信息安全体系建设☞防火墙怎么用
我在这里开博的主要目的是想研究一下开源的安全产品,同时也把自己的一些经验和想法分享给大家。
在之前的一篇博文中, 我介绍了开源防火墙产品FreeBSD。其实这类的开源产品很多,基本上都能满足一些小型的公司需求或者虚拟化上的安全防护需求。但是我们在企业中更多的时候,还是会选择一些硬件防火墙,因为硬件防火墙从管理上,可靠性上,技术支持上都有一些无可比拟的优势。但并不是说开源的防火墙就是银样镴枪头的样子货,我们在对开源防火墙的研究和实施过程中, 让我们有机会深度了解何为防火墙,主要都能防啥,为啥能放啥。有了对技术的深度理解, 我们再使用商业化的产品的时候,能从更深远的高度来进行体系设计。不在受限于某一个厂商的产品, 因为他们的祖宗就是从开源软件进化来的,或者就是加了一个铁壳子。
防火墙主要是部署在边界的位置, 但是这个边界我们需要辩证的来看。如果只是追寻传统的物理边界,就在ISP提供线路的位置上接入防火墙, 这个恐怕是不能实现立体防御和全局防御的目的。
在一个稍微复杂的网络环境中, 我们既要实现边界的大隔离, 也要实现在内部的微隔离。关于边界的隔离大家都很容易理解,允许内部的出去, 不允许外部的进来;inside,DMZ, outside分别设立不同的安全界别 等等。这些是我们在学习网络之处就从课本上或者老师口中学到的。即使我们在内网环境中, 也要实现网络功能区的划分,通过vlan的方式来实现各个区域的隔离。这个话题也基本上是网络架构的一个常识性问题。但是这里我要提到的一点就是,vlan都设置好了,你有匹配上对应的规则吗?放行什么,不放行什么不是书本上教的, 需要一个网络安全架构人员深入了解公司的应用场景,再结合上实际流量的抓取。这样才能有效的规划出来一个切合自己企业实际的网络访问规则。
以上的赘述都是关于网络边界的描述,那就是边界不仅仅是在和ISP对接处, 也存在IDC和办公环境的边界, 生产环境的边界,还有客户或者第三方接入的边界。这些风险点都需要提前被定义出来,应用上对应的规则。这些规则既不能太细,这样容易增加变更的频率,降低生产率。当然也不能太粗,啥都放进来了,防火墙也没有体现应有的价值。
关于微隔离的实施思路。
使用防火墙进行辩解防护,这个是防火墙的本职工作。能不能用好防火墙就看网络安全规划师或者网络项目实施人员的经验和能力了。微隔离就是要在同一功能区内,基于服务器或者用户的不同,也要从网络层进行访问控制限制。目的就是把相同功能的服务器放在一个网络区域,把相同工作职责的电脑设施放在同一区域。不同的区域之间要进行访问限制。关于微隔离的实施是要触及到网络甚至应用设计的根本,最好在网络设计之初就要考虑进去。如果作为后期的改进手段,则要伤筋动骨,不仅仅是技术上的事情, 还要涉及到业务连续性和各个部门协调的问题。即使是后期实施了微隔离的项目, 也往往是随弯就直的方式, 不能够彻底的体现微隔离的理论和思想。
1,针对服务器的微隔离:现在仍然有很多企业把服务器当做一类,把所有功能的服务器都放在一个池子里面, 甚至和用户网段混在一起。这种情况可以算作是没有网络安全架构的网络。我们对服务器进行微隔离的目的,是让网络流量更清晰, 发生问题的时候无论是证据调查,事前监控, 事后恢复都比较容易。
在公司里面的服务器类型, 通常可以分成这样几种。数据库服务器,应用服务器, 认证用服务器,基础架构用的服务器。。数据作为公司的最核心的资产, 我们需要做最严格防护,通常我们会严格到源地址和目的端口。像应用服务器我们会只允许跳板机和数据库服务器网段的通信等等。 具体的配置和限制每个公司都不一样,需要根据自己的实际情况来配置。最最核心的一点就是要识别自己IT的核心资产,施加最严格的防护策略。 同样, 从DMZ到应用服务器的链接也要施加严格的控制, 因为所有从DMZ过来的流量都是从不受信的互联网过来的,绝大部分的威胁都会混杂在这样的流量当中。
2, 针对用户环境的微隔离:在传统的边界防护理论中, 最先遇到的问题就是用户设备已经突破了传统的边界。而且由于用户行为的不确定性,同时不大可能对用户访问的目的地址或者服务进行访问控制,导致终端威胁成为网络安全中的重要一环。很多时候我们在边界处投资了大量的网络安全设备, 进行了从监控到防护的一条龙服务。但是用户设备也属于内部设备, 因为用户设备直接接入了内部网络。攻击者投送的饵料, 通过病毒或者木马的形式,从用户的终端电脑发起对应用或者数据服务器的攻击。这种情况再以往的案例中也是最常见的。
终端安全我们通常通过杀毒软件,EDR这类基于主机的客户端软件进行, 同时辅以上网行为控制或者IDS的方式来发现威胁防范攻击。EDR宣称是可以防范0day漏洞, 但是具体效果还不能光看广告,疗效是关键。上网行为管理是基于白名单的方式,很多企业的上网行为防的是在线购物和娱乐类网站,用户把笔记本带回家就可以为所欲为了。服务器上存储着核心资产,需要和终端隔离开,用户群体本身也存在着部门也业务形式的不同, 也需要隔离开。这些隔离都需要我们对流量的捕捉和分析,通过先阻拦,后申请放行的方式来操作。这种微隔离建立完成之后的好处显而易见。a)防范病毒的整个网段的传播,b)事件调查阶段可以很容易定位攻击设备,c)检查内网流量的滥用。
整体隔离与微隔离的有效结合,可能会增加网络实施的难度。但是后去的回报无疑是丰厚的,但是所有纸面上的讨论都只是技术层面的。很多技术背后的沟通的难度往往是项目能否成行的关键。