इंटरनेट और वैन फ़ायरवॉल नीतियाँ - सर्वोत्तम प्रथाएं

जब आप कोई नियम बनाते हैं, तो उसे एक विशिष्ट और अद्वितीय नाम दें। स्वयं व्याख्यात्मक नियम नाम टीम के अन्य प्रशासकों को नियम का उद्देश्य आसानी से समझने देते हैं। खराब नाम वाले नियम गलतियों का कारण बन सकते हैं और भ्रम उत्पन्न कर सकते हैं।

उदाहरण के लिए, जुआ वेबसाइटों को ब्लॉक करने वाले इंटरनेट फ़ायरवॉल नियम का नाम जुआ ब्लॉक करें रखें, अस्पष्ट ब्लॉक की गई वेबसाइटें के बजाय।

प्रत्येक व्यक्तिगत फ़ायरवॉल नियम को निष्क्रिय या सक्रिय किया जा सकता है। हालांकि, हम अनुशंसा करते हैं कि आप नियमों को केवल थोड़े समय के लिए निष्क्रिय करें। जो नियम अप्रचलित हैं और अब उपयोग में नहीं हैं, उन्हें निष्क्रिय करने के बजाय उन्हें नियम आधार से हटा दें। निष्क्रिय किए गए नियम नियम आधार को अधिक जटिल और प्रबंधित करना कठिन बनाते हैं।

जब आप कोई फ़ायरवॉल नियम बनाते हैं, तो उपयोगकर्ताओं या साइट्स के एक समूह का उपयोग करें और इस समूह के सदस्यों के लिए नेटवर्क एक्सेस को प्रतिबंधित करें। उदाहरण के लिए, आप उपयोगकर्ताओं के एक समूह (संसाधन > समूह) बना सकते हैं और केवल इस समूह के लिए इंटरनेट एक्सेस को ब्लॉक कर सकते हैं।

इंटरनेट तक पहुंच की अनुमति देने वाले नियमों के लिए, हम सुझाव देते हैं कि आप विकल्प कोई भी के बजाय स्रोत स्तंभ में एक विशिष्ट साइट, होस्ट या उपयोगकर्ता चुनें। जो नियम इंटरनेट पर कोई भी ट्रैफ़िक की अनुमति देते हैं वे एक संभावित सुरक्षा जोखिम हैं क्योंकि आप अनपेक्षित स्रोतों से ट्रैफ़िक की अनुमति दे रहे हैं।

निम्नलिखित स्क्रीनशॉट एक नियम दिखाता है जहां स्रोत स्तंभ को समूहों सभी साइट्स और सभी SDP उपयोगकर्ता के लिए सेट किया गया है बजाय कोई भी के:

जब किसी विशिष्ट सेवा या पोर्ट के लिए किसी भी इंटरनेट आउटबाउंड ट्रैफ़िक की अनुमति देने वाले फ़ायरवॉल नियमों को कॉन्फिगर करना आवश्यक हो, तो हम सुझाव देते हैं कि आप संभावित सुरक्षा जोखिम वाली श्रेणियों या अनुप्रयोगों को ब्लॉक करें।

उदाहरण के लिए, यदि आपके पास एक नियम है जो सभी HTTP ट्रैफ़िक की अनुमति देता है, तो निम्नलिखित श्रेणियों के लिए नियम में अपवाद जोड़ें: धोखाधड़ी, जुआ, हिंसा और घृणा, पार्क किए गए डोमेन्स, नग्नता, हथियार, यौन शिक्षा, पंथ और गुमनाम उपकरण। ये श्रेणियों के उदाहरण हैं जो दुर्भावनापूर्ण सामग्री हो सकते हैं, और अपवाद इन श्रेणियों के लिए इंटरनेट एक्सेस रोकता है।

सामान्य रूप से, हम सिफारिश करते हैं कि जिन नियमों से इंटरनेट ट्रैफ़िक की अनुमति है, वे नियमित सादा पाठ प्रोटोकॉल के बजाय सुरक्षित एन्क्रिप्टेड प्रोटोकॉल का उपयोग करें। उदाहरण के लिए, FTP के बजाय FTPS का उपयोग करें, या Telnet या SNMP के बजाय SSH का उपयोग करें। सुरक्षित प्रोटोकॉल के साथ अनुमति प्राप्त इंटरनेट ट्रैफ़िक एन्क्रिप्टेड होता है और हैकर्स के लिए इसे इंटरसेप्ट करना और डिक्रिप्ट करना अत्यंत कठिन होता है।

