远程工作如何影响防火墙?

2020-10-26 17:03:30 云杰通信 102

远程工作如何影响防火墙?

  不可否认,今年起IT经理必须迅速工作以组建团队进行远程工作。冠状病毒危机迫使我们陷入前所未有的封锁状态,这意味着IT经理不得不让除基本人员以外的所有人员都可以在家工作,有时甚至有数百名员工在异地工作。这给IT经理带来了安全噩梦。

  不仅仅是分发大量公司笔记本电脑的案例。在大多数情况下,硬件根本无法使用,并且公司现在发现自己拥有数十或数百个个人设备,这些设备可以从不同的位置访问敏感信息。公司防火墙的完整性和安全性流程从未如此重要。

  那么,您应该特别注意什么?

  一、您的防火墙承受压力

  公司大规模远程工作方式中,所有这些额外的内部远程用户都对您的防火墙构成了越来越大的威胁。

  作为IT经理,所有这些新设备都从未引起过您的注意,它们是从防火墙后面访问网络的,它们都有自己的应用程序,存储设备和安全措施。这可能会让您不寒而栗。但是,只要防火墙配置正确,网络就应该保持安全。

  二、拒绝一切

  保护您的网络的最佳方法是确保外部网络(尤其是Internet)与内部网络之间没有直接路由。确保您有一个监视所有入站和出站网络连接尝试的系统,并且有一个报告和阻止网络入侵的过程。

  设置访问权限的最佳做法是从“拒绝一切”的位置开始。当您不得不急于让整个团队在不中断业务的情况下在家工作时,这是一个棘手的职位,有些经理可能已选择“允许所有人”访问,以期以后将其锁定,当他们确切知道需要允许什么。这真是愚蠢。对于初学者来说,这以后总是将待办事项锁定在待办事项列表上,通常是从未实施过。其次,只需要一个邪恶的用户就可以造成无休止的破坏。一开始放慢脚步并做正确的事将会带来好处。

  三、服务器安全性

  用户在家里隔离时将要访问服务器,但这并不意味着他们需要不受限制地访问服务器的每个角落。设置一些规则,确定哪些端口允许对服务器进行哪种访问。如果您知道仅在两个TCP(传输控制协议)端口上需要入站流量,请不要创建允许所有入站TCP到该服务器的规则-创建一个仅允许必要端口的规则。

  为了使事情变得容易,您可以在防火墙中创建一个对象组,以包括最终用户通过其连接到网络的所有设备的IP地址。也许您将有一个小组负责会计部门,另一个小组负责营销,另一个小组负责经理或团队负责人。您可以为这些组分配必要的安全性要求(例如,所有Web或电子邮件服务器),并且可以创建一个规则,以允许所有特定端口和协议一次访问整个服务器组。

  四、邮件服务器

  您的用户将比以往任何时候都更加依赖于电子邮件应用程序。除了通常会进行的所有客户端通信之外,他们还将来回查询电子邮件以与同事,团队成员和经理保持联系。因此,确保您的电子邮件服务器在防火墙内正常运行至关重要。

  如果您的公司使用Exchange,则可能是您的RPC(远程过程调用)代理服务器位于外围网络中,而Exchange和其他活动目录服务器位于网络的内部。这有可能引起您一些问题,因为这意味着您的内部防火墙上不必要地打开了更多端口。重新考虑设置,并通过HTTP转发代理(例如ISA服务器)实施RPC,这意味着要定义这些动态分配的端口的范围较窄,从而确保了最安全的配置。

  五、职责分工

  职责分工是针对防火墙内部威胁的最有效控制措施之一。从本质上讲,这意味着组织中没有任何人负责完成关键的工作职能。具有可完成并签名这些功能的伙伴系统将以可能导致关键功能停止的方式最大程度地降低以某个人(或其设备)为目标的机会。可以通过使用体系结构安全性控制(尤其是内部防火墙)来支持职责分离。

  重要的是要注意,职责分离对于最终用户可能会令人发指。如果操作正确,不满意的用户几乎不可能规避这些协议,但是您仍应尝试使这些过程尽可能轻松。

  六、关闭未使用的服务

  如今,有许多方法可以配置良好的网络,并且您的公司将拥有自己的处事方式。但是,您可以养成一些良好的习惯,这将为您的内部防火墙提供最佳保护。

  无疑,您的远程工作人员现在将通过安全的VPN连接到您的公司网络。但是,为了进一步降低您环境中的风险,您应该考虑应用程序和服务强化。熟悉各种服务所需的端口,然后卸载或禁用那些未使用的端口。这将减少不必要的暴露。

  七、检查您的出站流量

  在许多防火墙中,出站流量的默认策略是允许语法上正确的任何源地址。对于任何网络,无论其大小如何,这都是过分允许的,并且可能导致IT经理发生各种形式的安全难题。

  至少,您应该配置执行以下操作的策略:

  1.阻止欺骗IP地址

  2.只允许来自您实际使用的地址空间的流量

  3.阻止没有业务建立与互联网服务器的客户端连接的VLAN网段的出站流量

  4.了解在Internet防火墙部署中使用第2层防火墙的含义

  5.阻止具有DROP列出的目的地的出站流量

  八、沟通风险

  要确保网络安全,您可以做的最简单,最重要的事情之一就是教育所有工作人员有关与远程访问相关的各种风险。让他们了解最新的网络钓鱼和恶意软件骗局。确保他们知道他们只应登录到受信任的站点,尤其是如果他们要使用家庭笔记本电脑访问您的公司网络时,尤其如此。如果您还没有,则需要制定一份远程工作策略,并与您的团队共享(连同任何必要的培训),以便他们了解您对他们的要求,并了解其中的重要性。遵守。

  云杰通信为各种规模的企业提供了一系列防火墙专线解决方案。我们所有的数据中心、服务器防火墙都基于久经考验的硬件,并且经过预先配置和全面管理。我们的每个专线防火墙都为您提供完整的统一威胁管理的安全性,并且包括病毒扫描,反垃圾邮件,Web过滤和入侵防御作为标准配置。我们还可以为进一步的安全措施提供支持,例如灾难恢复(DRaaS),以提供全方位的保护性解决方案。