ইন্টারনেট এবং WAN ফায়ারওয়াল নীতিমালা – সর্বোত্তম অনুশীলন

যখন আপনি একটি নিয়ম তৈরি করেন, তখন এটিকে একটি নির্দিষ্ট এবং অনন্য নাম দিন। স্বচ্ছতাবদ্ধ নিয়ম নামগুলি দলের অন্যান্য প্রশাসকগণকে নিয়মের উদ্দেশ্য সহজে বুঝতে দেয়। দুর্বলভাবে নামকৃত নিয়মগুলি ভুলের কারণে হতে পারে এবং বিভ্রান্তি তৈরি করতে পারে।

উদাহরণস্বরূপ, ইন্টারনেট ফায়ারওয়ালের একটি নিয়মকে নাম দিন যা জুয়ার ওয়েবসাইটগুলিকে জুয়া ব্লক করুন ব্লক করে সন্বন্ধে, অস্পষ্ট অবরুদ্ধ ওয়েবসাইটগুলি পরিবর্তে।

প্রতিটি ব্যক্তিগত ফায়ারওয়াল নিয়ম নিষ্ক্রিয় বা সক্রিয় করা যেতে পারে। তবে, আমরা আপনাকে পরামর্শ দেই যে আপনি নিয়মগুলি শুধুমাত্র অল্প সময়ের জন্য নিস্ক্রিয় করুন। যে নিয়মগুলি অপ্রচলিত এবং আর ব্যবহার হয় না, তাদের নিয়মের ভিত্তি থেকে মুছুন, নিষ্ক্রিয় করার পরিবর্তে। নিস্ক্রিয় নিয়মগুলি নিয়মের ভিত্তি আরও জটিল করে তোলে এবং পরিচালনা করা কঠিন করে।

যখন আপনি একটি ফায়ারওয়াল নিয়ম তৈরি করেন, ব্যবহারকারীদের বা সাইটগুলির একটি গ্রুপ ব্যবহার করুনএবং এই গ্রুপের সদস্যদের জন্য নেটওয়ার্ক অ্যাক্সেস সীমাবদ্ধ করুন। উদাহরণস্বরূপ, আপনি ব্যবহারকারীদের একটি গ্রুপ (সম্পদ > গ্রুপসমূহ) তৈরি করতে পারেন এবং শুধুমাত্র এই গ্রুপের জন্য ইন্টারনেট অ্যাক্সেস ব্লক করতে পারেন।

ইন্টারনেট অ্যাক্সেসের অনুমতি দেয় এমন নিয়মের জন্য, আমরা সুপারিশ করি যে আপনি উৎস কলামে নির্দিষ্ট সাইট, হোস্ট বা ব্যবহারকারী নির্বাচন করুন, যেকোনো অপশন ব্যবহার করার পরিবর্তে। যেসব নিয়ম ইন্টারনেটে যেকোনো ট্রাফিকের অনুমতি দেয়, সেগুলো একটি সম্ভাব্য নিরাপত্তা ঝুঁকি কারণ আপনি অপ্রত্যাশিত উৎস থেকে ট্রাফিকের অনুমতি দিচ্ছেন।

নিম্নলিখিত স্ক্রিনশট একটি নিয়ম দেখায় যেখানে উৎস কলাম গ্রুপগুলি সব সাইট এবং সব SDP ব্যবহারকারী সেট করা হয়েছে যেকোনো এর পরিবর্তে:

যখন একটি নির্দিষ্ট সেবা বা পোর্টের জন্য যেকোনো ইন্টারনেট বাইরের ট্রাফিকের অনুমতি দেওয়া ফায়ারওয়াল নিয়ম কনফিগার করা প্রয়োজন হয়, তখন আমরা পরামর্শ দিই যে আপনি ঝুঁকিপূর্ণ নিরাপত্তা ঝুঁকিতে থাকা বিভাগ বা অ্যাপ্লিকেশনগুলি ব্লক করুন।