यदि आपके पास नियम है जो मामूली सुरक्षा जोखिम वाली वेबसाइटों तक पहुँच की अनुमति देता है, तो हम प्रॉम्प्ट कार्रवाई के बजाय अनुमति दें का सुझाव देते हैं। जब उपयोगकर्ता इन वेबसाइटों में से एक पर पहुँचने की कोशिश करते हैं, तो प्रॉम्प्ट क्रिया उपयोगकर्ताओं को एक वेब पृष्ठ पर पुनर्निर्देशित करती है, जहां वे यह तय करते हैं कि जारी रखना है या नहीं। क्योंकि ये वेबसाइटें आपके नेटवर्क के लिए सुरक्षा जोखिम बढ़ा सकती हैं, हम अनुशंसा करते हैं कि आप इस नियम से मेल खाने वाले ट्रैफ़िक की घटनाओं को ट्रैक करें।

प्रॉम्प्ट क्रिया के सही कार्य करने के लिए, हम अनुशंसा करते हैं कि आप सभी समर्थित उपकरणों पर Cato प्रमाणपत्र स्थापित करें।

HTTP और HTTPS ट्रैफ़िक की अनुमति देते समय, हम अनुशंसा करते हैं कि आप जोखिमपूर्ण और अनुचित सामग्री वाली वेबसाइट्स को ब्लॉक करें। ये वेबसाइट्स आमतौर पर व्यवसायों द्वारा ब्लॉक की जाती हैं और मैलवेयर के संभावित स्रोत भी हो सकती हैं। प्रत्येक श्रेणी (संसाधन > श्रेणियां) में विभिन्न प्रकार की वेबसाइट्स और ऐप्स शामिल होती हैं जिन्हें आप आसानी से नियमों में जोड़ सकते हैं। श्रेणियों में शामिल होती हैं, उदाहरण के लिए, Botnets, Compromised, Porn, Keyloggers, Malware, Phishing, Spyware, Illegal Drugs, Hacking, SPAM, Questionable।

नियमाधार के शीर्ष पर, सुनिश्चित करें कि वहाँ इंटरनेट ट्रैफ़िक के हिस्से के रूप में सभी डीएनएस सेवाओं की अनुमति देने के लिए एक नियम हो।

निम्नलिखित स्क्रीनशॉट DNS ट्रैफ़िक की अनुमति देने वाले एक नियम का उदाहरण दिखाती है:

अपने खाते द्वारा उपयोग की जाने वाली और इंटरनेट तक पहुँच की आवश्यकता वाली सेवाओं को अनुमति देने के लिए एक नियम बनाएँ। इसके अलावा, यदि ऐसी सेवाएँ हैं जो केवल विशिष्ट साइट के लिए उपयोग की जाती हैं, तो आप केवल उन साइट के लिए पहुँच की अनुमति देने वाला एक अलग नियम बना सकते हैं।

पूर्वनिर्धारित एप्लिकेशन सूची से आपके संगठन द्वारा उपयोग किए जाने वाले अनुप्रयोगों को इंटरनेट फ़ायरवॉल नियमों में जोड़ें। Cato इस सूची को नए अनुप्रयोगों के साथ लगातार अपडेट करता है। यदि आपको किसी ऐसे अनुप्रयोग की आवश्यकता है जो सूची में दिखाई नहीं देता हो, तो आप एक कस्टम अनुप्रयोग परिभाषित कर सकते हैं। कस्टम ऐप्स को कॉन्फ़िगर करने के बारे में अधिक जानकारी के लिए, कस्टम ऐप्स के साथ काम करना देखें।

जैसी सेवाएं Telnet और SNMP v1 & v2 संभावित सुरक्षा जोखिम हैं, और वे इंटरनेट नियमों में ब्लॉक की जा सकती हैं। यदि आपके संगठन को इन सेवाओं तक पहुंच की आवश्यकता है, तो हम अनुशंसा करते हैं कि आप उन विशिष्ट उपयोगकर्ताओं या समूहों के लिए अवरोध नियम में अपवाद जोड़ें।

निम्न स्क्रीनशॉट एक उदाहरण नियम दिखाता है जो Telnet और SNMP ट्रैफिक को ब्लॉक करता है, एक अपवाद के साथ जो IT विभाग के लिए पहुँच की अनुमति देता है:

श्रेणी अवर्गीकृत में वे वेबसाइट्स शामिल हैं जिन्हें श्रेणियों की सूची में किसी मौजूदा श्रेणी में सौंपा नहीं गया है। ये वेबसाइट्स आपके नेटवर्क के लिए एक संभावित सुरक्षा जोखिम हो सकती हैं। एक नियम बनाएँ जो सभी इंटरनेट ट्रैफ़िक के लिए श्रेणी अवर्गीकृत को ब्लॉक करता है।

