Mae tân-waliau yn aml yn cael eu trin fel blwch i'w dicio: datblygu un, ysgrifennu rhai rheolau, symud ymlaen. Ond mae dyluniad tân-wal cymhwysol yn ddisgybliaeth yn ei hawl ei hun—un sy'n penderfynu a yw eich segmentiad rhwydwaith mewn gwirionedd yn atal ymosodwr neu a yw'n rhoi synnwyr ffug o ddiogelwch yn unig. Mae'r darn hwn yn crwydro trwy'r penderfyniadau ymarferol sy'n gwahanu datblygiad tân-wal-da-benodedig oddi wrth gasgliad o reolau ad hoc.
Cychwynnwch Gyda Pharthau, Nid Rheolau
Cyn ysgrifennu sengl ACL, diffinniwch eich parthau ymddiried. Mae trefn mentr nodweddiadol yn gwahanu lleiniau DMZ wyneb-rhyngrwyd, rhwydweithiau defnyddwyr mewnol, haenau gweinydd/data, a rhwydweithiau rheoli/OOB. Dylai pob parth gynrychioli lefel ymddiried wahanol, a dylai traffig rhwng parthau fod yn eithriad sy'n gofyn am gyfiawnhad, nid y rhagosodiad.
Mappiwch beth sydd angen i siarad â beth yn ddilys. Mae'r rhestr stoc llif traffig hwn yn ddiflas ond mae'n sylfaen mae popeth arall yn seiliedig arni. Mae ei hepgor yn arwain at reolau "caniatáu unrhyw-i-unrhyw rhwng isranwau" rhy drwm-dwylo sy'n trechu pwrpas segmentiad yn llwyr.
Gwrthod-yn-Ddefnyddiol Nid Yw'n Negotiable
Pob rhyngwyneb, pob pâr parth, dylai orffen mewn gwrthod ymhlyg neu benodol. Dylai rheolau fod yn eithriadau ychwanegol i osgo caëedig, nid eithriadau tynnu i un agored. Swnia'n amlwg, ond mae archwiliadau'n aml yn canfod tân-waliau ag rheolau clwy-dal-pob-peth trwm-dwylo ar ôl o ddatblygiad brysio neu newid trwbwllo "dros dro" na chafwyd ei dynnu byth.
Pan fydd gwrthod-yn-ddefnyddiol yn torri rhywbeth, mae hynny'n signal gwerthfawr mewn gwirionedd—mae'n golygu eich bod wedi canfod dibyniaeth didogfenu sy'n angen ei fodelu'n benodol, nid ei ganiatáu'n dawel.
Trefn Rheol ac Unigrywiaeth
Mae'r rhan fwyaf o injans tân-wal yn gwerthuso rheolau o'r top i lawr ac yn stopio ar yr unfed a'r unig gyfarfod. Mae hyn yn gwneud trefn yn benderfyniad dylunio, nid meddwl ôl-ddyddiad. Dylai rheolau penodol (unigol lleolydd, porth sengl) yn gyffredinol ddod yn flaen rheolau llydan (amrediadau isranwau, amrediadau porth). Modd methiant cyffredin yw gosod rheol caniatáu llydan yn gynnar yn y rhestr, sy'n dawel yn cysgodi rheolau mwy cyfyngol oddi tano—mae'r rheolau hynny ar bapur ond byth mewn gwirionedd yn tân.
Archwiliadwch yn rheolaidd ar gyfer rheolau cysgod a digyfnewid. Mae offer sy'n darlunio cyfrif trawiad rheol yn amhrisiadwy yma: rheol gyda sero trawiad dros ffenestr ystyrlon yw naill ai pwysaw marw neu, yn waeth, tystiolaeth fod traffig yn llifo trwy lwybr ni ragwelasoch.
