优化您的安全策略

优化您的安全策略

69051
Created On 09/26/18 13:44 PM - Last Modified 06/08/23 08:35 AM


Resolution


在构建或审阅安全策略时, 让我们来讨论一些最佳做法。请考虑这些提示, 以确保配置的最佳体验, 但不强制或要求帕洛阿尔托网络防火墙正常运行。这些都是我多年以来作为一个支持工程师所看到的做法, 在那里, 管理员面临着一些意想不到的问题, 他们可能会坚持一些指导原则。

 

 

 

 

区域

 

针对最佳做法的常见违规情况是在源或目标区域中使用 "任何"。在许多情况下, 管理员将首先在默认的 VWire 配置中将防火墙连接到网络时设置 "任何-任何" 规则。这样做可以在两个方向上进行通信, 而不需要创建两个不同的规则, 一个用于每个通信方向。

 

在区域中使用 "任何" 会打开该策略无意中允许未计入的会话的可能性, 包括例如, 在策略未更新时添加的 intrazone 通信量或区域, 而不是为附加区域。

 

但是, 有一个小窍门, 允许单个规则控制区域之间特定方向的通信:

可以将策略类型从通用更改为区间或 intrazone, 以限制策略中的所有区域仅相互通信, 但不与同一区域进行通讯, 或仅与同一区域, 但不与其他区域进行交流。

 

下面图片中的策略2和3是相同的 (实际上, 一个是其他克隆), 但它们的行为完全不同, 因为规则 #2 设置为 intrazone, 只允许从本地到本地的会话。, 远程到远程, 但不本地到远程, 或远程到本地。规则 #3 相反;它只允许从本地到远程会话, 反之亦然, 但不能介于本地和本地之间, 或者远程和远程。应用这个小设置, 而不是使用可怕的 ' 任何 ' 将允许简单, 但仍然提供安全和防止疏忽。

 

2016-05-25_13-57-33

 

服务

 

从 PAN OS 6.0 开始, 创建新策略时服务的默认设置设置为 "应用程序默认值", 但仅当应用程序也添加到规则的 "应用程序" 选项卡时, 才会强制执行默认应用程序端口。从 PAN OS 7.1 开始, 在策略中具有应用程序默认设置将强制使用默认应用程序端口, 即使在策略的 "应用程序" 选项卡中没有应用程序也是如此。然而, 在将服务设置为 "任何" 的政策方面, 仍然相当常见。这也会在允许不需要或不必要的连接时产生意外的副作用。

 

帕洛阿尔托网络防火墙处理的任何会话至少将通过安全策略两次: 当接收到初始 SYN 数据包时, 将检查防火墙策略, 以查看是否有规则匹配源区域、源子网/IP、目标区域、目标子网/IP 和目标端口。如果创建的规则具有允许 web 浏览的意图, 但将服务设置为 "任意", 则此策略将允许在端口21上通过握手进行 FTP 连接。此会话将在防火墙上占去资源, 因为在状态表中创建了一个会话, 可以应用 NAT 等。只有在 TCP 握手之后, 应用程序 ID 才能将其识别为 "不" 允许的应用程序时, 会话才会被阻止。同时, 不必要的资源花费在可能被第一个 SYN 阻止的会话上。

 

应用程序

 

很多时候, "应用程序" 选项卡将保留为 "任意", 因为管理员可能没有对必须允许的应用程序进行全面概述。这也可以通过利用行为特征为某些应用程序特性创建一个允许的或限制性的策略来弥补, 当确切的应用程序还不知道的时候。

 

被阻止的应用程序-筛选器列出了一系列在许多企业网络中都可能被认为是坏的行为, 因此, 当管理员可能不知道可能是坏的所有应用程序时, 他可以创建一个安全策略来阻止任何行为在不可取的方式。每个每周内容更新还将使用新的或更新的应用程序更新应用程序筛选器, 因此新的应用程序将自动添加, 而不需要 administartor 更新其策略。

 

2016-05-25_13-56-43

 

反过来, 允许应用程序筛选器列出了一系列 "良好" 的特性, 这些特征将被期望用于业务相关的应用程序。

 

allow1

安全配置文件

 

如果您没有威胁预防或野火订阅, 请考虑投资这些产品, 因为安全配置文件使帕洛阿尔托防火墙真正的下一代 (由于并行处理架构扫描的威胁/病毒与远相对于传统的防火墙产品和附加的扫描模块而言, 对吞吐量的影响较小。仔细查看安全配置文件将显示如何从最佳状态中获得最大的信息。

 

虽然预加载的默认安全配置文件对于在很短的时间内设置系统很有用, 但我建议每个管理员都创建新的安全策略。

 

创建新配置文件有几个优点, 因为某些功能只能在自定义配置文件中启用: 您将能够启用数据包捕获, 以获取可进行法医分析的漏洞。可以在反间谍软件中启用 dns 陷网, 通过更改与主机名关联的 dns IP 地址来防止恶意的出站连接, 这不仅阻止了连接, 而且还使跟踪受感染/可疑主机更容易管理员。

 

可以启用更严格的策略来阻止所有类型的威胁, 并且可以为 URL 筛选设置更多的日志记录 (例如, 默认 URL 筛选不会记录允许的浏览会话)。

 

下面我将重点介绍以下几个示例配置文件:

 

自定义防病毒配置文件允许管理员启用数据包捕获, 并且启用了野火 (默认配置文件不包括野火设置)。

 

av jpg

 

自定义反间谍软件配置文件使管理员能够为发送间谍软件的主机设置更具攻击性的方法。这也是可以配置 DNS 设置的地方: "陷坑" 将确保恶意域使用模拟 IP 地址中毒, 从而防止 c 和 c 通信或下载恶意负载。

 

进一步的操作还将使跟踪受感染的客户端更容易。由于恶意 dns 查询可能源自内部 DNS 服务器, 因此 c 和 c 连接将源自原始请求程序 (受感染的主机)。

 

如果您有任何外部动态阻止列表, 也可以将它们添加到配置文件中, 并设置为 "陷坑" 或其他操作。

 

为. jpg

 

在自定义漏洞配置文件中, 管理员可以选择在一定的时间段内阻止 IP 地址, 并包括低和信息严重程度的威胁, 而不包括在默认配置文件中。

 

副总裁 jpg

 

在 URL 筛选中, 可以将所有允许的类别设置为 "警报", 以确保为阻止和允许的浏览会话存储日志。还可以从自定义 URL 筛选配置文件启用其他设置, 如 "安全搜索强制"。

 

url1

 

我已经介绍了一些有趣的文件类型阻止, 为什么在不同的文章和视频:提示从领域: 文件阻止配置文件.

 

FB

 

我希望这些信息是有用的。随意离开下面的所有评论。

 

此致敬意

收割者
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmACAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language