Los firewalls no son la solución definitiva para la seguridad de la información. Sin embargo, son un componente necesario de una infraestructura de seguridad de la información efectiva.

La siguiente lista es un conjunto de mejores prácticas, sin ningún orden en particular, que debe considerar para garantizar que su firewall esté configurado para un rendimiento y una eficacia óptimos.

Denegar todo el tráfico de forma predeterminada, y solo habilitar aquellos servicios que son necesarios, es un método más árduo y complejo pero efectivamente más seguro.
Deshabilite o desinstale cualquier servicio o software innecesario en el firewall que no se requiera específicamente.
Limite la cantidad de aplicaciones que se ejecutan en el servidor de seguridad para permitir que el servidor de seguridad haga lo que es mejor hacer. Considere ejecutar antivirus, filtrado de contenido, VPN, DHCP y software de autenticación en otros sistemas dedicados detrás del firewall.
Si es posible, ejecute el acceso al servicio de firewall con un ID de usuario único o usuario de radius o tacacs en lugar de administrador o root.
Cambie el administrador de firewall predeterminado o la contraseña de root. La contraseña no se debe encontrar en un diccionario y debe tener un mínimo de ocho caracteres de longitud utilizando una combinación de mayúsculas y minúsculas, números y otros caracteres como $,% y @, y debe cambiarse con frecuencia.
No confíe solo en el filtrado de paquetes. Utilice la inspección de estado y los proxies de aplicación si es posible.
Asegúrese de que está filtrando los paquetes para las direcciones correctas según la sección de la Lista de Vulnerabilidades de las 20 Principales SANS titulada No filtrar paquetes para las direcciones entrantes y salientes correctas.
Asegúrese de que está filtrando o deshabilitando todos los puertos innecesarios y los puertos vulnerables comunes basados ​​en las secciones de la Lista de Vulnerabilidades del SANS Top 20 tituladas Gran número de puertos abiertos y Puertos vulnerables comunes.
Si un usuario malintencionado puede obtener acceso físico al firewall, cualquier cosa puede pasar. Asegúrese de que el acceso físico al firewall esté controlado.
Muchas veces, los firewalls hacen menos (o más) de lo que deberían hacer según las necesidades de su negocio y los requisitos de flujo de información. Mantenga la configuración de su firewall lo más simple posible y elimine las reglas innecesarias o redundantes para asegurarse de que el firewall esté configurado para satisfacer sus necesidades específicas.
Asegúrese de que la regla de seguridad establecida en el firewall se mantenga consistente con la política de seguridad de la información escrita de la organización. Usted tiene una política de seguridad, ¿verdad?
Considere el uso de lo siguiente junto con un firewall:
Sistema de prevensión de intrusos basado en red (IPS)
Firewall personal basado en productos / productos de prevención de intrusiones para proteger estaciones de trabajo y servidores del tráfico malicioso que ingresa a través de los puertos permitidos en el firewall
Software antimalware que se actualiza regularmente.
Sistemas de protección de correo electrónico y sistemas de filtrado de contenido web.
Sistemas de filtrado de URL
Sistemas de autenticación de terceros.
Ejecute el firewall en un sistema operativo endurecido y parcheado. Un sistema operativo inseguro y no reforzado puede hacer que el firewall sea completamente inútil.
Si es posible, use un firewall junto con un enrutador cuando se conecte a Internet para ayudar a prevenir ataques de denegación de servicio y penetraciones exitosas.
Actualice el sistema operativo y el software de la aplicación del firewall con el último código de forma regular. Sin embargo, asegúrese de probar estas actualizaciones en un entorno controlado que no sea de producción siempre que sea posible.
Utilice firewalls internamente para segmentar redes y permitir el control de acceso según las necesidades comerciales.
Habilitar logs y snmp en el firewall para el registro y alerta si es posible.
Utilice un servidor de syslog remoto seguro que dificulte la modificación y manipulación de registros para un usuario malintencionado.
Controle regularmente los registros del firewall. Trate los registros como registros comerciales e inclúyalos en su política de retención de datos.
Anote cualquier entrada de registro del firewall que no se vea bien e investigue de inmediato.
Realice copias de seguridad periódicas de los registros del firewall (preferiblemente en medios de una sola escritura como CD-R) y guárdelos para futuras referencias y / o protección legal en el caso de una intrusión que deba investigarse.
Considere la posibilidad de subcontratar la administración de su firewall para aprovechar la experiencia de los proveedores de servicios de seguridad administrada, el análisis de tendencias de la red y la inteligencia, y ahorrar tiempo y dinero.
Use las prácticas de administración de cambios para que el firewall apruebe los cambios necesarios, evalúe los motivos de los cambios, documente los cambios realizados y describa los procedimientos de retirada necesarios en caso de que los cambios fallen.
Realice evaluaciones de vulnerabilidad en su firewall de forma continua para probar fallas y debilidades de software conocidas. Los nuevos exploits se descubren continuamente y deben probarse de forma consistente. Además, las modificaciones más pequeñas del sistema de firewall o del conjunto de reglas pueden cambiar completamente las capacidades de seguridad del firewall. Realice estas pruebas en todas las interfaces del firewall en todas las direcciones. Además, realice estas pruebas con y sin las reglas de firewall habilitadas para determinar qué tan vulnerable será cuando el firewall no funcione correctamente.
Realice auditorías continuas, al menos una vez al año, en el firewall para comparar lo que dice que está haciendo.
Exigir a los usuarios que ejecuten antivirus y firewall personal / software de prevención de intrusiones en todas las computadoras remotas. Esto ayudará a evitar que un código malicioso o un atacante penetre en la red corporativa en caso de que la computadora remota se vea comprometida. Haga de esto algo que no pueda ser fácilmente deshabilitado. Sin excepciones.
Supervise constantemente (o suscríbase a) los boletines de seguridad de su proveedor de firewall.
Realice regularmente copias de seguridad de los archivos de configuración del firewall y mantenga las copias de seguridad fuera del sitio.
Los firewalls se pueden eludir fácilmente si se usan sistemas de red inalámbrica internamente. Una vez más, use los firewalls personales / software de prevención de intrusiones en todos los hosts internos siempre que sea posible.
Recuerde que los firewalls no evitarán los ataques que se originan dentro de su red. Una política de uso aceptable, firewalls personales, software de prevención de intrusos, monitoreo de red, filtrado de contenido y controles de acceso en todos los hosts puede ayudar a reducir estos riesgos.

AVISO: La información contenida en este documento se considera las mejores prácticas para proteger los firewalls, pero no puede constituir un firewall seguro si se implementa. Cada firewall y sus sistemas de información asociados son únicos; por lo tanto, estas recomendaciones pueden no ser completamente adecuadas para su situación. Al igual que cualquier cambio debe ser manejado, primero pruébelos en un entorno que no sea de producción para asegurar la interoperabilidad dentro de su red.