Archwilio Stateful a Ei Ffiniau
Mae tân-waliau modern yn olrhain cyflwr cysylltiad, sy'n gadael i chi ysgrifennu rheolau ar gyfer y cyfeiriad cychwynnol yn unig a thrystio'r injin i ganiatáu traffig dychwelyd. Mae hyn yn symleiddiad mawr dros hidlo pecyn di-ddull, ond nid yw'n dirprwy ar gyfer ymwybyddiaeth haen-ap. Nid yw tân-wal stateful sy'n caniatáu allbwn TCP/443 yn gwybod nac yn poeni a yw'r traffig hwnnw'n HTTPS dilys neu sianal C2 tunneled dros yr un porth. Lle bynnag y bo'n bosibl, pairiwch orfodaeth tân-wal ag ymwybyddiaeth haen-ap—proxies, archwiliad TLS lle mae polisi yn caniatáu, neu adnabyddiaeth ap NGFW—yn hytrach nag dibynnu ar rifyrnau porth fel dirprwy ar gyfer bwriad.
Hidlo Allbwn Haeddu Sylw Cyfartal
Mae sefydliadau'n obsessio dros reolau mewnfudo a hepgor allbwn. Mae hyn yn ôl-droed o safbwynt ymateb digwyddiad: unwaith y mae ymosodwr yn meddu ar droed, mae ctroleithiau allbwn yn penderfynu a ydynt yn gallu echdynnu data neu alw adref i seilwaith. Diffinniwch bolisïau allbwn penodol fesul parth—mae gweinyddwyr yn anaml yn angen mynediad allbwn rhyngrwyd di-gyfyngu, ac mae gweithfeydd yn anaml yn angen cychwyn cysylltiadau i IPs allanol mympwyol ar borthoedd mympwyol. Nid fydd allbwn cyfyngol yn stopio popeth, ond mae'n codi cost gweithgaredd ôl-echdyniad ac yn cynyddu'r siawns fod traffig anormal yn cael ei farcio.
Rheoli Newid a Drift
Mae setiau rheol tân-wal yn cronni crud dros amser: rheolau a ychwanegwyd ar gyfer prosiect a ddaeth i ben flynyddoedd yn ôl, eithriadau dros dro a ddaeth yn barhaol, a rheolau nid oes neb yn cofio pwrpas. Trin ffurfweddiad tân-wal fel cod—o dan reolaeth fersiwn, adolygiad cymheiriaid, a thied i gyfiawnhad busnes dogfennedig ar gyfer pob rheol. Amserlen adolygiadau sy'n digwydd eto a thro i docio cofnodion crin. Mae tân-wal gyda mil o reolau didogfenu yn darparu llai o ddiogelwch go iawn na set reol llai, well-dealledig, oherwydd nid oes neb yn gallu rhesymu am yr hyn y mae'n ei ganiatáu mewn gwirionedd.
Cofnodi a Chydberthyniad
Tân-wal sy'n blocio traffig yn dawel yw hanner defnyddiol yn unig. Sicrhewch fod traffig wedi'i wrthod a chaniatáu o ddiddordeb yn cael ei gofnodi a'i gludo i'ch SIEM neu bibellau cofnodi, gyda ddigon o gyd-destun (parth, ID rheol, ffynhonnell/cyrchfan, protocol) i gynnal ymchwiliad yn ddiweddarach. Yn ystod digwyddiad, mae cofnodion tân-wal yn aml yn y ffordd gyflymaf i sefydlu llinell amser symudiad ochr neu ymdrechion echdyniad—ond dim ond os cafodd cadw a thwylolfraint eu ffurfweddiad yn gynharach.
Meddyliau Cau
Nid yw dyluniad tân-wal cymhwysol yn ymwneud â dewis y gwerthwr iawn neu'r set nodwedd NGFW diweddaraf—mae'n ymwneud â modelu parth disgyblaethus, orfodaeth gwrthod-yn-ddefnyddiol, hylendid rheol gofalus, a thrin allbwn gyda'r un difrifwch â mewnfudo. Cael y sylfaon yn iawn ac mae'r nodweddion uwch yn dod yn lluosyddion grym yn hytrach nag dirprwy ar gyfer pensaernïaeth.
Am ragor ar segmentiad rhwydwaith, cyddberthyniad cofnodi, a sylfaen tîm glas, archwiliadwch segmentau cysylltiedig yn llyfrgell DEFENSE_GRID Korra Studio.