5
Sinnvolle Organisation eines größeren Regelwerkes (300 - 500)
Hallo,
nachdem wir nun eine Analyse der Regelwerke und des tatsächlichen Datenflusses haben wollen wir nun das Regelwerk unserer Firewall neu Aufbauen.
Nun stellt sich uns die Frage was eine Angemessene Art wäre Firewall Regeln zu erstellen bzw. zusammenzufassen:
- Nach Destination (IP)
- Nach Destination Port
- Nach Funktion
- ...
Wir betreuen ein Netz aus ca. 40 /24 Netze
In der Regel braucht ein Standort Clientnetz Zugriff auf ca. 50 Systeme. Wir betreuen 6 Standorte. Dazu kommt noch der Traffic innerhalb der Servernetze.
Grob geschätzt währen es für die Clientnetze, wenn man nur nach Destination Regeln machen würde, ca. 300 Regeln + Summe x.
Überschlagen würden es dann ev. 500 Regeln werden.
Hat jemand Erfahrung hier mit solch größeren Regelwerken, wie organisiert ihr eure Regeln.
nachdem wir nun eine Analyse der Regelwerke und des tatsächlichen Datenflusses haben wollen wir nun das Regelwerk unserer Firewall neu Aufbauen.
Nun stellt sich uns die Frage was eine Angemessene Art wäre Firewall Regeln zu erstellen bzw. zusammenzufassen:
- Nach Destination (IP)
- Nach Destination Port
- Nach Funktion
- ...
Wir betreuen ein Netz aus ca. 40 /24 Netze
In der Regel braucht ein Standort Clientnetz Zugriff auf ca. 50 Systeme. Wir betreuen 6 Standorte. Dazu kommt noch der Traffic innerhalb der Servernetze.
Grob geschätzt währen es für die Clientnetze, wenn man nur nach Destination Regeln machen würde, ca. 300 Regeln + Summe x.
Überschlagen würden es dann ev. 500 Regeln werden.
Hat jemand Erfahrung hier mit solch größeren Regelwerken, wie organisiert ihr eure Regeln.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4456433998
Url: https://administrator.de/contentid/4456433998
Ausgedruckt am: 23.11.2024 um 14:11 Uhr
5 Kommentare
Neuester Kommentar
Hi.
In der Regel arbeitet man hier mit (geschachtelten) Zonen. Den Zonen sind IP-Bereiche/Interfaces zugeordnet. Das Regelwerk wird dann ausschließlich mittels Policy auf die Zonen angewendet, so dass man möglichst wenig am Regelwerk selbst dafür aber an den Mitgliedschaften zu den Zonen arbeitet. Wenn also ein Standort hinzukommt fügt man die IP-Bereiche/Interfaces einer bestimmten Zone zu und das wars dann meist schon. Für benutzerdefinierten Inter-Zone-Traffic aus der Reihe erstellt man dann eine extra Inter-Zone-Policy für das Ausnahme-Regelwerk zwischen den beteiligten Devices.
Gruß Strods
In der Regel arbeitet man hier mit (geschachtelten) Zonen. Den Zonen sind IP-Bereiche/Interfaces zugeordnet. Das Regelwerk wird dann ausschließlich mittels Policy auf die Zonen angewendet, so dass man möglichst wenig am Regelwerk selbst dafür aber an den Mitgliedschaften zu den Zonen arbeitet. Wenn also ein Standort hinzukommt fügt man die IP-Bereiche/Interfaces einer bestimmten Zone zu und das wars dann meist schon. Für benutzerdefinierten Inter-Zone-Traffic aus der Reihe erstellt man dann eine extra Inter-Zone-Policy für das Ausnahme-Regelwerk zwischen den beteiligten Devices.
Gruß Strods
4
Würde mich auch interessieren nach welchen Kriterien andere sortieren.
Bei uns läuft es im Grunde ähnlich wie schon gesagt wurde.
Bei uns läuft es im Grunde ähnlich wie schon gesagt wurde.
Moin @failsafe,
ja und das mit der Gruppierung im Sinne einer so gut es Zusammenfassung, sprich, weniger Regeln, finde ich ehrlich gesagt keine gute Idee, da man dadurch zwangsläufig Gefahr läuft, zu viel freizugeben.
