înregistrare Logare
Puncte:0
Dmitry avatar Server

Gestionarea și revizuirea regulilor de firewall

drapel jp
Dmitry

Am 2 întrebări despre cele mai bune practici pentru gestionarea și revizuirea regulilor de firewall.

Compania noastră folosește PaaS de la un furnizor de găzduire, ei gestionează firewall-uri (Fortigate). Trebuie să știm ce reguli avem și să organizăm procesul de modificare a regulilor de firewall. Evident, firewall-ul este partajat și nu vom avea acces la interfața sa de utilizare.

Problema ordonării regulilor: De acum avem o foaie Google pentru a comanda noi reguli. Foaia are un cod unic de regulă, categorie de trafic sursă și destinație, grup de adresă sursă, grup de adrese de destinație, grup de porturi, acțiune și un comentariu generat automat care conține practic ID-ul regulii și categoria sursă și destinație pentru a simplifica revizuirea. Deci regulile atunci când le solicităm arată astfel:

„----Regula # id3205----
ansible-prod --> db-stage ==via== ssh
Comentariu: [Regula nr. id3205] Soluție [Etalonare]: Ansible --> DB"

Până acum totul este bine, totul clar și îngrijit.

Problema este că furnizorul de găzduire nu poate adăuga subrețele diferite într-un singur grup de adrese. După cum am înțeles, asta se datorează faptului că au legat un grup de adrese la o interfață în politica de firewall și dacă VLAN-ul interfeței nu se potrivește cu VLAN-ul unei subrețele din grupul de adrese care nu funcționează. Deci trebuie să folosim o mulțime de grupuri mici de adrese --> sunt necesare mai multe reguli. Avem câteva mii de reguli de firewall pe care trebuie să le gestionăm și să le revizuim, iar numărul este în creștere. Încercăm să folosim reguli pentru subrețele, dar nu ajută prea mult :)

O altă problemă este că există mai multe partiții în firewall și dacă ordonăm accesul de la SubnetA la SubnetB și acestea aparțin a 2 partiții, atunci o regulă pe care am solicitat-o ​​devine 2 reguli în firewall. Deci regulile noastre solicitate nu se potrivesc cu configurația reală din firewall-uri.

Problema revizuirii firewall-ului Deoarece nu avem acces la firewall, putem doar să cerem furnizorului să exporte regulile pentru noi. Dar așa cum am scris mai sus - o regulă poate deveni 2 reguli în 2 partiții diferite. Deci este destul de greu de urmărit.

În plus, în versiunea ulterioară a Fortigate, vânzătorul a eliminat Politica contoare de accesări, așa că se pare că acum suntem orbi și nu știm dacă o anumită regulă este utilizată intens sau nu.

Întrebări

Aș dori să întreb comunitatea dacă există cele mai bune practici pentru gestionarea și solicitarea regulilor de firewall atunci când cineva nu are acces la consola firewall-ului și cum efectuați examinarea firewall-ului? Poate cineva vă poate împărtăși cum gestionați regulile de firewall în general?

Mulțumesc mult.

37
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.