پیکربندی فایروال چیست؟

فایروال نقشی حیاتی در امنیت شبکه ایفا می کند و باید به درستی پیکربندی شود تا سازمان ها در برابر نشت داده ها و حملات سایبری محافظت شوند.این کار با پیکربندی نام دامنه و آدرس های پروتکل اینترنت (IP) برای ایمن نگه داشتن فایروال امکان پذیر است. پیکربندی خط‌مشی فایروال بر اساس نوع شبکه مانند شبکه عمومی و یا خصوصی می باشد و می‌تواند با قوانین امنیتی که با هدف جلوگیری از حملات احتمالی هکرهاو یا بدافزارها دسترسی را کنترل می کند ، تنظیم شود.

پیکربندی مناسب فایروال ضروری است، زیرا ویژگی‌های پیش‌فرض در یک فایروال ممکن است حداکثر محافظت را در برابر حمله سایبری ارائه نکنند.

اهمیت پیکربندی پایه فایروال

پیکربندی نادرست فایروال می تواند منجر به دسترسی غیرمجاز مهاجمان به شبکه ها و منابع داخلی محافظت شده شود. در نتیجه مجرمان سایبری دائماً به دنبال شبکه هایی هستند که نرم افزار یا سرورهای قدیمی دارند و محافظت نمی شوند. گارتنر در یک تحقیق در سال 2020 اعلام کرد که 99 درصد از نقض‌های فایروال در سال 2020 به دلیل پیکربندی نادرست ایجاد شده اند.

تنظیمات پیش‌فرض در اکثر فایروال‌ها و پروتکل‌ها مانند پروتکل انتقال فایل (FTP) سطح حفاظتی لازم را برای ایمن نگه داشتن شبکه‌ها در برابر حملات سایبری فراهم نمی‌کند. سازمان ها باید اطمینان حاصل کنند که پیکربندی پایه فایروال نیازهای منحصر به فرد شبکه های آنها را برآورده می کند.

نحوه پیکربندی فایروال

پیکربندی مناسب برای پشتیبانی از شبکه های داخلی و بازرسی فایروال stateful ضروری است. در ادامه نحوه پیکربندی ایمن فایروال آورده شده است:

  •  فایروال را ایمن کنید :

ایمن سازی یک فایروال اولین قدم حیاتی برای اطمینان از کنترل دسترسی اختصاص یافته به مدیران مجاز به آن است.

ایمن سازی فایروال شامل اقداماتی مانند:

  1. با آخرین سیستم عامل به روز رسانی کنید .
  2. هرگز فایروال ها را بدون تنظیمات مناسب به کار نگیرید .
  3.  رمزهای عبور پیش فرض و نام حساب های پیش فرض را حذف، غیرفعال و یا تغییر دهید .
  4. از رمزهای عبور امن و منحصر به فرد استفاده کنید .
  5. هرگز از حساب های کاربری مشترک استفاده نکنید. اگر یک فایروال توسط چندین سرپرست مدیریت می شود، حساب‌های مدیریت اضافی باید بر اساس مسئولیت‌های فردی دارای امتیازات محدودی باشند.
  6. غیرفعال کردن پروتکل مدیریت شبکه ساده (SNMP)، که اطلاعات مربوط به دستگاه‌های موجود در شبکه‌های IP را جمع‌آوری و سازماندهی می‌کند، یا آن را برای استفاده ایمن پیکربندی می‌کند.
  7. محدود کردن ترافیک شبکه خروجی و ورودی برای برنامه‌های خاص یا پروتکل کنترل انتقال (TCP)
  • حوزه فعالیت فایروال و ساختار آدرس IP را ایجاد کنید

شناسایی دارایی ها و منابع شبکه ای که باید محافظت شوند بسیار مهم است. بنابراین گروه بندی دارایی های شرکت بر اساس عملکردهای مشابه و سطح ریسک در حوزه های مختلف ضروری است. سرورها مثال خوبی از این گروه بندی هستند : سرورهای ایمیل، سرورهای شبکه خصوصی مجازی (VPN) و سرورهای وب  که در یک منطقه اختصاصی قرار می‌گیرند که ترافیک اینترنت ورودی را محدود می‌کند، که اغلب به عنوانDMZ شناخته می‌شود. یک قاعده کلی این است که هرچه مناطق بیشتری ایجاد شود، امنیت شبکه بیشتر است.

DMZ :Demilitarized Zone

با این حال، داشتن حوزه های بیشتر به زمان بیشتری برای مدیریت آنها نیاز دارد. با ایجاد یک ساختار منطقه شبکه، ایجاد یک ساختار آدرس IP مربوطه نیز مهم است که این حوزهها را به واسط‌ها و زیرواسط‌های فایروال اختصاص می‌دهد.

  •  لیست‌های کنترل دسترسی (ACL) را پیکربندی کنید

فهرست‌های کنترل دسترسی (ACL) سازمان‌ها را قادر می‌سازد تا تعیین کنند که کدام ترافیک مجاز است به داخل و خارج از هر منطقه جریان یابد. ACL ها به عنوان قوانین فایروال عمل می کنند که سازمان ها می توانند آن ها را برای هر واسط فایروال و واسط فرعی اعمال کنند.

ACL ها باید مختص شماره پورت منبع و مقصد و آدرس IP دقیق باشند. هر ACL باید دارای یک قانون “رد کردن همه” باشد که در انتهای آن ایجاد شده است، که به سازمان ها امکان می دهد ترافیک تایید نشده را فیلتر کنند. هر اینترفیس و زیراینترفیس همچنین به یک ACL ورودی و خروجی نیاز دارد تا اطمینان حاصل شود که فقط ترافیک تایید شده می تواند به هر منطقه برسد. همچنین توصیه می شود برای محافظت از پیکربندی، رابط های مدیریت فایروال را از دسترسی عمومی غیرفعال کنید و پروتکل های مدیریت فایروال رمزگذاری نشده را غیرفعال کنید.

  • سایر خدمات فایروال و ورود به سیستم را پیکربندی کنید

برخی از فایروال ها را می توان برای پشتیبانی از سرویس های دیگر، مانند سرور پروتکل پیکربندی میزبان پویا (DHCP)، سیستم پیشگیری از نفوذ (IPS) و سرور پروتکل زمان شبکه (NTP) پیکربندی کرد. همچنین ضروری است که خدمات اضافی را که استفاده نمی شود غیرفعال کنید.

علاوه بر این، فایروال‌ها باید طوری پیکربندی شوند که به یک سرویس لاگها گزارش دهند تا با الزامات استاندارد امنیت داده‌های صنعت کارت پرداخت (PCI DSS) مطابقت داشته باشند.

  • پیکربندی فایروال را تست کنید

با تنظیمات انجام شده، تست پیکربندی برای اطمینان از مسدود شدن ترافیک صحیح و عملکرد فایروال همانطور که در نظر گرفته شده است بسیار مهم است. این پیکربندی را می‌توان از طریق تکنیک‌هایی مانند تست نفوذ و اسکن آسیب‌پذیری آزمایش کرد. به خاطر داشته باشید که در صورت بروز هر گونه شکست در طول فرآیند تست، از پیکربندی در یک مکان امن نسخه پشتیبان تهیه کنید.

  •  فایروال را به طور مداوم مدیریت کنید

مدیریت و نظارت فایروال برای اطمینان از ادامه عملکرد فایروال همانطور که در نظر گرفته شده است بسیار مهم است. این شامل نظارت بر گزارش‌ها، انجام اسکن آسیب‌پذیری و بازبینی منظم قوانین است. همچنین مهم است که فرآیندها را مستند کنید و پیکربندی را به طور مداوم و با جدیت مدیریت کنید تا از حفاظت مداوم شبکه اطمینان حاصل کنید.

اشتباهاتی که هنگام راه اندازی فایروال باید از آنها اجتناب کرد

پیکربندی یک فایروال می‌تواند مشکلاتی را ایجاد کند که معمولاً با اجتناب از اشتباهات رایج می‌توان از آن‌ها جلوگیری کرد، مانند:

  • استفاده از خط مشی های گسترده یا تنظیمات نادرست فایروال می تواند منجر به مشکلات سرور شود، مانند سیستم نام دامنه (DNS) و مشکلات اتصال.
  • نادیده گرفتن ترافیک خروجی می تواند برای شبکه ها خطرآفرین باشد.
  • تنها اتکا به فایروال برای امنیت شبکه یا روش‌های احراز هویت غیر استاندارد ممکن است از همه منابع شرکت محافظت نکند.