Раздел: Документация

0 ... 3 4 5 6 7 8 9 ... 125

МЕЖСЕТЕВОЙ ЭКРАН И ВНУТРЕННЯЯ ПОЛИТИКА БЕЗОПАСНОСТИ 21

продуктов или появлении новых служб, а также легко размещать на сервере документацию и осуществлять поддержку продуктов; О электронная почта. При помощи простого протокола пересылки почты (Simple Mail Transfer Protocol, SMTP) вы сумеете посылать электронную почту со своего компьютера почти в любую точку мира. Это прекрасный способ быстрого общения с клиентами и сотрудниками. Если учесть стоимость пересылки обычных писем, станет ясно, что большинство компаний в течение ближайших лет (по мере подключения к Internet все большего числа клиентов) начнут отправлять счета по электронной почте.

г"...............................................................................................".......................""

более подробный список сетевых служб вы найдете в главе 2.\

Это список лишь основных служб, доступных в Internet. Они упомянуты здесь только для того, чтобы вы поточнее определили, как вам хочется использовать Internet. Просмотрев перечень служб, которые, по вашему мнению, понадобятся для работы вашей компании, составьте несколько вопросов по каждому пункту. Существуют ли для данной службы относительно безопасный клиент и сервер? Не приведет ли ее использование к появлению потенциальных «дыр безопасности» в вашей локальной сети? И так далее.

так как большинство служб протоколов tcp и udp применяют определенные номера портов, при выборе доступных пользователям служб вы можете обратиться к списку стандартных портов в приложении i.

Предположим, например, что ваша политика безопасности разрешает пользователям получать доступ к внешним компьютерам с помощью Telnet, но запрещает любые входящие подключения по данному протоколу. Это позволяет пользователям выполнять удаленное подключение к системам клиентов, но блокирует проникновение в вашу сеть извне. Примерно так же можно определять политику безопасности для других важных сетевых служб, таких как FTP и SMTP, в зависимости от конкретных нужд. Но иногда, как и в любой другой политике, вам придется делать исключения.

более подробную информацию о том, как существующая политика безопасности может помочь вам при создании брандмауэра, см. в главе 4.

Политика безопасности брандмауэра

После анализа различных вопросов безопасности имеет смысл приступить к разработке политики безопасности брандмауэра. Есть два основных метода ее реализации:

---

Более подробную информацию о создании политики безопасности брандмауэра см. в главе 4.

Технологии межсетевых экранов

Существуют два основных метода создания брандмауэра: фильтрация пакетов и proxy-серверы. Некоторые администраторы предпочитают другие методы, но они обычно являются разновидностями этих двух. Каждый метод имеет свои преимущества и недостатки, поэтому для надежной защиты сети важно хорошо понимать, как они работают.

Фильтрация пакетов

Фильтры пакетов (packet filters) были первым типом брандмауэров для защиты сети при доступе в Internet. Маршрутизаторы настраивались соответствующим образом, чтобы пропускать или блокировать пакеты. Поскольку маршрутизаторы просматривают только заголовки IP-пакетов, их возможности ограничены. Так, простой фильтр пакетов нетрудно сконфигурировать таким образом, чтобы он разрешал или запрещал применение FTP, но нельзя ограничить отдельные функции этого протокола, например использование команд GET или PUT.

Вы сможете больше узнать о брандмауэрах с фильтрацией пакетов из главы 5.

Применение шлюзов

Фильтр пакетов принимает решения только на основе информации из заголовка пакета, а для создания более сложных межсетевых экранов служат proxy-серверы.

Более подробную информацию о proxy-серверах и шлюзах см. в главе 7.

О разрешить все действия, не запрещенные специально; О запретить все действия, не разрешенные специально.

Я рекомендую вам придерживаться второй стратегии. Почему? Рассуждая логически, гораздо проще определить небольшой список разрешенных действий, чем намного больший перечень запрещенных. Кроме того, поскольку новые протоколы и службы разрабатываются достаточно часто, a Internet продолжает расти, вам не придется постоянно добавлять новые правила, чтобы предотвратить появление дополнительных проблем. Новые разработки не нарушат вашу безопасность, и вам не надо будет ничего делать до принятия решения о разрешении на работу нового протокола или службы после тщательного анализа возникающих при этом угроз безопасности.

---

ВЫБОР МЕЖСЕТЕВОГО ЭКРАНА 23

Шлюз приложений (application gateway), или proxy-сервер (application proxy), -это программа, которая выполняется на брандмауэре и перехватывает трафик приложений заданного типа. Она способна, например, перехватывать запросы пользователей из локальной сети, а затем осуществлять соединение с сервером, расположенным за ее пределами. При этом внутренний пользователь никогда не подключается к внешнему серверу напрямую. Вместо этого proxy-сервер служит в качестве посредника между клиентом и сервером, передавая информацию от одного к другому и обратно. Преимущество такого подхода состоит в том, что proxy-сервер можно запрограммировать на пропускание или блокировку трафика на основе сведений, содержащихся внутри пакета, а не только в его заголовке. Это значит, что proxy-сервер понимает основные методы взаимодействия, используемые определенной службой, и его удается настроить так, чтобы он разрешал или запрещал доступ к функциональным возможностям этой службы, а не просто блокировал соединение в соответствии с номера порта, как это делает фильтр пакетов.

Другие компоненты межсетевого экрана

Фильтр пакетов и proxy-сервер - основные методы создания брандмауэров. Более сложной для изучения темой является их настройка и применение в них различных устройств. В разговоре о брандмауэрах вы будете часто слышать термины укрепленный компьютер (bastion host), «беззащитный» компьютер (sacrificial host) и демилитаризованная зона (demilitarized zone, DMZ). Ниже мы внимательно рассмотрим их конфигурацию, чтобы вам было проще определить, какие из них включить в свой межсетевой экран.

Стратегии, базирующиеся на укрепленном компьютере, подробнее описаны в главе 4.

Детальное обсуждение применения укрепленного компьютера вы можете найти в главе 6.

Выбор межсетевого экрана

Брандмауэры на заре своего существования обычно представляли собой маршрутизатор, настроенный для работы в качестве фильтра пакетов (пропускающего или блокирующего пакеты на основе информации в их заголовках) и базы правил, созданной администратором сети. По мере того как функциональность брандмауэров росла, все большее их число реализовалось в виде программ, выполнявшихся на рабочих станциях или серверах. Последнее поколение брандмауэров - это устройства, которые иногда называют аппаратными брандмауэрами (firewall appliances). Они чаще всего являются набором специализированных программ, установленных в стандартной операционной системе, например в максимально урезанной версии UNIX. Некоторые производители разрабатывают собственные операционные

0 ... 3 4 5 6 7 8 9 ... 125