De acuerdo

Establecer el principio de privilegio mínimo como política de seguridad en un firewall

242 0 7 0 0

De forma predeterminada, un firewall niega todo el tráfico entre zonas y todo el tráfico que no está explícitamente permitido se niega. Esta es la base para implementar el principio de privilegios mínimos en el firewall. Sobre esta base, las políticas de seguridad se configuran para permitir el tráfico autorizado solo para minimizar la superficie de ataque.

 

Primero, tenga cuidado al usar any como condición de coincidencia en una política de seguridad que permita el tráfico autorizado. Se recomienda establecer condiciones de coincidencia precisas, lo que implica los siguientes aspectos:

 

l  Especifique las direcciones IP y los servicios de origen y destino.

l  Especifique las condiciones de coincidencia tantas como sea posible, incluidos los usuarios y las aplicaciones.

 

Si una organización necesita abrir algunos servicios (por ejemplo, servicios web) a Internet, la dirección IP de origen se puede establecer en Any en la política de seguridad. La dirección IP de destino debe especificarse como la dirección IP del servidor o grupo de servidores que está abierto a sistemas externos, y debe especificarse el servicio o puerto. Si todos los servicios o puertos están abiertos, los atacantes pueden usar ataques de diccionario para realizar un craqueo de fuerza bruta.

 

Para los servicios no públicos, se debe especificar el rango de direcciones IP de origen para acceder a activos de información clave, como servidores de bases de datos y servicios sensibles como SSH y el Protocolo de escritorio remoto (RDP). Se recomienda especificar los usuarios que pueden acceder al servicio.

 

La identificación de aplicaciones es una capacidad clave de los firewalls. Puede implementar una gestión y un control refinados. Es complicado analizar el tráfico de la red e identificar las aplicaciones autorizadas. Puede establecer las condiciones de coincidencia de una política de seguridad para un tipo de aplicación o una etiqueta de aplicación, por ejemplo, la etiqueta de la aplicación empresarial para que las aplicaciones puedan identificarse.

 

En segundo lugar, establezca un período de validez para una política de seguridad temporal. Por ejemplo, si un socio externo necesita acceder a un servicio, debe establecer el período de validez de la política de seguridad además de especificar el servicio y la dirección IP de destino. Cuando expira el período de validez, la política de seguridad deja de ser válida automáticamente. Una política de seguridad no válida está marcada con. 


Además, una organización no afectará el funcionamiento del servicio por motivos de seguridad. Por lo tanto, incluso si no se pueden determinar las condiciones de coincidencia de los servicios, se pueden configurar políticas de seguridad temporales para permitir el tráfico de servicios especificado. Si se establece un período de validez en la política de seguridad, asegúrese de que la hora del sistema sea correcta. Se recomienda NTP para la sincronización horaria.

 

En tercer lugar, preste atención a la dirección de la política de seguridad. Los firewall de Huawei son firewalls de inspección de estado. El tráfico de retorno puede atravesar los firewalls siempre que los firewall permitan que el iniciador del servicio configure las conexiones. Las políticas de seguridad bidireccionales deben configurarse solo cuando ambas partes de la comunicación necesitan iniciar conexiones. Tome un servidor web como ejemplo. Generalmente, el servidor web solo necesita responder a las solicitudes de conexión de Internet y no necesita acceder de forma proactiva a Internet. Las actualizaciones del sistema y del software del servidor deben obtenerse a través del servidor central unificado, y el nombre de dominio o la aplicación (como WindowsUpdate) deben especificarse en la política de seguridad.

 

El principio de autorización mínima es el principio de seguridad más importante. Es posible que no pueda obtener la autorización mínima absoluta, pero puede esforzarse por lograrla.

 

Saludos.

 

FIN.


  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.