Wir Gruppiere unsere regeln zwar auch, aber nur im Sinne einer Sortierung, sprich alle Regeln die von einem bestimmten Netz/VLAN kommen und zu einem bestimmten anderen Netz/VLAN gehen, werden unter der selben Gruppe zwecks Übersichtlichkeit abgelegt. Ansonsten versuchen wir das Regelwerk so fein wie möglich zu erstellen und dabei sind paar hundert Regeln eigentlich nichts wirklich ungewöhnliches.
Gruss Alex
Hat jemand Erfahrung hier mit solch größeren Regelwerken, wie organisiert ihr eure Regeln.
ja und das mit der Gruppierung im Sinne einer so gut es Zusammenfassung, sprich, weniger Regeln, finde ich ehrlich gesagt keine gute Idee, da man dadurch zwangsläufig Gefahr läuft, zu viel freizugeben.
Wir Gruppiere unsere regeln zwar auch, aber nur im Sinne einer Sortierung, sprich alle Regeln die von einem bestimmten Netz/VLAN kommen und zu einem bestimmten anderen Netz/VLAN gehen, werden unter der selben Gruppe zwecks Übersichtlichkeit abgelegt. Ansonsten versuchen wir das Regelwerk so fein wie möglich zu erstellen und dabei sind paar hundert Regeln eigentlich nichts wirklich ungewöhnliches.
Gruss Alex
Moin,
Gerade east-west Bedarf in der Regel große, leistungsstarke Firewalls. Weil der Traffic zwischen Servern in einem DC in der Regel doch sehr umfangreich ist. In der Regel sind das auch zwei getrennte Systeme/Geräte. Um die Last besser zu verteilen als auch die Performance zu gewährleisten.
Wir fassen Regeln nur zusammen, wenn Port identisch ist. Wenn es bei Ports wie z.B. DCs weitere Ports hinzugeben, wird eine dedizierte Regel erstellt. Ansonsten gibt es getrennte Regeln - ohne Ausnahme. Weil zusammenfassen von Regeln ist einfacher, als später zusammenfasste Regeln wieder zu trennten.
Gruß,
Dani
Hat jemand Erfahrung hier mit solch größeren Regelwerken, wie organisiert ihr eure Regeln.
groß ist relativ... In der Regel braucht ein Standort Clientnetz Zugriff auf ca. 50 Systeme. Wir betreuen 6 Standorte. Dazu kommt noch der Traffic innerhalb der Servernetze.
Grundsätzlich muss man zwischen north-south und east-west Verbindungen/Traffic unterscheiden.Gerade east-west Bedarf in der Regel große, leistungsstarke Firewalls. Weil der Traffic zwischen Servern in einem DC in der Regel doch sehr umfangreich ist. In der Regel sind das auch zwei getrennte Systeme/Geräte. Um die Last besser zu verteilen als auch die Performance zu gewährleisten.
Nun stellt sich uns die Frage was eine Angemessene Art wäre Firewall Regeln zu erstellen bzw. zusammenzufassen:
Nach Destination (IP)
- Nach Destination PortNach Destination (IP)
Wir fassen Regeln nur zusammen, wenn Port identisch ist. Wenn es bei Ports wie z.B. DCs weitere Ports hinzugeben, wird eine dedizierte Regel erstellt. Ansonsten gibt es getrennte Regeln - ohne Ausnahme. Weil zusammenfassen von Regeln ist einfacher, als später zusammenfasste Regeln wieder zu trennten.
Gruß,
Dani
Supi,
Eine Firewall die Zonen unterstützt haben wir im Moment noch nicht im Einsatz. Wird dann aber wohl noch kommen.
OK ich hätte jetzt auch dezidierte Regeln gemacht und diese dann logisch in Übersichtsgruppen zusammengefasst.
Leistung haben wir im Moment noch genug im Cluster, daher sollte das gehen.
Eine Firewall die Zonen unterstützt haben wir im Moment noch nicht im Einsatz. Wird dann aber wohl noch kommen.
OK ich hätte jetzt auch dezidierte Regeln gemacht und diese dann logisch in Übersichtsgruppen zusammengefasst.
Leistung haben wir im Moment noch genug im Cluster, daher sollte das gehen.
