Przejdz do tresci
Avanet

Jak prosto dokumentować regułę Sophos Firewall

Sophos Firewall

W tym artykule wyjaśniam, jak przy bardzo niewielkim wysiłku przynajmniej trochę lepiej dokumentować reguły firewalla.

Czas na pełną, staranną dokumentację ma prawdopodobnie niewielu z nas. A nawet jeśli uda się ją kiedyś przygotować, często jest później słabo utrzymywana: ktoś zmienia coś na firewallu i zapomina zaktualizować dokumentację.

Podczas audytu bezpieczeństwa padają wtedy pojęcia takie jak «Change Management Process», które przypominają, na co nie ma czasu albo które zadania mają wyższy priorytet.

Opisywanie reguł firewalla

Doświadczenie pokazuje, że liczba reguł firewalla z czasem raczej rośnie niż maleje. Często później tylko mgliście pamiętamy albo wcale nie wiemy, dlaczego dana reguła istnieje i co dokładnie robi. Oczywiście można ją po prostu wyłączyć, jeśli nadal przechodzi przez nią ruch. Zwykle bardzo szybko okaże się wtedy, do czego była potrzebna. Nie jest to jednak najładniejsze rozwiązanie i z pewnością nie wszędzie jest możliwe.

Dlatego zalecam jako absolutne minimum, aby podczas tworzenia lub edycji reguły firewalla poświęcić 60 sekund na jej opisanie.

Nie trzeba do tego otwierać żadnego zewnętrznego dokumentu. Można zrobić to bezpośrednio w samej regule firewalla.

Reguła Sophos Firewall
Reguła Sophos Firewall

Do dyspozycji jest 255 znaków, czyli prawie tyle, ile dawniej w tweecie (280), którym można było zmienić świat. Powinno więc wystarczyć miejsca, aby wyjaśnić, co robi dana reguła.

Przykład opisu reguły firewalla

To oczywiście zależy wyłącznie od Ciebie, co wpiszesz w to pole. Oto kilka pomysłów, które mogą być pomocne w przyszłości:

  • NAME: Co robi ta reguła, dlaczego została utworzona albo dla jakiej aplikacji jest potrzebna?
  • AUTHOR: Kto utworzył regułę?
  • LAST MODIFIED: Kiedy reguła została utworzona albo ostatnio zmieniona i przez kogo. Aby oszczędzić znaki, można używać inicjałów albo nazw użytkowników.
  • COMMENT: np. numer telefonu, osoba kontaktowa u partnera utrzymującego oprogramowanie albo dział lub osoba korzystająca z tej reguły.
  • DOC: Można dodać skrócony URL do dokumentacji online, instrukcji albo nazwę pliku, którego później można szukać na dysku wewnętrznym.
5G Access - Smarthome
---
AUTHOR: Patrizio
LAST MODIFIED: 12.12.2012 [PP]
COMMENT: Just for Tonys iPhone
DOC: bit.ly/3Nmn3lX

Pamiętaj: sama reguła firewalla zawiera już wiele informacji, takich jak adresy IP i porty. Nie trzeba więc wpisywać w pole tekstowe wszystkiego, co i tak jest zdefiniowane w regule. Warto jednak dodać wszystko, co w przyszłości pomoże zrozumieć, dlaczego reguła została utworzona.