Melhores práticas para criação de Regras de Firewall no Forefront TMG 2010 (pt-BR)

**
**

Objetivo

Auxiliar na criação de Regras de Firewall, visando a otimização de desempenho.

Diretrizes Gerais

O desempenho do forefront está relacionado ao tipo de informações necessárias para avaliar as regras. Como as regras são avaliadas em ordem, devemos colocar as regras que podem ser processadas mais rapidamente perto do topo da lista de regras, desde que isso não interfira no comportamento da política criada. Dessa forma, se um pedido corresponde a uma regra que está no topo, o Forefront TMG não tem que comparar o pedido com as regras que podem levar mais tempo para processar.

Elementos de Regras simples

Os elementos seguintes exigem informações de rede simples e, portanto, são avaliados rapidamente:
• Definição de protocolo
• Horários
• Todos os endereços IP baseados em elementos de rede (computadores, jogos de computador, sub-redes, redes e jogos de rede)
Além disso, as informações das portas de origem são validadas rapidamente.
Regras que usam esses elementos devem ser colocadas no topo da lista de regras

Elementos de Regras complexos

Os elementos de regras a seguir exigem informações de rede adicionais, e portanto , são avaliados de forma mais lenta:
• Domain name sets and URL sets
• Usuários (exceto o “Todos os usuários” na opção user set)
• Tipo de conteúdo
Regras que contêm esses elementos deverão ser colocados na parte inferior da lista das regras.

Regras que utilizam filtros de aplicativos

Regras que utilizam filtros SMTP, filtros HTTP, ou filtros FTP possuem baixa performance.

Recomendações Gerais de ordem das regras

É Recomendado que você organize suas regras de acesso nesta ordem:
Regra de negação Global. Regras que negam o acesso específico a todos os usuários. Estas regras devem usar elementos de regra que necessitam de informações de rede simples. Um exemplo seria uma regra que nega todos os usuários acessarem de qualquer lugar para qualquer lugar em protocolos usados para peer-to-peer de compartilhamentos de arquivos.
Regra de permissão Global. Regras específicas que permitem o acesso a todos os usuários. Estas regras devem usar os elementos de regra que necessitam de informação de rede simples. Um exemplo disso seria uma regra permitindo o acesso ao protocolo DNS da rede interna para externa.
Regras para computadores específicos. Regras que permitem ou negam acesso a computadores específicos, por exemplo, uma regra que permita o acesso de computadores UNIX à internet.
Regras para usuários específicos, URLs, tipos MIME, publicação. Regras que contém elementos de regra que necessitam de informações de rede adicional e que aplica a política para usuários específicos, ou para URLs específicos ou Multipurpose Internet Mail Extensions (MIME). Regras de publicação devem ocorrer também neste ponto da ordem de regra.
Outras regras de permissão. Regras que lidam com o tráfego que não coincidem com as regras que ocorreram anteriormente na lista de regras, supondo que o tráfego é permitido pela sua política empresarial. Por exemplo, uma regra que permite todo tráfego da rede interna à Internet.
Nota: A publicação de servidor e as regras de publicação na Web podem ser colocadas em qualquer lugar na ordem.

Melhores práticas específicas

As melhores práticas a seguir devem ser consideradas na criação de políticas de firewall.

Conjunto de instruções e os usuários não autenticados. Coloque regras que são baseadas em usuários no final. Se você colocar essas regras no topo, na ordem das regras, você prejudica o tratamento posterior de tráfego proveniente de usuários não autenticados. Isso pode ter o efeito indesejado de uma regra de permissão funcionando como uma regra de negação para usuários não autenticados.
O Forefront TMG trata o tráfego de usuários autenticados após as regras baseadas em conjuntos de usuários, para evitar o contorno por usuários não autenticados.
Nota: O Forefront TMG só pode tentar igualar os usuários autenticados contra as regras que exigem a participação do cliente em um conjunto de usuários. Os usuários autenticados incluem cliente de firewall, virtual private network (VPN), e cliente web autenticados.
Use endereços IP. Sempre que possível, utilizar os endereços IP em vez de nomes DNS em suas políticas de firewall. Isso reduz a dependência do Forefront TMG nos servidores DNS. E isso resulta em melhor desempenho. Entretanto, esteja ciente de algumas situações, você não vai conseguir o comportamento desejado usando endereços IP. Por exemplo, se você está tentando negar o acesso a um site e o endereço IP do site é atribuído dinamicamente, ou se o site tem mais de um endereço IP. Nesse caso você deve usar o nome totalmente qualificado (FQDN) para bloquear o site. Para a confiabilidade extra, você pode usar ambos, endereços IP e FQDN em uma regra. Observe que você tem que criar elementos de regra específicos para endereços IP e para FQDNs. Quando você usar endereços IP e FQDNs em uma única regra, o mecanismo de regras do Forefront TMG primeiro avalia a solicitação usando os endereços IP, de modo que se houver uma correspondência, não há necessidade de tentar resolver o FQDN para um endereço IP. Isso melhora e eficiência.

Use nomes totalmente qualificados para Conjuntos URL e Domain Name Sets.

