ネットワークファイアウォールを管理するためのベストプラクティス

WindowsServerでAD環境を作ろう! Part.6【Windows10クライアント ドメイン参加編】(Vol.21) (六月 2025)

WindowsServerでAD環境を作ろう! Part.6【Windows10クライアント ドメイン参加編】(Vol.21) (六月 2025)
Anonim

あなたの組織のネットワークファイアウォールの維持を担当しましたか?特に、ファイアウォールで保護されたネットワークに、クライアント、サーバー、およびユニークな通信要件を持つ他のネットワークデバイスの多様なコミュニティがある場合、これは難しい作業です。

ファイアウォールは、ネットワークの主要な防御層を提供し、全体的な防御ネットワークセキュリティ戦略の不可欠な部分です。管理されておらず適切に実装されていないと、ネットワークファイアウォールがセキュリティに大きな穴を開ける可能性があり、ハッカーや犯罪者がネットワーク内外に侵入する可能性があります。

あなたのネットワークを知る

だから、あなたはこの獣を飼いならすためにどこから始めるのですか?

アクセスコントロールリスト(ACL)を使いこなすだけで、あなたの上司に怒り、あなたを解雇するミッションクリティカルなサーバーを誤って隔離する可能性があります。

みんなのネットワークは違う。ハッカー防止ネットワークファイアウォール設定を作成するための万能薬や治療法はありませんが、ネットワークのファイアウォールを管理するためのベストプラクティスがいくつか提案されています。すべての組織がユニークであるため、以下のガイダンスはどのような状況においても「最善」ではないかもしれませんが、少なくともファイアウォールを制御して焼き付かないようにするための出発点を提供します。

ファイアウォールの変更制御ボードを形成する

ユーザー代表者、システム管理者、管理者、セキュリティスタッフで構成されるファイアウォール変更管理ボードを作成することで、異なるグループ間の対話が円滑になり、特に提案された変更が影響を受けるすべての人それらは変更の前に。

各変更を投票することで、特定のファイアウォールの変更に関連する問題が発生した場合のアカウンタビリティを確保することもできます。

ファイアウォールルール変更前のユーザーと管理者への警告

ユーザー、管理者、およびサーバーの通信は、ファイアウォールの変更の影響を受ける可能性があります。ファイアウォールの規則やACLの変更が軽微であっても、接続に大きな影響を与える可能性があります。このため、ファイアウォールルールの変更提案をユーザーに警告することが最善です。システム管理者は、どのような変更が提案され、いつ変更が有効になるのかを知る必要があります。

ユーザーまたは管理者が提案されたファイアウォールルールの変更に問題がある場合は、変更が行われる前に、直ちに変更が必要な緊急事態が発生しない限り、懸念を表明するために十分な時間を与えてください(可能な場合)。

すべてのルールを文書化し、コメントを使用して特別ルールの目的を説明する

ファイアウォールルールの目的を理解しようとするのは難しいでしょう。特にルールを書いた人が組織を離脱し、ルールの削除の影響を受ける人を特定しようとしている場合は特にそうです。

すべてのルールは、他の管理者が各ルールを理解し、それが必要かどうか、または削除する必要があるかどうかを判断できるように、文書化しておく必要があります。ルールのコメントには、

  • ルールの目的。
  • ルールが適用されるサービス。
  • ルールの影響を受けるユーザー/サーバー/デバイス(誰が対象ですか?)
  • ルールが追加された日付とルールが必要な時間枠です(つまり、一時的なルールですか?)。
  • ルールを追加したファイアウォール管理者の名前。

ファイアウォールの「許可」ルールで「すべて」を使用しないようにする

Cyber​​oamのファイアウォールルールのベストプラクティスに関する記事では、潜在的なトラフィックとフロー制御の問題により、「許可」ファイアウォールルールで「Any」の使用を避けるよう推奨しています。彼らは、「Any」を使用すると、ファイアウォールを介してすべてのプロトコルを許可するという意図しない結果が生じる可能性があることを指摘しています。

「すべて拒否」を選択してから例外を追加する

ほとんどのファイアウォールは、ルールリストの最上部から最下位に順番にルールを処理します。ルールの順序は非常に重要です。おそらく、最初のファイアウォールルールとして「すべて拒否」ルールが必要な場合があります。これはルールの中で最も重要であり、配置も重要です。ポジション#1に「すべてを拒否する」ルールを置くことは、基本的には「誰もがすべてを最初に残してから、誰が何を入れたいかを決定する」ということです。

「Allow All」ルールを最初のルールとして使用することは決して望ましくありません。これは、ファイアウォールを持つという目的を破ることになるからです。

ポジション#1に「すべて拒否」ルールが設定されたら、その下に許可ルールを追加して、ネットワーク内外の特定のトラフィックを許可することができます(ファイアウォールが上から下へルールを処理すると仮定します)。

ルールを定期的に確認し、未使用のルールを定期的に削除する

パフォーマンスとセキュリティの両方の理由から、ファイアウォールのルールを定期的に「強制的にクリアする」必要があります。より複雑で多数のルールがあるほど、より多くのパフォーマンスに影響が及ぼされます。組織内にも存在しないワークステーションやサーバー向けのルールが構築されている場合は、ルールの処理オーバーヘッドを減らし、脅威ベクトルの総数を減らすためにルールを削除することができます。

パフォーマンスのファイアウォールルールを整理する

ファイアウォールルールの順序は、ネットワークトラフィックのスループットに大きな影響を与えます。 eWEEkには、トラフィック速度を最大化するためのファイアウォールルールを整理するためのベストプラクティスに関する素晴らしい記事があります。彼らの提案の1つは、エッジルータ経由で不要なトラフィックをフィルタリングすることによって、ファイアウォールの負担を軽減することです。

エディターズチョイス