Раздел: Документация
0 ... 34 35 36 37 38 39 40 ... 125 поиск по слову «firewall»). Многие из таких продуктов даже можно бесплатно загрузить и протестировать. Преимущества и недостатки пакетных фильтров Пакетный фильтр - это первый шаг по пути к созданию межсетевого экрана. По сравнению с proxy-серверами, пакетные фильтры имеют свои преимущества и недостатки. Вот некоторые из преимуществ: О «бесплатная» фильтрация пакетов. Если у вас уже есть маршрутизатор, то не исключено, что он поддерживает фильтрацию пакетов. В небольшой локальной сети для создания пакетного фильтра бывает достаточно всего одного маршрутизатора; О теоретически нужен всего один пакетный фильтр в точке подключения локальной сети к Internet или внешней сети. Это обеспечивает создание «заслонки» для сети; О для реализации пакетного фильтра вам не потребуется обучать пользователей или устанавливать специальные клиентские и серверные программы. Экранирующий маршрутизатор или программный пакетный фильтр выполняет всю работу прозрачно для клиентов сети. Некоторые из наиболее очевидных недостатков пакетных фильтров: О настройка маршрутизаторов иногда оказывается довольно сложной, в особенности если вы пытаетесь создать сложную конфигурацию с большим числом правил. В этой ситуации и тестировать их не всегда легко; О при отказе или неправильной настройке пакетного фильтра нанесенный сети ущерб может быть значительно больше, чем при отказе proxy-сервера. В случае отказа proxy-сервера нет опасности свободного проникновения IP-пакетов в сеть, как это случается при ошибке в маршрутизаторе или при его неправильной настройке. Выход из строя proxy-сервера разрывает соединение; О пакетные фильтры работают с небольшим набором данных - с информацией в заголовке IP-пакета, что ограничивает их возможности. Фильтры с памятью помогают улучшить эту ситуацию, но для создания; законченного межсетевого экрана кроме пакетных фильтров следует применять и ргоху-серверы; О многие маршрутизаторы с фильтрацией пакетов не обеспечивают возможности регистрации, поэтому после атаки или проникновения в систему сложно получить информацию о том, как это произошло. Тщательно отбирайте правила фильтрации пакетов, ясно давая себе отчет, от чего вы пытаетесь защититься. Тестируйте правила, чтобы убедиться в том, что они действительно работают. Установите пакетный фильтр на границе сети в качестве первого компонента межсетевого экрана. / Укрепленный хост-компьютер Настройка укрепленного компьютера В большинстве крупных сетей существуют стандартные процедуры настройки размещаемых в сети серверов и рабочих станций. В главе 4 подчеркивалась важность создания документов, определяющих настройку узлов сети. В этой главе мы рассмотрим некоторые проблемы, возникающие при настройке особого типа сервера -укрепленного компьютера. Для настройки этой системы недостаточно просто применить процедуры, принятые для других серверов или рабочих станций. Здесь требуется тщательный анализ множества вопросов безопасности и функциональности. Создайте резервную копию! В настоящей главе обсуждается редактирование файлов конфигурации и удаление файлов, не нужных для работы укрепленного компьютера. Сделайте резервную копию системы после ее установки и до начала настройки. Если вам удастся разбить процесс настройки на несколько задач, выполняйте резервное копирование после завершения каждой из них. Это позволит вам откатиться назад, если вы обнаружите ошибку. Термин укрепленный компьютер (bastion host) применяется при описании компьютерной системы, защита которой была усилена до степени, не целесообразной для обычной рабочей станции. Укрепленный компьютер максимально использует все механизмы защиты ресурсов, аудита и аутентификации своей операционной системы. С укрепленного компьютера удаляются все приложения и службы, которые не являются необходимыми для его работы, чтобы с их помощью невозможно было нарушить безопасность. Ненужные учетные записи пользователей также удаляются, и остаются только те, которые нужны для работы программного обеспечения или администрирования компьютера. Такой компьютер с урезанными функциональными возможностями называется укрепленным компьютером, и его основной функцией является защита сети. Хороший межсетевой экран обычно состоит из нескольких устройств. Как правило, для подключения локальной сети к Internet служит маршрутизатор, который можно настроить для выполнения фильтрации пакетов. Пакетный фильтр представляет собой первую линию обороны между локальной сетью и Internet. В зависимости от выбранной архитектуры межсетевого экрана за пакетным фильтром обычно стоит один или несколько укрепленных компьютеров, работающих в качестве proxy-серверов для клиентов локальной сети. В архитектуре экранированного узла или экранированной подсети для выполнения функций proxy-сервера служит один компьютер или подсеть из нескольких компьютеров. Используемые для этой цели компьютеры должны быть укрепленными. В небольшой сети хватает всего одного сервера, обеспечивающего работу электронной почты компании и навигацию в Web. В большой сети, возможно, потребуется создание специализированных узлов, на каждом из которых будет работать proxy-сервер для определенного приложения. Но настройка укрепленного компьютера слабо зависит от размера сети. Следует настраивать его так, чтобы была обеспечена максимальная степень защиты и компьютер был способен выполнять свои функции. Уровень защиты должен выбираться на основе компромисса между нуждами пользователей и потенциальными угрозами безопасности сети. Нельзя подходить к настройке укрепленного компьютера легкомысленно. Если вы имеете дело с коммерческим продуктом, внимательно прочитайте прилагаемую документацию. В руководстве по его настройке должны быть описаны вопросы конфигурирования операционной системы, которым необходимо уделить особое внимание. В этой главе мы рассмотрим некоторые приемы, которые помогут вам усилить защиту укрепленного компьютера, в том числе: О установку защищенной версии операционной системы; О удаление ненужных служб; О удаление прикладных программ и приложений, не связанных с выполняемыми укрепленным компьютером функциями; О использование механизмов защиты ресурсов операционной системы для строгого контролирования доступа к файлам и каталогам; О настройку надежного аудита и регистрации. Установка операционной системы Следует по возможности устанавливать операционную систему укрепленного компьютера «с нуля». Если вы располагаете старым компьютером, на котором уже имеется операционная система, лучше отформатировать диск и установить 0 ... 34 35 36 37 38 39 40 ... 125
|