May 29th, 2012 
admin
При настройке политики межсетевого экранирования рассматривают два аспекта сетевой безопасности: политику доступа к сетевым ресурсам и политику реализации собственно МЭ. Политика доступа к сетевым ресурсам отражает общие требования по безопасности той или иной организации, и при ее разработке должны быть сформулированы правила доступа пользователей к различным сервисам, используемым в организации. Указанные правила опи- сывают, какой внутренний (внешний) пользователь (группа пользователей), когда, с какого внутреннего (внешнего) узла сети и каким сервисом может воспользоваться с уточнением в случае необходимости способов аутентифи- кации пользователей и адресов целевых серверов.
Политика реализации МЭ определяет, каким образом применяется по-
литика доступа к сетевым ресурсам, и в ряде случаев зависит от используемых сервисов и выбранных средств построения экрана. Как правило, при выборе политики реализации МЭ останавливаются на одной из двух базовых страте- гий:
? разрешать все, что явно не запрещено;
? запрещать все, что явно не разрешено.
Хотя может показаться, что эти две стратегии очень просты и почти не отличаются друг от друга, на самом деле это не так. При выборе первой стра-
тегии МЭ по умолчанию разрешает все сервисы, которые не указаны как за-
прещенные. В этом случае для обеспечения безопасности сети придется соз-
давать правила, которые учитывали бы все возможные запреты. Это не только приведет к необходимости описания большого количества правил, но и заста- вит пересматривать их при появлении каждого нового протокола или сервиса, которые существующими правилами не охватываются.
Вторая стратегия строже и безопаснее. Намного проще управлять МЭ,
запретив весь трафик по умолчанию и задав правила, разрешающие прохож-
дение через границу сети только необходимых протоколов и сервисов. Запрет всего трафика по умолчанию обеспечивается вводом правила «Запрещено все» в последней строке таблицы фильтрации. Однако в ряде случаев, в част- ности при использовании простого пакетного фильтра, описание правил до- пустимых сервисов также сопряжено с трудоемким процессом, требующим досконального знания алгоритмов функционирования протоколов в рамках того или иного сервиса.
Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс
Опубликовано в рубрике