ฉันมีคำถาม 2 ข้อเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดในการจัดการและทบทวนกฎไฟร์วอลล์
บริษัทของเราใช้ PaaS จากผู้ให้บริการโฮสติ้ง พวกเขากำลังจัดการไฟร์วอลล์ (Fortigate) เราจำเป็นต้องรู้ว่ากฎใดที่เรามีและจัดระเบียบกระบวนการเปลี่ยนแปลงกฎไฟร์วอลล์ เห็นได้ชัดว่ามีการใช้ไฟร์วอลล์ร่วมกันและเราจะไม่สามารถเข้าถึง UI ของมันได้
ปัญหาของการสั่งซื้อกฎ: ณ ตอนนี้ เรามี google sheet สำหรับสั่งกฎใหม่ แผ่นงานมีรหัสกฎที่ไม่ซ้ำกัน, หมวดหมู่ของทราฟฟิกต้นทางและปลายทาง, กลุ่มที่อยู่ต้นทาง, กลุ่มที่อยู่ปลายทาง, กลุ่มพอร์ต, การดำเนินการและความคิดเห็นที่สร้างขึ้นโดยอัตโนมัติ ซึ่งโดยพื้นฐานแล้วจะมีรหัสกฎและหมวดหมู่ของต้นทางและปลายทางเพื่อทำให้การตรวจทานง่ายขึ้น ดังนั้นกฎเมื่อเราร้องขอจะมีลักษณะดังนี้:
"----กฏ#id3205----
ansible-prod --> db-stage ==via== ssh
ความคิดเห็น: [Rule# id3205] Solution [Staging] : Ansible --> DB"
จนถึงตอนนี้ดีทุกอย่างชัดเจนและเรียบร้อย
ปัญหาคือผู้ให้บริการโฮสต์ไม่สามารถเพิ่มเครือข่ายย่อยที่แตกต่างกันในกลุ่มที่อยู่เดียว ตามที่ฉันเข้าใจ นั่นเป็นเพราะว่าพวกเขาผูกกลุ่มที่อยู่เข้ากับอินเทอร์เฟซในนโยบายไฟร์วอลล์ และถ้า VLAN ของอินเทอร์เฟซไม่ตรงกับ VLAN ของซับเน็ตในกลุ่มที่อยู่ซึ่งใช้งานไม่ได้ ดังนั้นเราจึงจำเป็นต้องใช้กลุ่มที่อยู่ขนาดเล็กจำนวนมาก --> จำเป็นต้องมีกฎเพิ่มเติม เรามีกฎไฟร์วอลล์ไม่กี่พันรายการที่เราจำเป็นต้องจัดการและตรวจสอบ และจำนวนก็เพิ่มมากขึ้นเรื่อยๆ เรากำลังพยายามใช้กฎสำหรับเครือข่ายย่อย แต่ก็ไม่ได้ช่วยอะไรมากนัก :)
ปัญหาอีกประการหนึ่งคือมีหลายพาร์ติชันในไฟร์วอลล์ และถ้าเราสั่งการเข้าถึงจาก SubnetA ไปยัง SubnetB และพาร์ติชันเหล่านั้นอยู่ใน 2 พาร์ติชัน กฎหนึ่งข้อที่เราขอจะกลายเป็น 2 กฎในไฟร์วอลล์ กฎที่เราร้องขอจึงไม่ตรงกับการตั้งค่าจริงในไฟร์วอลล์
ปัญหาการตรวจสอบไฟร์วอลล์ เนื่องจากเราไม่สามารถเข้าถึงไฟร์วอลล์ได้ เราจึงทำได้เพียงขอให้ผู้ให้บริการส่งออกกฎให้เราเท่านั้น แต่อย่างที่ฉันเขียนไว้ข้างต้น - กฎหนึ่งข้ออาจกลายเป็น 2 กฎใน 2 พาร์ติชันที่ต่างกัน ดังนั้นจึงค่อนข้างยากที่จะติดตาม
นอกจากนี้ใน Fortigate เวอร์ชันที่ใหม่กว่า ผู้จำหน่ายได้นำ Policy hits counters ออก ดังนั้นดูเหมือนว่าตอนนี้เรามืดบอดและไม่รู้ว่ากฎใดกฎหนึ่งถูกใช้อย่างหนักหรือไม่
คำถาม
ฉันต้องการถามชุมชนว่ามีวิธีปฏิบัติที่ดีที่สุดสำหรับการจัดการและขอกฎไฟร์วอลล์เมื่อไม่มีสิทธิ์เข้าถึงคอนโซลของไฟร์วอลล์หรือไม่ และคุณดำเนินการตรวจสอบไฟร์วอลล์อย่างไร อาจมีคนสามารถแบ่งปันวิธีที่คุณจัดการกฎไฟร์วอลล์โดยทั่วไป
ขอบคุณมาก.
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
