访问控制最佳实践
访问控制策略是保护内部网络和防止用户访问不良外部网络资源(例如不良网站)的主要工具。因此,我们建议您特别注意此策略并对其进行调整,以实现所需的保护和连接级别。
以下程序概述您应对访问控制策略执行的基本操作。这只是一个概述,并不介绍执行每个任务的详尽步骤。
要进入访问控制策略,请选择。
过程
|
步骤 1 |
配置策略的默认操作。 默认操作处理不与策略中的特定规则匹配的连接。默认情况下,此操作为阻止,以便阻止规则中遗漏的任何流量。因此,您只需要编写允许所需流量的访问控制规则。这是配置访问控制策略的传统方式。 您可以执行相反的操作,即在默认情况下允许流量,并编写丢弃已知不良流量的规则,这样您就无需为要允许的所有流量制定规则。这样更便于使用新服务,但会使新不良流量在您不经意间进入网络,构成风险。 |
|
步骤 2 |
点击访问策略设置 (Access Policy Settings) ( 此选项可改进 TLS 1.3 连接的初始应用检测以及 URL 类别和信誉识别。如果未启用此选项,则 TLS 1.3 流量将不与预期规则匹配。此选项还可以提高解密规则的效率。 |
|
步骤 3 |
尽可能少创建访问控制规则。 使用传统防火墙,您可能最终会获得数万条用于 IP 地址和端口的各种组合的规则。借助下一代防火墙,您可以使用高级检测功能并避免这其中的一些细化规则。您设置的规则越少,系统评估流量的速度就越快,您在规则集内查找和修复问题就越容易。 |
|
步骤 4 |
对访问控制规则启用日志记录。 仅当启用日志记录时,系统才会为匹配流量收集统计信息。如果不启用日志记录,您的监控控制面板信息将不准确。 |
|
步骤 5 |
将非常具体的规则放在策略前面,并确保具体规则位置高于任何可以匹配相同连接的更通用的规则。 系统自上而下地评估策略,并应用流量匹配的第一个策略。因此,如果您输入阻止所有流向特定子网的流量的规则,然后在此规则之后设置一条允许访问该子网内的单个 IP 地址的规则,则系统不会允许流量流向该地址,因为第一个规则将阻止它。 此外,应将仅基于传统条件(例如入向/出向接口和源/目标 IP 地址、端口或地理位置)来控制流量的规则放在需要深度检测的规则(例如应用于用户条件、URL 过滤或应用过滤的规则)前面。由于这些规则不需要执行检测,因此将它们放到前面可以让您更快地为与规则匹配的连接做出访问控制决策。 有关更多建议,请参阅访问控制规则顺序最佳实践。 |
|
步骤 6 |
将阻止规则和允许规则配对以控制部分流量。 例如,您可能希望允许大量 HTTP/HTTPS 流量,但需要阻止访问某些不良网站(例如色情或赌博网站)。您可以通过创建以下规则并使其在策略中保持相应先后顺序(例如,规则 11 和 12)来实现此目的。
|
|
步骤 7 |
无论 IP 地址或端口如何,都可使用高级下一代防火墙功能来控制流量。 攻击者或其他恶意行为者可能会频繁更改 IP 地址和端口,以规避传统访问控制流量匹配条件。因此,请改用以下下一代功能:
|
|
步骤 8 |
将入侵检测应用于所有“允许”规则。 下一代防火墙的一个强大功能是,您可以使用同一设备应用入侵检测和访问控制。将入侵策略应用于每个“允许”规则,这样如果确实有攻击通过正常良性路径进入您的网络,您也可以捕获该攻击并丢弃攻击连接。 如果默认操作为“允许”,您还可以对与默认操作匹配的流量应用入侵保护。 |
|
步骤 9 |
此外,还应配置安全智能策略以阻止不良 IP 地址和 URL。 安全智能策略在访问控制策略之前应用,以便可以在系统评估访问控制规则之前阻止不良连接。这可以尽早阻止此类连接,并帮助您降低访问控制规则的复杂性。 |
|
步骤 10 |
考虑实施 SSL 解密策略。 系统不会对加密的流量进行深度检测。如果配置 SSL 解密策略,则访问控制策略将应用于已解密版本的流量。因此,深度检测可以识别攻击(使用入侵策略),并且规则匹配效果更好,因为应用和 URL 过滤会得到更高效的应用。然后,访问控制策略允许的所有流量都会在从设备发送出去之前重新加密,因此最终用户不会失去加密保护。 |
|
步骤 11 |
启用对象组搜索以简化规则的部署。 从版本 7.2 开始,默认情况下会在新部署上启用此功能,但不会在升级后的系统上自动启用。 启用对象组搜索可以降低包含网络对象的访问控制策略的内存要求。但是,请务必注意,对象组搜索还可能会降低规则查找性能,从而提高 CPU 利用率。您应该在 CPU 影响与降低特定访问控制策略的内存要求之间取得平衡。在大多数情况下,启用对象组搜索可提高网络运营性能。 可执行 object-group-search access-control 命令来通过使用 FlexConfig 设置此选项;可在取消模板中使用该命令的 no 形式。 |
反馈