我理解每个企业都有自己的需求和情况,但我正在寻找一个关于常见被阻止的服务和端口的一般指南,以及配置防火墙时要寻找的其他策略。例如,我是否应该阻止所有进入(WAN --> LAN)的内容,除了我知道是安全的?是否有特定的端口需要担心内部问题(LAN、WLAN、VPN)?我是否应该允许从 VPN 到 LAN 的所有资源访问?
我知道这里有很多问题,但我正在寻找的是为小型企业设置防火墙/安全系统的一般指南。
答案1
这个范围很广,但我会尝试一下。归根结底,要知道谁在做什么,并验证他们仍然需要它
开始用电子表格记录你所做的一切。跟踪哪些端口、何时打开、谁请求了它以及为什么。
默认阻止所有入站流量。任何需要进入的服务都应获得批准,您需要注意这一点。您可能已经了解入站邮件、网络等。为这些服务打开特定目的地的端口,将它们添加到电子表格中。换句话说,将端口 80 开放到您的 Web 服务器,而不是网络上的任何其他主机(除非您知道原因)
阻止所有出站。在了解或被问及特定服务(80、443、DNS、NTP)时,请为其打开端口。根据业务情况尽可能严格地打开端口。如果邮件服务需要出站端口 25,请打开它,但不要为每个桌面打开。
每年一次,检查电子表格并与请求者核实是否仍然需要
或许这很严厉,但如果你从一开始就严格管理,你就更有可能知道发生了什么。请记住,这是一个企业,而不是你的家庭网络,所以对员工有一些限制是可以的。入侵的负面影响可能要严重得多。
答案2
由于我在一家小公司工作,所以我会简单地告诉你我所做的事情。
所有入站流量一开始都是被阻止的,端口只在需要时才打开。就我而言,这包括在需要时有选择地打开端口以提供外部支持,并在完成后再次关闭它们。防火墙上配置了 cron 作业以在给定时间关闭这些端口,以防我因任何原因没有手动关闭它们。
我们的网络允许几乎所有的外发邮件,只有少数例外。例如,端口 25(SMTP)仅对允许直接发送电子邮件的机器开放,例如 Exchange 服务器和监控系统。后者必须无法通过 Exchange 服务器路由,因为它可能会试图告诉我 Exchange 已关闭。
这与大型组织中更常见的做法截然不同,大型组织中的出站流量一开始就被阻止,只有需要时才开放访问。造成这种差异的原因之一是所使用的设备。例如,我们的防火墙无法根据用户 ID 授予或拒绝出站流量,因此实现此类功能会困难得多。
答案3
作为一般规则,我会:
默认阻止所有入站连接(以及出站连接,uSlackr 提醒了我这一点)。
在内部服务器和客户端上运行防火墙程序,并在专用硬件(也可能是您的 VPN 服务器)上安装外围防火墙。外围防火墙对内部流量没有任何帮助,但可以大大减少内部系统受到的来自外界的攻击。
允许特定的入站(和出站)连接到应提供(或使用)服务的端口/IP。这可能会导致在外围防火墙上允许很多端口,但像岸墙例如,通过让您将一组端口定义为“Web 流量”,可能会使事情变得更容易。如果内部客户端/服务器是 Windows 或 OS X,则内置防火墙 GUI 往往会更容易地说“允许文件和打印机共享的流量”。
如果我们谈论的是 VPN 系统,例如OpenVPN,我只会在无法通过外围防火墙的特定情况下使用它,并且对于您的远程用户来说至关重要。OpenVPN 允许您定义一个客户端配置目录,您可以在其中放入针对特定用户的特定规则。例如,我的规则允许我从场外连接到我的办公室打印机,但不向其他 VPN 用户开放。
答案4
对大多数人来说,一般的指导是,仅允许您需要的内容,阻止其他所有内容。
这是一个非常高级的指南,特别适用于入站连接。
阻塞出站连接是事情变得有趣的地方。最严格的解释是,你也应该对出站做同样的事情;端口 80 和 443 适用于所有人,如果需要,DNS 也适用。在小型企业环境中,这在政治上不太可能被接受,因为你可能认识企业中的每个人,并且暗中相信他们不是坏人。如果你这样做,你将在数周/数月内不断添加端口,因为用户会确定他们需要的东西。