Recomendaciones de protección de zona

Los dispositivos palo alto networks que se ejecutan PAN-OS ofrecen una amplia gama de características de próxima firewall generación, como aplicaciones y ID usuarios, para proteger a los ID usuarios, las redes y otros sistemas críticos. Además de estas potentes tecnologías, PAN-OS también ofrece protección contra la actividad maliciosa de la red y la capa de transporte mediante el uso de perfiles de protección de zona. Al aplicar estos perfiles a zonas de seguridad, puede ayudar a defenderse contra inundaciones, reconocimiento y otros ataques basados en paquetes.

Al configurar las protecciones de zona, es importante entender cómo son aplicadas por el sistema, y en qué etapa del procesamiento de paquetes. Las protecciones de zonas siempre se aplican en la interfaz de entrada, por lo que si desea protegerse contra inundaciones o escaneos desde Internet, configure y aplique el perfil en la zona que contiene la interfaz de Internet no confiable. Los administradores de seguridad que deseen endurecer aún más sus redes pueden aplicar protecciones de zonas a todas las interfaces, tanto internas como externas, para garantizar que se están aplicando medidas de protección en todo el entorno. Este tipo de enfoque de confianza cero se recomienda cada vez más a medida que la movilidad en la empresa sigue aumentando.

Además, es importante entender que debido a que cada entorno de red es diferente, los umbrales de inundación específicos para aplicar acciones de protección tendrán que ajustarse en consecuencia. Cuando se cruza cualquier umbral de inundación configurado, se genera un registro de amenazas y se puede reenviarlo externamente si se desea mediante syslog. Para determinar qué configuración es apropiada para su entorno, comience determinando la actividad media de la red durante las horas punta para establecer una línea de base. Luego, ajuste de forma gradual los umbrales más bajos hasta llegar a un punto que cumpla con sus objetivos de seguridad, mientras que todavía permite espacio para fluctuaciones normales en la actividad de la red. Usted querrá evitar establecer los umbrales activate y maximum demasiado bajos para evitar interrumpir el tráfico legítimo, pero también querrá evitar establecerlos demasiado alto para que todavía sean eficaces para mitigar los picos no deseados en el volumen de tráfico.

Algunas recomendaciones de protección contra ataques basadas en paquetes, por otro lado, se aplican un poco por igual a todas las organizaciones. Por ejemplo, las opciones "desconocidas" y "malformadas" IP generalmente no son deseadas y se pueden descartar. Seleccionar las opciones para eliminar "segmentos superpuestos no TCP coincidentes" y "eliminar marca de TCP tiempo" puede evitar que ciertas técnicas evasivas tengan éxito a través del firewall sistema y también se recomiendan generalmente para todos los clientes. Además, puede evitar la suplantación de direcciones en zonas de seguridad habilitando la protección contra IP "Direcciones suplantadas".Esto garantizará que solo se permitirá el tráfico con las direcciones de origen que coincidan con la firewall tabla de ruteo en la entrada.

Siguiendo las recomendaciones anteriores, puede ayudar a que su organización sea aún más segura.

• Nota técnica sobre la implementación de la prevención de amenazas
• Comprender la protección DoS
• ¿Cuáles son las diferencias entre protección de dos y protección de zonas?
• Mejores prácticas de protección de dos y zona