FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

FortiGate FortiOS5.4におけるベスト・プラクティス ファイアウォール編

2017.08.22 (Tue)


・ファイアウォール設定を無効または削除するときは注意してください。
GUIまたはCLIを使用してファイアウォール設定を変更すると、すぐに保存され、有効化されます。

・ポリシーリストのファイアウォールポリシーを、より具体的なものからより一般的なものに変更します。
ファイアウォールは、ポリシーリストの先頭から開始して一致するポリシーを検索します。たとえば、
非常に一般的なポリシーはすべての接続試行に一致します。
一般ポリシーに対する例外を作成する場合は、一般ポリシーの上のポリシーリストに追加する必要があります。








・送信元アドレスと送信先アドレスをすべて選択しないでください。
そういう場合はアドレスまたはアドレスグループを使用します。

・ファイアウォールからすべてのポリシーを削除すると、
ポリシーが一致せず、すべての接続がブロックされます(暗黙のDENY)。

・可能であれば、セキュリティ上の理由からサービス上のポート範囲を避けてください。

・ファイアウォールポリシーの設定はできるだけ具体的にする必要があります。
アドレスとして0.0.0.0を使用しないでください。Anyをサービスとして使用しないでください。
送信元アドレスと宛先アドレスにはサブネットまたは特定のIPアドレスを使用し、
個別のサービスまたはサービスグループを使用します。

・単一のホストアドレスを作成する場合は、32ビットのサブネットマスクを使用します
(たとえば、255.255.255.255)。

・必要なときにのみポリシーのログを使用し、パフォーマンスへの影響を認識してください。
たとえば、ドロップされたすべての接続をログに記録することができますが、
使用しないログ情報を継続的に保存するのではなく、トラフィックデータをサンプリングすることで、
これを控えめに使用することができます。

・「any」インタフェースに基づくセキュリティポリシーを使用することは可能です。
ただし、より細かくセキュリティを強化するためには、明示的なインタフェースが推奨されます。

・コメントフィールドを使用して、管理データを入力します。
 たとえば、誰がルールを要求したか、誰がそれを承認したかなどです。

・可能であれば、FQDNアドレスは避けてください(内部アドレスでない場合)。
 これは、DNSクエリとDNSスプーフィングによるセキュリティへの影響、
 パフォーマンスの影響を与える可能性があります。

・非VLANインターフェイスの場合、ゾーンを使用して(メンバーに単一のインターフェイスを1つだけ設定しても)、
 次のことが可能になります。
 ・セキュリティポリシーで使用するインターフェースの明示的な名前
  ( 'internal'は 'port10'よりも明示的です)。
 ・ハードウェアのアップグレード中に実行されるように、
  ポートリマッピングを可能にする物理ポートとその機能間の分割
  (1Gインタフェースから10Gインタフェースへの移行など)、または構成変換を容易にする。

関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック