A continuación algunas de las mejores prácticas a seguir para la creación de  un “rulebase” en firewalls Checkpoint. Apegándose a ellas usted podrá tener un mejor rendimiento y una mayor  facilidad de gestión:

1.- El rulebase deberá ser tan simple como sea posible, es decir el menor número de reglas concretas y específicas dará un mayor desempeño al equipo. Permitir el acceso sólo a lo que sea necesario.

2.- Evite el uso arbitrario de  “Any” para el campo de servicio, dichos servicios deberán ser específicos por cada regla.

3.- Utilizar  “objetos de red”  en lugar de muchos “objetos”.

4.- Donde sea posible, utilizar grupos de objetos y combinar reglas similares en una sola regla. Esto ayudará a mantener la base de reglas corta y simple, lo que reducirá la carga en el firewall.

5.- Configurar el “Anti spoofing” en cada interfaz del firewall.

6.- Poner las reglas más utilizadas o accedidas en las primeras posiciones de la base de reglas. Cuando un paquete llega al firewall, se verifica contra las reglas del firewall en orden de arriba hacia abajo (top to down). Una vez que encuentra una coincidencia, puede ser aceptado, negado o se toma la acción definida en la regla. Por esta razón es mejor poner las reglas que tienen más coincidencias con el tráfico en la red al principio de la base de reglas. Hacer esto disminuirá la carga de trabajo en el firewall.

7.- Utilice nombres concretos para sus objetos (hostname, dirección IP, etc.).

8.- Implementar la regla “Stealth”, la cual bloquea los intentos de conexión hacia el modulo del firewall directamente (src=any  dst= Firewall  action= drop).

9.- Utilizar “Reject” en lugar de “Drop” para algunos servicios, esto mejora el desempeño del equipo.

10.- Implementar  la regla  ‘Clean Up’ o una regla de ANY ANY DENY. Se recomienda habilitar el log para esta regla. Esto nos permitirá analizar los paquetes que sean descartados por no coincidir con ninguna regla de la base. Lo anterior es útil para detectar ataques o para la resolución de problemas.

11.- No utilizar el “objeto de dominio” en el “rulebase”. Dichos objetos pueden causar conflictos y problemas de desempeño por cuellos de botella.

12.- Deshabilitar el campo “Decrypt on accept”  si no se utilizan VPNs.

13.- Si la red está utilizando VPNs, utilizar AES128 de preferencia. Este tipo de cifrado genera menor carga y menos problemas de rendimiento.

14.- Mantener las bitácoras (logs) al mínimo necesario. Por ejemplo, si la organización cuenta con dos servidores Web con mucho tráfico, entonces si el firewall tiene que registrar cada conexión de http, se ocasionará una carga adicional al firewall y se llenará el espacio del servidor de bitácoras rápidamente.

 Saludos

[email protected]