Use nomes de domínio totalmente qualificado (FQDN) em conjuntos de nomes de domínio e URL Sets.
Autenticação de usuário e Desempenho. Quando uma regra exige autenticação do usuário, que deve contar com conectividade e velocidade do servidor de autenticação, como controlador de domínio ou Remote Authentication Dial-In User Service (RADIUS). O processo de autenticação pode afetar o desempenho do Forefront TMG. Recomendamos, portanto, que as regras que exigem autenticação sejam colocadas perto da parte inferior da lista de regras (supondo que está de acordo com seu projeto), de modo que apenas o tráfego que não á acompanhado por uma regra anterior vai encontrar a regra de autenticação .
Nota: você pode usar os verificadores de conectividade do Forefront TMG para monitorar a conectividade com vários servidores.
Os clientes de firewall e conjunto de usuários. Se a diretiva de firewall inclui uma regra que se refere a um conjunto de usuários (diferente do padrão “todos os usuários”), o cliente de firewall sempre tenta autenticar e irá falhar se estiver em um grupo de trabalho ou em um domínio não confiável. O cliente de firewall não será capaz de estabelecer uma conexão com o computador do Forefront TMG, e nenhum tráfego será permitido.
Definições de protocolo. Não criar definições de protocolos que sobreponham ou dupliquem definições de protocolo existentes. Isso pode levar a um comportamento inesperado. Por exemplo, você pode criar uma regra que permite todo o tráfego com exceção de um protocolo específico, e você pode achar que o tráfego que você especificou na verdade será permitido porque existe um outro similar definido. Recomendamos que você verifique a lista de protocolos existentes com cuidado antes de definir protocolos adicionais.
Regras por tipo de MIME. Os tipo de MIME devem ser utilizados como critério apenas em regras que se aplicam ao tráfego HTTP. Porque os tipos de MIME não são aplicáveis a outros tipo de tráfego, uma regra que inclui qualquer outro protocolo HTTP e se refere aos tipo de MIME é efetivamente desativado para esses protocolos.
Regras de acesso e Regras de rede. Uma política de acesso que define o acesso entre duas redes não permitirá o acesso a menos que haja também uma regra de rede que define o relacionamento entre as duas redes. Isso também é válido para as regras de publicação do servidor, mas não para regras de publicação na Web.
Regra de negação de acesso em todos os protocolos com restrição de porta. Não crie uma regra de negação de acesso em todos os protocolos que inclui uma restrição de porta de origem. Porque as portas de origem não são verificados para as ligações secundárias (se a regra que permite (se a regra que permite a conexão secundária é mais baixo na ordem das regras do que a regra de negação de acesso com a restrição de porta de origem).
Rede de computadores infectados. Criar uma rede para conter os computadores que estão infectados. Não crie nenhuma regra de rede para a rede, para que eles não tenham acesso. Quando um computador está infectado, mova-o para essa rede. Note que cada computador e que você move para essa rede cria uma lacuna na gama de endereços da rede interna, criando assim uma fragmentação. Redes fragmentadas tem um impacto negativo no desempenho do Forefront TMG Network Load Balance (NLB), dessa forma essa abordagem deve ser usada com cuidado, e os computadores deverão ser devolvidos à sua rede original o mais rápido possível.
Regra de acesso para Windows Update. Para permitir aos servidores do Windows Update, crie uma regra de acesso permitindo o acesso para os usuários do Microsoft Update Domain Name Set. Essa regra deve ser colocado no alto da lista ordenada de regras de política de firewall. Em particular, ela deve preceder as regras de acesso à Web que exigem autenticação, que pode bloquear alguns usuários de obtenção de atualizaçãoe do Windows Update.
Nota: Neste cenário, na guia proxy da web para a rede do usuário, após clicar em autenticação, você não deve selecionar Exigir que todos os usuários sejam autenticados, pois este também irá bloquear o acesso ao Windows Update.
Nome da avaliação
Quando um cliente faz uma solicitação HTTP, pode ser um nome, um FQDN ou um endereço IP. Este tópico fornece exemplos de como o Forefront TMG trata essas solicitações.
Se uma solicitação HTTP usa um nome de site, como http://www.fabrikam.com, o Forefront TMG reconhece o nome na requisição e executa uma resolução de nomes encaminhando para um Servidor DNS para poder obter o FQDN, alias e os endereços IP associados a esse nome. O resultado é que o Forefront TMG tem o nome do site disponível, o FQDN, os alias e os endereços IP para comparar com os requisitos da regra de acesso.
No exemplo da www.fabrikam.com, os seguintes elementos poderiam corresponter a uma regra de acesso:
Nome: www.fabrikam.com
FQDN: fabricam.com
Endereços IP: 207.46.250.119, 207.46.130.108
Se uma solicitação HTTP usa um endereço IP, o Forefront TMG verifica primeiro as regras para ver se existe uma associação com esse endereço. Durante esse processo se o Forefront TMG encontra uma regra que exija um nome, ele executa a resolução de nome inversa para obter o FQDNpara o endereço IP. O Forefront TMG pode comparar o FQDN para as definições de regra de acesso.
Se a resolução de nomes reverso falhar, apenas o endereço IP original do pedido é usado em comparação com as definições de regra.