Политика межсетевого экранирования

При  настройке  политики  межсетевого  экранирования  рассматривают два аспекта сетевой безопасности: политику доступа к сетевым ресурсам и политику реализации собственно МЭ. Политика доступа к сетевым ресурсам отражает общие требования по безопасности той или иной организации, и при ее разработке должны быть сформулированы правила доступа пользователей к различным сервисам, используемым в организации. Указанные правила опи- сывают, какой внутренний (внешний) пользователь (группа пользователей), когда, с какого внутреннего (внешнего) узла сети и каким сервисом может воспользоваться с уточнением в случае необходимости способов аутентифи- кации пользователей и адресов целевых серверов.

Политика реализации МЭ определяет, каким образом применяется по-

литика доступа к сетевым ресурсам, и в ряде случаев зависит от используемых сервисов и выбранных средств построения экрана. Как правило, при выборе политики реализации МЭ останавливаются на одной из двух базовых страте- гий:

?    разрешать все, что явно не запрещено;

?    запрещать все, что явно не разрешено.

Хотя может показаться, что эти две стратегии очень просты и почти не отличаются друг от друга, на самом деле это не так. При выборе первой стра-

тегии МЭ по умолчанию разрешает все сервисы, которые не указаны как за-

прещенные. В этом случае для обеспечения безопасности сети придется соз-

давать правила, которые учитывали бы все возможные запреты. Это не только приведет к необходимости описания большого количества правил, но и заста- вит пересматривать их при появлении каждого нового протокола или сервиса, которые существующими правилами не охватываются.

Вторая стратегия строже и безопаснее. Намного проще управлять МЭ,

запретив весь трафик по умолчанию и задав правила, разрешающие прохож-

дение через границу сети только необходимых протоколов и сервисов. Запрет всего  трафика  по  умолчанию обеспечивается вводом  правила  «Запрещено все» в последней строке таблицы фильтрации. Однако в ряде случаев, в част- ности при использовании простого пакетного фильтра, описание правил до- пустимых сервисов также сопряжено с трудоемким процессом, требующим досконального знания алгоритмов функционирования протоколов в рамках того или иного сервиса.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий