檢視防火牆政策來使其發揮最佳性能並且消除衝突的規則。更重要的是這可以讓你稽核自己的防火牆架構,需要的話加以簡化。
SANS Institute有一份規則檢查表可以作為遵循的標準。確保防火牆啟用防欺騙(anti-spoofing)過濾器以及使用者和管理權限規則,也就是允許HTTP流量往公開的網頁伺服器或是SNMP流量往網路管理伺服器。透過噪音規則來讓你的防火牆更加有效率 – 丟棄不要的網路流量。建議設置規則通知IT/系統管理者可疑流量的出現。記錄網路流量以供分析;備份這些日誌檔並儲存在安全的地方。
你使用的是支援應用程式的防火牆嗎?
有效的防火牆不只是建立正確的政策,還要主動分析連線及過濾通過的封包資料。確認你的規則可以識別連線內的狀況,預判其目的,並且偵測正常連線內不正常的地分。你在過濾網路流量時可以由此開始:方向(傳入/傳出)、網路協定(TCP/UDP/ICMP/ICMPv6)以及目標電腦和端口。
今日有許多軟體和應用程式並不使用標準端口 – 有些程序或服務會使用節點通訊。有許多惡意軟體也會利用它們作為進入點:WannaCry和之後的其他惡意軟體(如UIWIX勒索病毒和某些數位貨幣採礦病毒)使用了端口445。對端口設定限制,視業務需要來允許連上某些服務。SANS Institute也有一份端口檢查表來設定封鎖。也建議防火牆能夠根據應用程式來檢查並分類通過你允許使用端口的網路流量。
讓每個人都參與
確保管理員、風險/法規遵循管理和維護防火牆的資安專家知道設定的政策。比方說開啟一個端口可能違反企業或安全政策,內部應用程式開發人員或某些服務供應也可能要求更改防火牆政策。確保每個人都被通知到,並且遵循良好的文件管理作法。定義開啟新端口的目的或為什麼建立新規則,誰會被這改變影響。這些作法有助於減少防火牆配置不當或出現衝突的規則。
防火牆應該是縱深防禦的一部分
隨著駭客和惡意份子調整改善自己的攻擊,保護他們所覬覦資料和系統的技術也要跟進。防火牆現在也與其他功能整合,如深度封包檢測 – 檢查封包資料是否存在惡意軟體及其他定義的政策,還有入侵防禦和偵測系統。
防火牆可以成為對抗威脅的有效預防措施,但它並不能是唯一的保護層。比方說防火牆不能保護你免受電子郵件威脅或對設備未授權的存取。雖然它們可以透過驗證和封鎖可疑網路流量來幫助保護你的網路和系統,但它們只是建立組織網路安全防禦系統的起點。
趨勢科技解決方案
趨勢科技搭載了XGen安全防護技術的混合式雲端安全解決方案,整合跨世代的威脅防禦技術且最佳化地來保護實體、虛擬和雲端作業。它包括了趨勢科技Deep Security – 提供網路安全功能如深度封包檢測、入侵防禦(IPS)和主機防火牆。還有趨勢科技趨勢科技 Smart Protection Suites 關鍵成員的趨勢科技 OfficeScan™,以及Worry-Free Pro具備了主機防火牆、應用程式控制、入侵防禦(漏洞防護),端點加密和資料遺失防護等功能來保護使用者和企業。