• All incoming and outgoing Internet traffic should be forced to go through the firewall, which is the sole means of entry from and exit to the Internet.
• Do start with a conservative firewall security policy, i.e. "Deny all services except those explicitly permitted." It is recommended not to blindly follow the default settings in the firewall.
• All services allowed to go through the firewall should be carefully planned and evaluated.
The firewall can be configured to use network address translation (NAT) to hide internal network information such as IP addresses. In an IPv6 environment, our departments may allow end-to-end connectivity to the Internet if there are operational necessities.
• 全ての入出力するインターネットトラフィックは入力し、そして出力する唯一の手段として強制的にファイヤーウォールを通過すべきである。
• 保守的なファイヤーウォールセキュリティポリシーから始めること。例:明白に許可されたサービス以外は拒否する。ファイヤーウォール初期設定には盲目的に従わないことを推奨する。
• ファイヤーウォール通過を許可されるサービスは慎重に計画し、かつ評価すべきである。
ファイヤーウォールはIPアドレスなどの内部ネットワーク情報を見えないようにするためネットワークアドレス変換装置(NAT)として使用できるよう構成できる。IPv6環境下、私たちの部門は必要性があればインターネットにエンドツーエンド接続性が許可される。
In doing so, proper security measures, such as using temporary IP addresses to inhibit user activities profiling, should be considered.
• The firewall should be configured to enable content filtering, and computer virus and malicious code scanning capabilities.
• The firewall should be properly configured for IP level filtering.
• The firewall should be configured to block unused ports and filter unnecessary traffic, e.g. unnecessary incoming or outgoing Internet Control Message Protocol (ICMP) traffic.
• The firewall itself should be physically secured.
• The firewall policy established should be flexible for future growth and adaptable to changes on security requirements.
その際に、適正なセキュリティ対策、たとえばユーザー活動プロファイリングを抑制するための一時的なIPアドレス使用など、が考慮されなければなりません。
• ファイアウォールはコンテンツ・フィルタリング、およびコンピュータ・ウイルスと悪質なコードのスキャニング能力を可能にするように設定されているべきです。
• ファイアウォールは、IPレベル・フィルタリングのために適正に設定されていなければなりません。
• ファイアウォールは、使われていないポートをブロックし、不必要なトラフィック、例えば不必要な入って来る、または出て行くインターネット・コントロール・メッセージ・プロトコル(ICMP)トラフィック、にフィルターをかけるように設定されていなければなりません。
• ファイアウォール自身が、物理的に保護されているべきです。
• 確立されるファイアウォール指針は、将来の成長に合わせて柔軟で、セキュリティ要件の変化に適応できなければなりません。
• Correctly set and assign file permissions on firewall. Permissions on system files should be as restrictive as possible.
• A firewall should be thoroughly tested, and its configuration should be properly verified before going production.
• A firewall test is necessary after major change or upgrade to the firewall.
• If necessary, FTP or TELNET originated within the internal departmental network may be allowed to go through the firewall to the Internet.
• All software and OS installed on the firewall should be maintained with proper version by periodically revisiting the vendor sources and upgrading with patches and bug fixes.
• Real-time alerts should be set up for emergency incidents.
• ファイアウォール上に、正しく、ファイル・パーミッションをセットし割り当ててください。
システム・ファイルの許可は、できるだけ制限的であるべきです。
• ファイアウォールは、十分テストされるべきであり、そして、その設定は生産に入る前に適正に確認されるべきです。
• ファイアウォールへの大きな変更、またはアップグレードの後では、ファイアウォール・テストが必要です。
• 必要であれば、内部部門ネットワークの中で創出されたFTPやTELNETは、ファイアウォールを経由してインターネットに行かせてもよいかもしれません。
• ファイアウォール上にインストールされるすべてのソフトウェア、およびOSは、定期的にベンダーもとを再訪し、パッチ当てやバグを修正によるグレードアップを行って、適正なバージョンを維持されなければなりません。
• 緊急事件備えて、リアルタイム警報がセットアップされているべきです。
