[Question] Policy trên firewall nên group theo source hay dest ? |
01/06/2011 15:33:39 (+0700) | #1 | 238367 |
1. Mọi người cho hỏi khi config firewall có rất nhiều policy thì nên nhóm policy theo source hay theo dest để dễ nhìn, dễ quản lý, dễ tìm lỗi hơn ?
VD có source A, B, C và dest X, Y, Z
Kiểu nhóm theo source : quản lý được ai cần truy cập vào những server nào
A -> X
B -> X, Y
C -> X, Y, Z
Kiểu nhóm theo dest : quản lý được server nào được những ai truy cập
A, B, C -> X
B, C -> Y
C -> Z
2. Có phần mềm nào cho phép phát hiện các lỗi trong cấu hình policy firewall Juniper không ? (Nghĩa là phát hiện các rule chồng chéo)
Nghe nói có soft Algosec nhưng chưa dùng bao giờ, ngoài ra còn soft nào tốt nữa ?
|
|
Spam thêm một bài là góp một viên gạch xây diễn đàn lớn mạnh |
|
|
|
[Question] Policy trên firewall nên group theo source hay dest ? |
02/06/2011 08:15:23 (+0700) | #2 | 238408 |
|
Ikut3
Elite Member
|
0 |
|
|
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
|
|
1. Theo mình việc được sort theo source hay theo destination là 1 mục đích hay nói đúng hơn là 1 yếu tố chuẩn mực của phần mềm, nhất là những dạng phần mềm Firewall bạn đang sử dụng.
- Rõ ràng trong từng trường hợp việc sort theo source và theo destination có những ưu và nhược điểm khác nhau. Chẳng hạn : "1 nhân viên linux admin vừa nghỉ việc, bạn phải cắt quyền truy cập các packet từ địa chỉ mac máy anh này đến các server trước đây anh ta quản lí"
Như vậy thì sort theo Source sẽ biết được anh ta đang quản lí những server nào, và thực hiện hành động deny.
Không thể sử dụng sort theo Destination trong trường hợp này, vì giả như công ty có khoảng 40 - 50 server, mỗi server do 1 vài người hoặc 1 vài nhóm quản lí. Vậy thì để tìm ra anh nhân viên kia đang quản lí server nào thật là tốn công
Vì vậy mình nghĩ tuỳ trường hợp mà mà sử dụng nút Sort để thoả mãn nhu cầu công việc tại thời điểm đó. Không nên dập khuôn vào tất cả mọi thời điểm
2 . Mình sử dụng mindmap cho việc này, biểu thị dưới dạng từng ô từng bảng nhìn rất dễ hiểu và hiếm khi bị trùng. Thực ra việc này hay nhất là vẽ lên bảng, nhưng không có bảng nên vẽ thông qua máy
|
|
|
|
|
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|