Przy budowaniu zapory sieciowej istotne jest przeprowadzenie poniższych czynności:
- Rozpoznanie topologii sieci oraz potrzeb w zakresie aplikacji i protokołów
- Analiza zależności służbowych (kompetencje decyzyjne, dostęp do zasobów)
- Stworzenie reguł dostępu do zasobów w oparciu o uprzednio określone potrzeby użytkowników oraz ich miejsce w strukturze decyzyjnej
- Znalezienie odpowiedniej zapory dla naszych potrzeb
- Właściwa instalacja i konfiguracja zapory
- Drobiazgowe przetestowanie stosowanych reguł
Rozpoznanie topologii sieci oraz potrzeb w zakresie aplikacji i protokołów jest zagadnieniem dużo trudniejszym niż mogłoby się wydawać, zależy ono od struktury i rozmiarów danej sieci. Jeśli administrujemy siecią jednorodną (co jednak zdarza się dość rzadko), zadanie jest proste – będziemy mieć do czynienia z jednym systemem operacyjnym i przypuszczalnie takim samym zestawem aplikacji obecnym na każdej ze stacji.
Większość sieci, to sieci heterogeniczne, co zmusza administratora do identyfikacji każdego systemu operacyjnego i wszystkich zestawów aplikacji używanych w sieci. To z kolei wymagać może konieczności korzystania z usług ekspertów w dziedzinie bezpieczeństwa poszczególnych aplikacji.
Przy budowie zapory sieciowej należy wziąć pod uwagę zależności służbowe. Ten krok może wymagać od administratora rozpoznania potrzeb i uzgodnienia działań z poszczególnymi działami firmy podłączonymi do sieci. Musimy uniknąć sytuacji, kiedy ze względu na fizyczną odległość między poszczególnymi segmentami sieci ruch wewnętrzny będzie się odbywał poprzez którąś z naszych bram programowych. Zatem przed dokonywaniem zmian w strukturze sieci należy dokładnie przeanalizować te zależności. Cały ten proces wymaga dużego taktu. Można spotkać się z użytkownikami lub menedżerami, którzy będą sprzeciwiać się zmianom (skoro od 10 lat sieć chodzi, to po co cokolwiek zmieniać?). Konieczna jest bliska współpraca z użytkownikami i uzasadnienie im konieczności przeprowadzenia zmian.
Ostatnią rzeczą jaką byśmy sobie życzyli, to rzesza niezadowolonych lokalnych użytkowników – to od nich w przyszłości będzie zależeć bezpieczeństwo sieci, to nasi użytkownicy przestrzegając (lub nie) zasad korzystania z systemów będą mieli decydujący wpływ jej bezpieczeństwo. Jeśli staraliśmy się rzeczowo (i przystępnie) uzasadnić konieczność przedsięwzięcia odpowiednich środków – nie mamy się czego obawiać; jeśli zaś wprowadziliśmy drakońskie reguły korzystania z sieci bez słowa wyjaśnienia, możemy się spodziewać oporu materii ludzkiej na każdym możliwym kroku.
Po zakupie zapory sieciowej powinniśmy przeprowadzić intensywne testy w dwóch fazach:
- Testowanie zasad korzystania z sieci dla użytkowników zdalnych
- Testowanie wewnętrznych reguł korzystania z sieci
Pierwsza faza może być przeprowadzona w dowolnym czasie – nawet gdy użytkownicy danej sieci są nieobecni (weekend, godziny wieczorno-nocne, etc.).
Druga faza jest bardziej skomplikowana. Należy się spodziewać wielu problemów, a nawet przejściowego zaniku funkcjonalności sieci (trzeba być przygotowanym na reakcję zdenerwowanych użytkowników). Jest wyjątkowo mało prawdopodobne, że fazę tę przejdzie się gładko już za pierwszym razem – chyba, że sieć jest całkowicie jednorodna i mamy do czynienia z tym samym zestawem aplikacji na każdej z maszyn.
Należy pamiętać o tym, że zapory firewall nie są niezawodne. Wiele serwerów, na których zastosowano zapory sieciowe, zostało pokonanych przez hakerów. Wynika to nie tyle z właściwości zapory sieciowej jako takiej, a raczej z zawodności tzw. czynnika ludzkiego. Najczęstszą przyczyną wadliwości zabezpieczeń firewalla są administratorskie błędy w jego implementacji. Nie znaczy to, że niektóre zapory sieciowe nie mają słabych punktów. Owszem mają – aczkolwiek w większości przypadków luki te nie mają zbyt wielkiego znaczenia dla bezpieczeństwa sieci.
