大企業向けのファイアウォール設計
最近のほとんどのネットワークで有効にする必要のあるベストプラクティスのファイアウォールルールがあるかどうか疑問に思っています。
たとえば、ネットワークには少なくとも次のファイアウォールゾーンが必要ですか?
- クライアントネットワーク
- DMZ
- 顧客対応ネットワーク(インターネット)
ゾーン自体だけでなく、ゾーン内(個々のサーバー上)にもファイアウォールを維持および維持することがベストプラクティスと見なされますか?
ファイアウォールのベストプラクティス設計に関するヒントを教えてください。
詳細はニーズによって異なるため、ここでは「最良」という言葉はおそらく適切ではありませんが、エンタープライズレベルの金融サービス組織の「標準的な」業界慣行(優れたベンチマーク)には次のものが含まれます。
特定の主要資産(通常は顧客データベース、人事データ、財務データ)用に分離されたアクセス制御サブネットを備えたクライアントネットワーク
- [〜#〜]ファイアウォール[〜#〜]
複数のDMZ-通常、機能またはリスクプロファイルのいずれかで分割されます(例:a DMZトランザクションサービス用、1つはスタッフのリモートアクセス用、もう1つはサードパーティ接続用)
- [〜#〜]ファイアウォール[〜#〜]
インターネット、リモートクライアントなど
ファイアウォールは、攻撃者が両方を通過するのにかかる時間を増やすために、ジュニパー、シスコ、チェックポイントなどのさまざまなベンダーのものである必要があります(2つのエクスプロイトが必要になります)
ネットワークには少なくとも次のファイアウォールゾーンが必要ですか?
必ずしも。
ただし、これはかなり一般的なモデルです。
(通常のすべてのセキュリティ対策に加えて)お勧めします
- すべてのマシンにOSファイアウォールを実装し、必要に応じて専用のファイアウォールデバイスを使用する
- oSとネットワークデバイスに適切な出力フィルタリングを実装する
また、ルーティングを正しく設定することは、ネットワークセキュリティの重要な部分です。