failsafe
Goto Top

Sinnvolle Organisation eines größeren Regelwerkes (300 - 500)

Hallo,

nachdem wir nun eine Analyse der Regelwerke und des tatsächlichen Datenflusses haben wollen wir nun das Regelwerk unserer Firewall neu Aufbauen.

Nun stellt sich uns die Frage was eine Angemessene Art wäre Firewall Regeln zu erstellen bzw. zusammenzufassen:

- Nach Destination (IP)
- Nach Destination Port
- Nach Funktion
- ...

Wir betreuen ein Netz aus ca. 40 /24 Netze

In der Regel braucht ein Standort Clientnetz Zugriff auf ca. 50 Systeme. Wir betreuen 6 Standorte. Dazu kommt noch der Traffic innerhalb der Servernetze.

Grob geschätzt währen es für die Clientnetze, wenn man nur nach Destination Regeln machen würde, ca. 300 Regeln + Summe x.

Überschlagen würden es dann ev. 500 Regeln werden.

Hat jemand Erfahrung hier mit solch größeren Regelwerken, wie organisiert ihr eure Regeln.

Content-ID: 4456433998

Url: https://administrator.de/forum/sinnvolle-organisation-eines-groesseren-regelwerkes-300-500-4456433998.html

Ausgedruckt am: 25.12.2024 um 08:12 Uhr

13910172396
13910172396 02.08.2024 aktualisiert um 20:13:07 Uhr
Goto Top
Hi.
In der Regel arbeitet man hier mit (geschachtelten) Zonen. Den Zonen sind IP-Bereiche/Interfaces zugeordnet. Das Regelwerk wird dann ausschließlich mittels Policy auf die Zonen angewendet, so dass man möglichst wenig am Regelwerk selbst dafür aber an den Mitgliedschaften zu den Zonen arbeitet. Wenn also ein Standort hinzukommt fügt man die IP-Bereiche/Interfaces einer bestimmten Zone zu und das wars dann meist schon. Für benutzerdefinierten Inter-Zone-Traffic aus der Reihe erstellt man dann eine extra Inter-Zone-Policy für das Ausnahme-Regelwerk zwischen den beteiligten Devices.

Gruß Strods
Spirit-of-Eli
Spirit-of-Eli 03.08.2024 um 17:37:03 Uhr
Goto Top
Würde mich auch interessieren nach welchen Kriterien andere sortieren.
Bei uns läuft es im Grunde ähnlich wie schon gesagt wurde.
MysticFoxDE
MysticFoxDE 04.08.2024 um 19:30:27 Uhr
Goto Top
Moin @failsafe,

Hat jemand Erfahrung hier mit solch größeren Regelwerken, wie organisiert ihr eure Regeln.

ja und das mit der Gruppierung im Sinne einer so gut es Zusammenfassung, sprich, weniger Regeln, finde ich ehrlich gesagt keine gute Idee, da man dadurch zwangsläufig Gefahr läuft, zu viel freizugeben.

Wir Gruppiere unsere regeln zwar auch, aber nur im Sinne einer Sortierung, sprich alle Regeln die von einem bestimmten Netz/VLAN kommen und zu einem bestimmten anderen Netz/VLAN gehen, werden unter der selben Gruppe zwecks Übersichtlichkeit abgelegt. Ansonsten versuchen wir das Regelwerk so fein wie möglich zu erstellen und dabei sind paar hundert Regeln eigentlich nichts wirklich ungewöhnliches.

Gruss Alex
Dani
Dani 05.08.2024 um 13:04:54 Uhr
Goto Top
Moin,
Hat jemand Erfahrung hier mit solch größeren Regelwerken, wie organisiert ihr eure Regeln.
groß ist relativ... face-wink

In der Regel braucht ein Standort Clientnetz Zugriff auf ca. 50 Systeme. Wir betreuen 6 Standorte. Dazu kommt noch der Traffic innerhalb der Servernetze.
Grundsätzlich muss man zwischen north-south und east-west Verbindungen/Traffic unterscheiden.
Gerade east-west Bedarf in der Regel große, leistungsstarke Firewalls. Weil der Traffic zwischen Servern in einem DC in der Regel doch sehr umfangreich ist. In der Regel sind das auch zwei getrennte Systeme/Geräte. Um die Last besser zu verteilen als auch die Performance zu gewährleisten.

Nun stellt sich uns die Frage was eine Angemessene Art wäre Firewall Regeln zu erstellen bzw. zusammenzufassen:
Nach Destination (IP)
- Nach Destination Port

Wir fassen Regeln nur zusammen, wenn Port identisch ist. Wenn es bei Ports wie z.B. DCs weitere Ports hinzugeben, wird eine dedizierte Regel erstellt. Ansonsten gibt es getrennte Regeln - ohne Ausnahme. Weil zusammenfassen von Regeln ist einfacher, als später zusammenfasste Regeln wieder zu trennten.


Gruß,
Dani
failsafe
failsafe 05.08.2024 um 15:54:40 Uhr
Goto Top
Supi,

Eine Firewall die Zonen unterstützt haben wir im Moment noch nicht im Einsatz. Wird dann aber wohl noch kommen.

OK ich hätte jetzt auch dezidierte Regeln gemacht und diese dann logisch in Übersichtsgruppen zusammengefasst.

Leistung haben wir im Moment noch genug im Cluster, daher sollte das gehen.