Nieuws

Wij houden u graag op de hoogte van de nieuwste

ontwikkelingen op het gebied van Network Security

and Next-Gen Networking

08 Aug 2017

Een schone firewall is een gezonde firewall 

Dat een firewall schoont dient te zijn klinkt op zich vreemd, maar is toch van groot belang. Een firewall is geen apparaat dat u neerzet en de jaren daarna zorgeloos draait zonder onderhoud. Naast updates van bijvoorbeeld virusdefinities, zult een firewall ook frequent moeten voorzien van nieuwe regels die samenhangen met de groei van de organisatie.

Een firewall regel bestaat in beginsel uit een aantal criteria waaraan het in- en uitgaande verkeer wordt getoetst: waar komt het verkeer vandaan, waar gaat het naartoe, wat voor type verkeer is het? De firewall zal hieraan een actie koppelen, zoals doorlaten, blokkeren of verder inspecteren.

Na het uitrollen van nieuwe applicaties volgen hiervoor ook nieuwe regels voor de firewall. Ook bij het openen van een nieuwe vestiging van een bedrijf ontstaan nieuwe firewall regels. Maar wat gebeurt er als een applicatie niet langer wordt gebruikt? Of een gedeelte van het bedrijf wordt afgestoten? Vaak wordt de firewall in dit traject vergeten waardoor deze over de jaren steeds meer regels krijgt die eigenlijk niet meer nodig zijn. Op die manier kan een firewall vervuilen.

Overzicht vervuilende regels

Met betrekking tot een firewall onderscheiden we drie categorieën vervuilende regels:

  • Ongebruikte regels

Dit zijn regels in de firewall die niet langer meer nodig zijn.

  • Overlappende regels

Een firewall werkt de aanwezige regels doorgaans van boven naar onder af. De firewall past de regel toe indien er sprake is van een ‘match’. Het is mogelijk dat daaronder nog een regel bestaat die ook een ‘match’ veroorzaakt op hetzelfde verkeer. Het is mogelijk dat een er een gedeeltelijke overlap ontstaat waardoor de onderste regel minder vaak wordt gebruikt.

  • Schaduw regels

Dit zijn regels welke nooit gebruikt kunnen worden omdat het verkeer in de bovenstaande regels al is afgevangen.

Door waar mogelijk regels samen te voegen ontstaat een optimalisatie van de firewall. Het aantal regels vermindert en dat komt de de performance en optimalisatie ten goede.

Een firewall met een vervuilde regelset zal slechter presteren. Een slecht onderhouden firewall met ongebruikte, overlappende en schaduwregels wordt dan vaak vervangen door een zwaarder exemplaar. Vervangen is vaak helemaal niet nodig. Met het opschonen van de firewall kunt u een significante verbetering van de performance van de firewall realiseren. Met het oog op de performance is het dus belangrijk om een firewall goed te onderhouden.

Firewall cleanup service

Infradata biedt een service om de aanwezige regels in een firewalls op te schonen en te optimaliseren. Aanvullend kan Infradata ook de aanwezige regels in de firewall documenteren.

Tijdens deze opschoonactie inventariseert Infradata eerst de aanwezige firewalls. Als er sprake is van meerdere firewalls zal Infradata via tooling alle aanwezig firewall regels inventariseren en met elkaar vergelijken. Via het uitlezen van de firewall configuraties ontstaat er een netwerkmap van de gehele organisatie. Dit is van belang omdat netwerkverkeer via meerdere firewalls kan verlopen. Als firewall A verkeer toestaat, maar firewall B blokkeert dit, dan heeft dit niet het gewenste resultaat.

Ook kijkt Infradata naar de regels die worden gebruikt. Tijdens de opschoonactie worden alle regels gemonitord en wordt er bekeken of ze worden gebruikt. Zo niet, dan verwijdert Infradata deze regels na goedkeuring van de opdrachtgever.

Tips voor beter firewall beheer

Het is van essentieel belang de firewallregels goed te documenteren. Na enige tijd en door verloop van personeel gaat er vaak kennis over specifieke firewall regels verloren. Documentatie is te waarborgen door een koppeling te maken met een change ticket.

Ook de tijdelijke regels moeten tijdelijk worden herzien. Bij de aanvraag van een tijdelijke regels moet de einddatum bekend zijn. Voor het verstrijken van de einddatum ontvangt de aanvrager een bericht dat de regel binnenkort verloopt. Met betrekking tot de tijdelijke regel heeft de aanvrager dan twee opties: verwijderen of het aanpassen van de einddatum. Zo zullen geen tijdelijke regels in het netwerk achterblijven.

Meer informatie?

Bent u benieuwd hoe Infradata uw organisatie kan helpen met opschonen van uw firewall? Neem contact met ons voor een vrijblijvend gesprek waarin u kunnen informeren over onze diensten op het gebied van firewalls.

Tekst: Remco Hobo, Solutions Architect bij Infradata