आप कैटो की आरबीआई सेवा का उपयोग कर सकते हैं ताकि अवर्गीकृत साइटों तक सुरक्षित पहुंच सक्षम हो सके। आरबीआई के बारे में अधिक जानकारी के लिए, देखें Securing Browsing Sessions Through Remote Browser Isolation (RBI)।

कई ऐसे देश हैं जिन्हें दुर्भावनापूर्ण ट्रैफ़िक उत्पन्न करने के लिए जाना जाता है। यदि आपके संगठन का इन देशों के साथ कोई व्यापार नहीं है, तो हम अनुशंसा करते हैं कि आप उनके लिए इंटरनेट पहुंच को ब्लॉक करें और संभावित दुर्भावनापूर्ण ट्रैफ़िक को कम करें। आप देश सेटिंग्स का उपयोग करके ऐप/श्रेणी अनुभाग में निर्दिष्ट देशों के लिए इंटरनेट ट्रैफ़िक को ब्लॉक करने वाला नियम बना सकते हैं।

WAN फ़ायरवॉल के लिए स्वर्णिम नियम केवल इच्छुक ट्रैफ़िक को अनुमति देना है। इन अनुमति नियमों के लिए, उपयोग किए गए विशिष्ट सेवाएं और पोर्ट जोड़ें और WAN फ़ायरवॉल के लिए उन्नत सुरक्षित कनेक्टिविटी प्रदान करें।

निम्न स्क्रीनशॉट एक नमूना वैन फ़ायरवॉल नियम दिखाता है जो सभी ZTNA उपयोगकर्ताओं को डेटा सेंटर साइट तक पहुँचने की अनुमति देता है। यह नियम सुरक्षा में सुधार करता है क्योंकि यह केवल ZTNA उपयोगकर्ताओं के लिए आरडीपी ट्रैफ़िक को अनुमति देता है।

WAN फ़ायरवॉल नियम जो किसी भी स्रोत या गंतव्य की पहुँच को अनुमति देते हैं, वो विशिष्ट साइट्स और उपयोगकर्ताओं की तुलना में कम सुरक्षित होते हैं। अधिक विशिष्ट सेटिंग्स आपको खाता के लिए WAN कनेक्टिविटी के लिए बढ़ा हुआ नियंत्रण प्रदान करती हैं।

निम्नलिखित स्क्रीनशॉट में एक WAN फ़ायरवॉल नियम का उदाहरण दिखाया गया है जो स्रोत और गंतव्य सेटिंग्स में विशिष्ट साइट्स का उपयोग करता है:

एक अनुमति सूची WAN फ़ायरवॉल के लिए एक मजबूत सुरक्षा नीति में वे नियम होते हैं जो केवल आपको संगठन द्वारा उपयोग की जाने वाली विशिष्ट सेवाएं और अनुप्रयोगों की अनुमति देते हैं। साइट्स के बीच ट्रैफ़िक के लिए किसी भी सेवा की अनुमति देने वाले नियमों का उपयोग करने के बजाय, सेवाएं या अनुप्रयोग को इस नियम में जोड़ें। क्योंकि सेवाएं पोर्ट्स की तुलना में अधिक विशिष्ट होती हैं, हम सलाह देते हैं कि जब संभव हो तो पोर्ट्स के बजाय सेवाओं का उपयोग करके नियम परिभाषित करें।

सेवाओं के उदाहरण जिनका अक्सर संगठनों द्वारा उपयोग किया जाता है, उनमें शामिल हैं: DNS, DHCP, SMB, डेटाबेस, Citrix, RDP, DCE/RPC, SMTP, FTP, ICMP, NetBIOS, NTP, SNMP आदि।

एप्लिकेशन के उदाहरण जिनका अक्सर संगठन द्वारा उपयोग किया जाता है, उनमें शामिल हैं: SharePoint, Slack, Citrix ShareFile आदि।

आप एक कस्टम श्रेणी भी बना सकते हैं जिसमें सभी एप्लिकेशन और वैन फ़ायरवॉल के लिए सेवाएं शामिल हैं और फिर इस कस्टम श्रेणी को संबंधित नियमों में जोड़ सकते हैं। फ़ायरवॉल में पूर्वनिर्धारित नहीं किए गए एप्लिकेशन या सेवाओं के लिए कस्टम एप्लिकेशन का उपयोग करें। यह भी इवेंट्स को बेहतर विश्लेषण के लिए एप्लिकेशन का नाम शामिल करने की अनुमति देता है।

ब्लॉकलिस्ट वाई.ए.एन. फ़ायरवॉल के लिए, हम अंतिम कोई भी कोई भी अनुमति दें नियम से ऊपर निम्नलिखित नियम जोड़ने की सिफारिश करते हैं ताकि मजबूत सुरक्षा नीति का निर्माण करने में मदद की जा सके: