Overslaan naar inhoud

Waarom Uw Firewallregels Uw Grootste Risico Zijn

Regelwildgroei, verborgen beleid en te ruime toegang — hoe configuratiegovernance inbreuken voorkomt.
10 mei 2026 in
Waarom Uw Firewallregels Uw Grootste Risico Zijn
Layer7 Networking, Neil Beulecke

We hebben meer dan 400 firewallconfiguraties bij Zuid-Afrikaanse organisaties geaudit. De gemiddelde zakelijke firewall heeft 847 regels. Hiervan is ongeveer 23% redundant, 11% wordt overschaduwd en minstens 4% bevat te permissieve "any-any"-statements die het doel van de firewall effectief tenietdoen.

Door Neil Beulecke, Managing Director — Layer7 Networking

Het probleem van regelwildgroei

Firewallregels stapelen zich op als sedimentair gesteente. Elk project, elke leveranciersimplementatie, elke noodwijziging voegt regels toe. Bijna niemand verwijdert ze. Na vijf jaar draagt een typische zakelijke firewall honderden regels die niemand volledig begrijpt, en geen enkele persoon kan de zakelijke rechtvaardiging voor elke regel uitleggen.

Dit is geen theoretische zorg. In onze Firewall Assurance and Compliance (FAC)-beoordelingen vinden we routinematig:

  • Overschaduwde regels — regels die nooit overeenkomen met verkeer omdat een bredere regel erboven alles als eerste opvangt. Deze geven aan dat de regelauteur het bestaande beleid niet begreep. Het is ruis, maar ook bewijs van slecht wijzigingsbeheer.
  • Redundante regels — meerdere regels die hetzelfde effect bereiken. Ze verhogen de verwerkingsoverhead en bemoeilijken audits.
  • Te permissieve regels — de klassieke "any source, any destination, any service, permit"-regel die tijdens een troubleshootingsessie om 2 uur 's nachts werd toegevoegd en nooit werd verwijderd. We vonden een organisatie met 17 van deze regels op hun productiefirewalls.
  • Regels die verwijzen naar buiten dienst gestelde hosts — servers die jaren geleden zijn stopgezet maar nog steeds firewallregels hebben die verkeer naar hun voormalige IP-adressen toestaan, die nu mogelijk aan andere systemen zijn toegewezen.

Why This Matters

A firewall with 800+ unreviewed rules isn't a security control — it's a compliance checkbox. Attackers don't need to bypass your firewall if your rules already permit the traffic they need. Lateral movement, command-and-control callbacks, data exfiltration — if your rules are permissive enough, the firewall logs the traffic and waves it through.

We've seen breaches where the forensic investigation revealed that every single step of the kill chain traversed the firewall legitimately — because the rules allowed it.

The Review Cadence Problem

Most organisations we work with have no formal firewall rule review process. Those that do typically review annually — which is insufficient given the pace of infrastructure change. Best practice is quarterly review of all rules, with monthly review of any rule flagged as high-risk (broad permissions, internet-facing, or critical asset access).

The challenge is that manual rule review doesn't scale. Reading 800 rules line by line is tedious, error-prone, and requires deep knowledge of both the network topology and the business context for each rule. This is why automated policy analysis tools exist — and why they should be part of every organisation's security toolkit.

Layer7's FAC Approach

Our Firewall Assurance and Compliance service takes a structured approach:

  1. Baseline-audit. We nemen de volledige regelset op en voeren geautomatiseerde analyse uit om overschaduwde, redundante, te permissieve en verweesde regels te identificeren. Dit reduceert de regelset typisch met 20-30% bij de eerste doorgang.
  2. Zakelijke contextmapping. We werken samen met de netwerk- en applicatieteams van de klant om resterende regels te koppelen aan zakelijke rechtvaardigingen. Elke regel die niet kan worden gerechtvaardigd, wordt gemarkeerd voor verwijdering.
  3. Risicogebaseerde prioritering. Niet alle regelschendingen zijn gelijk. Een any-any-regel op een intern management-VLAN heeft een lager risico dan een op de aan internet blootgestelde perimeter. We scoren en prioriteren bevindingen dienovereenkomstig.
  4. Continue governance. We stellen een wijzigingsbeheerproces in voor firewallregels — geen regel wordt toegevoegd zonder een gedocumenteerde zakelijke rechtvaardiging, een vervaldatum en een eigenaar. Regels worden beoordeeld op een vastgestelde cadans.
  5. Rapportage en compliance. Maandelijkse rapporten tonen regelhygiënestatistieken, wijzigingstrends en compliancestatus. Dit geeft CISO's de gegevens die ze nodig hebben voor bestuursrapportage en auditgereedheid.

Snelle zelfbeoordeling

Beantwoord deze vijf vragen over uw firewallomgeving:

  1. Wanneer is elke regel voor het laatst beoordeeld en gerechtvaardigd?
  2. Hoeveel regels bevatten "any" in het bron-, bestemmings- of serviceveld?
  3. Heeft u een gedocumenteerd proces voor het uitfaseren van regels?
  4. Kunt u identificeren welke regels gekoppeld zijn aan buiten dienst gestelde systemen?
  5. Heeft elke regel een benoemde eigenaar en een zakelijke rechtvaardiging?

Als u op drie of meer vragen "nee" of "weet ik niet" hebt geantwoord, zijn uw firewallregels waarschijnlijk uw grootste onbeheerd risico. Het goede nieuws: dit is volledig te verhelpen en de ROI is meetbaar.

De Firewall Assurance and Compliance-service van Layer7 Networking helpt Zuid-Afrikaanse organisaties sinds 2003 om de controle over hun firewallbeleid te herwinnen. Neem contact met ons op voor een gratis initiële beoordeling.

Het AI-dreigingslandschap in 2026: Wat Er Veranderd Is en Wat Niet
AI-aangedreven aanvallen zijn echt, maar de fundamenten voorkomen nog steeds 80% van de inbreuken. Het perspectief van een practitioner.