Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Všeobecné princípy:
* Princíp najmenších privilégií: Povoľte iba potrebnú premávku. Blokovať všetko ostatné.
* Defth do hĺbky: Využívajte viac vrstiev bezpečnosti vrátane firewall, antivírusu, systémov detekcie/prevencie vniknutia a silných hesiel.
* Pravidelné aktualizácie: Udržujte svoj softvér firewall a jeho pravidlá aktualizované najnovšími bezpečnostnými záplatmi.
Konkrétne nastavenia brány firewall (upravte sa na základe vašich konkrétnych potrieb):
* Prichádzajúce pripojenia: Byť mimoriadne reštriktívny. Všeobecne by ste mali povoliť prichádzajúce pripojenia absolútne nevyhnutné pre zamýšľanú funkciu zariadenia/systému vo verejnej sieti. Môže to zahŕňať:
* ssh (port 22): Ak potrebujete vzdialený prístup (použite silné overovanie, ako sú páry kľúčov, nie heslá). Zvážte obmedzenie prístupu k konkrétnym adresám IP.
* https (port 443): Pre bezpečné prehliadanie webu (už spravidla prehliadače zvyčajne).
* konkrétne aplikačné porty: Ak prevádzkujete serverovú aplikáciu, ktorá potrebuje akceptovať prichádzajúce pripojenia (napr. Webový server, databázový server), otvorte iba potrebné porty. Opatrne zvážte použitie reverzného servera proxy na pridanie ďalšej vrstvy zabezpečenia.
* icmp (ping): Často umožňuje základnú diagnostiku siete, ale zvážte jej zakázanie, ak to nie je potrebné.
* Odchádzajúce spojenia: Vo všeobecnosti menej reštriktívne, ale stále prospešné pre monitorovanie. Zatiaľ čo blokovanie odchádzajúcich spojení je mimoriadne ťažké a často nepraktické, môžete monitorovať a odhaliť odchádzajúce spojenia na zisťovanie podozrivej aktivity. Možno budete chcieť zvážiť blokovanie odchádzajúcich pripojení k známym škodlivým adresám IP alebo domén.
* Preklad siete Adresa (NAT): To je rozhodujúce. NAT skrýva vaše interné adresy IP z verejného internetu, čo útočníkov sťažuje priamo za zameranie vašich zariadení. Väčšina smerovačov predvolene implementuje NAT.
* Štátna kontrola: Povoľte túto funkciu. Sleduje stav sieťových pripojení, čo umožňuje iba odpovede na predtým začaté žiadosti, čím bráni mnohým neoprávneným prichádzajúcim pripojeniam.
* Protokolovanie: Povoľte podrobné protokolovanie všetkých udalostí brány firewall. Toto poskytuje cennú audit stopu pre riešenie problémov a analýzu bezpečnosti. Pravidelne skúmajte tieto protokoly.
* detekcia/prevencia vniknutia (IDS/IPS): Zvážte použitie systému IDS/IPS v spojení s vaším firewall, aby ste vylepšili bezpečnosť. Môžu zistiť a blokovať škodlivé dopravné vzory.
Konkrétne príklady obmedzených portov:
* port 21 (ftp): Namiesto toho použite SFTP (protokol prenosu súborov SSH).
* port 23 (telnet): Mimoriadne neisté, nikdy ho nepoužívajte. Namiesto toho použite SSH.
* port 25 (SMTP): Často blokované verejnými sieťami, aby sa zabránilo spamu. Použite zabezpečný e -mailový server.
* Väčšina ostatných portov pod 1024: Zvyčajne sú vyhradené pre známe služby. Pokiaľ nemáte veľmi špecifickú potrebu a nerozumiete rizikám, nechajte ich zatvorené.
Dôležitá poznámka: Tieto nastavenia sú východiskovým bodom. Konkrétna konfigurácia, ktorú potrebujete, bude závisieť od vašej konkrétnej siete a bezpečnostných požiadaviek. Ak si nie ste istí príslušné nastavenia pre vaše prostredie, poraďte sa s profesionálom v oblasti bezpečnosti. Nesprávna konfigurácia firewall môže nechať váš systém zraniteľný.