উদাহরণস্বরূপ, যদি আপনার এমন একটি নিয়ম থাকে যা সমস্ত এইচটিটিপি ট্রাফিকের অনুমতি দেয়, তাহলে নিয়মের জন্য এমন বিভাগে ব্যতিক্রম যোগ করুন: চিটিং, জুয়া, সহিংসতা এবং বিদ্বেষ, পার্কড ডোমেইন, নগ্নতা, অস্ত্র, যৌন শিক্ষা, কাল্টস এবং এনোনিমাইজার। এগুলো এমন বিভাগের উদাহরণ যা ক্ষতিকারক বিষয়বস্তু থাকতে পারে, এবং ব্যতিক্রম এই বিভাগগুলির জন্য ইন্টারনেট অ্যাক্সেস ব্লক করে।

সাধারণভাবে, আমরা সুপারিশ করি যে যেসব নিয়ম ইন্টারনেট ট্রাফিকের অনুমতি দেয় তাদের জন্য, নিয়মিত সাধারণ টেক্সট প্রোটোকলের পরিবর্তে সুরক্ষিত এনক্রিপ্টেড প্রোটোকল ব্যবহার করুন। উদাহরণস্বরূপ, FTP এর পরিবর্তে FTPS ব্যবহার করুন, বা টেলনেট বা SNMP এর পরিবর্তে SSH ব্যবহার করুন। নিরাপদ প্রোটোকলের সাথে যেসব ইন্টারনেট ট্রাফিকের অনুমতি দেওয়া হয় তা এনক্রিপ্টেড হয় এবং হ্যাকারদের জন্য এটি শনাক্ত এবং ডিক্রিপ্ট করা খুবই কঠিন হয়।

যদি আপনার এমন কোনো নিয়ম থাকে যা কম ঝুঁকিপূর্ণ ওয়েবসাইটগুলিতে অ্যাক্সেসের অনুমতি দেয়, তাহলে আমরা প্রম্পট কার্যক্রমের পরিবর্তে প্রম্পট ব্যবহার করার সুপারিশ করি। যখন ব্যবহারকারীগণ এই ওয়েবসাইটগুলির একটিতে প্রবেশ করার চেষ্টা করেন, প্রম্পট কার্যক্রম তাদের একটি ওয়েব পৃষ্ঠায় পুনঃনির্দেশিত করে যেখানে তারা চালিয়ে যাওয়ার সিদ্ধান্ত নেয়। কারণ এই ওয়েবসাইটগুলি আপনার নেটওয়ার্কের জন্য নিরাপত্তা ঝুঁকি বৃদ্ধি করে, আমরা এটির সাথে মিলে যাওয়া ট্রাফিকের ঘটনাগুলি ট্র্যাক করার সুপারিশ করি।

প্রম্পট কার্যক্রমটি সঠিকভাবে কাজ করার জন্য, আমরা আপনাকে সমর্থিত সমস্ত ডিভাইসে Cato সার্টিফিকেট ইনস্টল করার সুপারিশ করি।

এইচটিটিপি এবং HTTPS ট্রাফিকের অনুমতি দেওয়ার সময়, আমরা সুপারিশ করি যে আপনি ঝুঁকিপূর্ণ এবং অনুপযুক্ত সামগ্রীর ওয়েবসাইটগুলি ব্লক করুন। এই ওয়েবসাইটগুলি সাধারণত ব্যবসার দ্বারা ব্লক করা হয় এবং ম্যালওয়্যারের সম্ভাব্য উৎসও হতে পারে। প্রতিটি ক্যাটাগরি (সম্পদ > বিভাগসমূহ) বিভিন্ন ধরনের ওয়েবসাইট এবং অ্যাপ্লিকেশন অন্তর্ভুক্ত করে যা আপনি নিয়মগুলিতে সহজে যোগ করতে পারেন। ক্যাটাগরিগুলি অন্তর্ভুক্ত করে, উদাহরণস্বরূপ, বটনেট, কম্প্রোমাইজড, পর্ন, কীলগারস, ম্যালওয়্যার, ফিশিং, স্পাইওয়্যার, অবৈধ ড্রাগস, হ্যাকিং, স্প্যাম, আপত্তিজনক।

নিয়মাধারের শীর্ষে, নিশ্চিত করুন যে সমস্ত DNS সেবাসমূহের অনুমতি দেওয়ার জন্য একটি নিয়ম রয়েছে যা ইন্টারনেট ট্রাফিকের অংশ।

নিম্নলিখিত স্ক্রিনশটটি DNS ট্রাফিকের অনুমতি দেওয়া একটি নিয়মের উদাহরণ দেখায়:

আপনার অ্যাকাউন্ট দ্বারা ব্যবহৃত এবং ইন্টারনেটে অ্যাক্সেস প্রয়োজন এমন সেবাসমূহের অনুমতি দেওয়ার জন্য একটি নিয়ম তৈরি করুন। অতিরিক্তভাবে, যদি এমন সেবাসমূহ থাকে যা কেবল নির্দিষ্ট সাইটের জন্য ব্যবহৃত হয়, তাহলে আপনি সেই সাইটগুলির জন্য কেবলমাত্র অ্যাক্সেসের অনুমতি দেয় এমন একটি পৃথক নিয়ম তৈরি করতে পারেন।

আপনার সংগঠন দ্বারা ব্যবহৃত অ্যাপ্লিকেশনগুলি পূর্বনির্ধারিত অ্যাপ্লিকেশন তালিকা থেকে ইন্টারনেট ফায়ারওয়াল নিয়মগুলিতে যোগ করুন। Cato এই তালিকাটি নতুন অ্যাপ্লিকেশনগুলির সাথে নিয়মিত আপডেট করে। যদি আপনার এমন কোনো অ্যাপ্লিকেশন প্রয়োজন যা তালিকায় উপস্থিত নয়, আপনি একটি কাস্টম অ্যাপ্লিকেশন নির্ধারণ করতে পারেন। কাস্টম অ্যাপ্লিকেশন কনফিগার করার বিষয়ে আরও তথ্যের জন্য, Custom Apps এর সাথে কাজ করা দেখুন।

সেবাসমূহ যেমন টেলনেট এবং এসএনএমপি v1 & v2 সম্ভাব্য নিরাপত্তা ঝুঁকি, এবং এটি ইন্টারনেট নিয়ম বেসে ব্লক করা যেতে পারে। যদি আপনার সংগঠন এই সেবাসমূহে অ্যাক্সেসের প্রয়োজন হয়, তবে আমরা আপনাকে নির্দিষ্ট ব্যবহারকারী বা গ্রুপের জন্য ব্লক নিয়মে একটি ছাড় যোগ করতে সুপারিশ করি।

নীচের স্ক্রীনশটটি উদাহরণ স্বরূপ টেলনেট এবং এসএনএমপি ট্রাফিক ব্লক করা নিয়ম কীভাবে তৈরি করা যায় এবং আইটি বিভাগের জন্য অ্যাক্সেসের ব্যতিক্রম দেখায়।

বিভাগ অবিভাজিত এমন ওয়েবসাইটগুলিকে অন্তর্ভুক্ত করে যেগুলি ক্যাটেগরি তালিকার কোনো বিদ্যমান ক্যাটেগরিতে উল্লেখযোগ্য ভাবে সংযুক্ত হয়নি। এই ওয়েবসাইটটি আপনার নেটওয়ার্কের জন্য একটি সম্ভাব্য নিরাপত্তা ঝুঁকি হতে পারে। সমস্ত ইন্টারনেট ট্রাফিকের জন্য অবিভাজিত ক্যাটেগরি ব্লক করে একটি নিয়ম তৈরি করুন।

আপনি সাইটসমূহ অবিভাজিত নিরাপদ অ্যাক্সেস সক্রিয় করতে ক্যাটো এর RBI সেবা ব্যবহার করতে পারেন। আরবিআই সম্পর্কে আরও তথ্যের জন্য, দেখুন Securing Browsing Sessions Through Remote Browser Isolation (RBI)।

কিছু দেশ রয়েছে যা ক্ষতিকারক ট্রাফিক তৈরি করার জন্য পরিচিত। যদি আপনার সংগঠন এই দেশগুলির সাথে ব্যবসা না করে থাকে, আমরা আপনাকে তাদের জন্য ইন্টারনেট অ্যাক্সেস ব্লক করতে এবং সম্ভাব্য ক্ষতিকারক ট্রাফিক কমানোর সুপারিশ করি। আপনি নির্দিষ্ট দেশগুলির জন্য ইন্টারনেট ট্রাফিক ব্লক করতে অ্যাপ/ক্যাটেগরি বিভাগের দেশ সেটিং ব্যবহার করে একটি নিয়ম তৈরি করতে পারেন।

WAN ফায়ারওয়ালের জন্য সোনার নিয়ম হল শুধুমাত্র প্রয়োজনীয় ট্রাফিককে অনুমতি দেওয়া। এই অনুমতি নিয়মগুলির জন্য, ব্যবহৃত নির্দিষ্ট সেবাসমূহ এবং পোর্টগুলি যোগ করুন এবং WAN ফায়ারওয়ালের জন্য বর্ধিত নিরাপদ সংযোগ প্রদান করুন।

নিচের স্ক্রীনশটটি একটি নমুনা WAN ফায়ারওয়াল নিয়ম দেখায় যা সকল ZTNA ব্যবহারকারীদের জন্য ডেটাসেন্টার সাইটে অ্যাক্সেসের অনুমতি দেয়। এই নিয়মটি নিরাপত্তা উন্নত করে কারণ এটি শুধুমাত্র ZTNA ব্যবহারকারীদের জন্য RDP ট্রাফিকের অনুমতি দেয়।

WAN ফায়ারওয়াল নিয়মগুলি যা যেকোনো উৎস বা গন্তব্যস্থান এ অ্যাক্সেস দেয় তা নির্দিষ্ট সাইট এবং ব্যবহারকারীদের চেয়ে কম নিরাপদ। আরও নির্দিষ্ট সেটিংসগুলি আপনাকে অ্যাকাউন্টের জন্য WAN সংযোগযোগ্যতার জন্য আরও বাড়ানো নিয়ন্ত্রণ প্রদান করে।

নিম্নলিখিত স্ক্রিনশটে একটি WAN ফায়ারওয়াল নিয়মের উদাহরণ দেখানো হয়েছে যা ট্রাফিক উৎস এবং গন্তব্যস্থল সেটিংসে নির্দিষ্ট সাইট ব্যবহার করে:

একটি অনুমোদিত তালিকা WAN ফায়ারওয়াল জন্য একটি শক্তিশালী নিরাপত্তা নীতি শুধুমাত্র আপনার সংগঠন দ্বারা ব্যবহৃত নির্দিষ্ট সেবা এবং অ্যাপ্লিকেশনগুলির নিয়ম অন্তর্ভুক্ত করে। সাইটসমূহের মধ্যে ট্র্যাফিকের জন্য যেকোনো সেবা অনুমোদনের নিয়ম ব্যবহার করার পরিবর্তে, এই নিয়মে সেবা বা অ্যাপ্লিকেশনগুলি যোগ করুন। সেবা পোর্টের চেয়ে নির্দিষ্ট হওয়ায়, আমরা সম্ভব হলে পোর্টের পরিবর্তে সেবা ব্যবহার করে নিয়ম সংজ্ঞায়িত করার সুপারিশ করি।

সংগঠনগুলো দ্বারা প্রায়শই ব্যবহৃত সেবার উদাহরণগুলো হল: DNS, DHCP, SMB, ডেটাবেস, Citrix, RDP, DCE/RPC, SMTP, FTP, ICMP, NetBIOS, NTP, SNMP, ইত্যাদি।

সংগঠনগুলো দ্বারা প্রায়শই ব্যবহৃত অ্যাপ্লিকেশনের উদাহরণগুলি অন্তর্ভুক্ত করে: SharePoint, Slack, Citrix ShareFile ইত্যাদি।

আপনি WAN ফায়ারওয়ালের জন্য সমস্ত অ্যাপ্লিকেশন এবং সেবাসমূহ অন্তর্ভুক্ত করে একটি কাস্টম ক্যাটাগরি তৈরি করতে পারেন এবং তারপর এই কাস্টম ক্যাটাগরি সম্পর্কিত নিয়মগুলিতে যোগ করতে পারেন। অ্যাপ্লিকেশন বা সেবা যে ফায়ারওয়ালে পূর্বনির্ধারিত নয় তার জন্য কাস্টম অ্যাপ্লিকেশন ব্যবহার করুন। এটিও ইভেন্টগুলিকে অধিকতর বিশ্লেষণের জন্য অ্যাপ্লিকেশনের নাম অন্তর্ভুক্ত করার অনুমতি দেয়।

ব্লকলিস্ট WAN ফায়ারওয়ালের জন্য, আমরা একটি শক্তিশালী নিরাপত্তা নীতি তৈরি করতে সহায়তার জন্য চূড়ান্ত যেকোনো যেকোনো অনুমতি নিয়মের উপরে নিম্নলিখিত নিয়মগুলি যোগ করার সুপারিশ করি: