Раздел: Документация

0 ... 4 5 6 7 8 9 10 ... 125

системы, поскольку знают, что слабости коммерческих операционных систем хорошо известны хакерам.

Чтобы больше узнать об аппаратных брандмауэрах, доступных на рынке, см. главу 20.

Какой межсетевой экран вам следует предпочесть для защиты своей сети? Так же, как и в других случаях, вы должны делать выбор на основе требований к безопасности сети и функциональных возможностей различных брандмауэров. Безусловно, надо принимать во внимание его стоимость и, разумеется, расходы на поддержку. Постарайтесь убедить руководство в важности требований, предъявленных вами к брандмауэру, чтобы на приобретение выделили дополнительные средства.

Если сотрудники вашей службы сетевой поддержки обладают высокой квалификацией, то не исключено, что для вас будет лучше создать собственный брандмауэр, воспользовавшись уже имеющимися маршрутизаторами и серверами. Если же вы работаете в небольшой компании, которая впервые подключается к Internet, и не имеете опыта создания межсетевых экранов, стоит обратиться к одному из производителей программных и/или аппаратных брандмауэров, которые предлагают также услуги по его установке и поддержке.

Программный или аппаратный? Создавать самостоятельно или покупать? Читая эту книгу, вы будете все отчетливее понимать, как работают различные брандмауэры, сможете грамотно ставить вопросы и принимать взвешенные решения. Обязательно привлеките к процессу принятия решения ключевых пользователей и менеджеров, хорошо знакомых с повседневной работой вашей сети. Технический персонал может перечислить протоколы и приложения, для которых нужно сделать исключение в политике безопасности межсетевого экрана. Чем больше предварительной информации вы соберете, тем удачнее будет ваш выбор.

Операционные системы

На брандмауэре необязательно иметь ту же систему, что и на серверах или рабочих станциях. Например, на рабочих станциях и серверах может быть установлена система Windows NT. Означает ли это, что на брандмауэре тоже необходима Windows NT, если вы хотите организовать доступ клиентов в Internet посредством proxy-серверов? Нет.

Следует выбирать брандмауэр на основе его функциональных возможностей по обеспечению требований политики безопасности вашей сети.

Важно хорошо понимать принципы работы межсетевого экрана и аккуратно настраивать его. Иначе говоря, требуется, чтобы вы были хорошо знакомы и с его операционной системой. Если вы не понимаете, как функционируют операционная система, ее механизмы безопасности и инструменты для работы с ними,

---

вы не сможете быть уверенными в том, что ваш брандмауэр не скомпрометирован нарушителем, эксплуатирующим слабость (или функциональную особенность) операционной системы.

Так, ваш программный брандмауэр может прекрасно функционировать на компьютере с системой UNIX, установленном на границе вашей локальной сети. Но, не понимая принципа действия системы защиты файлов UNIX, вы не всегда обратите внимание на то, что злонамеренный сотрудник заменил права доступа к файлу паролей, сделав его доступным для записи и чтения извне. Затем, уволившись, он сумеет незаметно для вас обращаться к вашему брандмауэру через Internet и изменять его настройки.

Если вдуматься, что может быть хуже, чем непонимание принципов работы межсетевого экрана, на который вам приходится всецело полагаться? Ведь вы никогда не будете действительно уверены в том, что он работает как следует.

бы найдете более подробный анализ вопросов безопасности операционных систем UNIX и Windows NT в главе 8.

Сомнения в надежности функционирования межсетевого экрана операционных систем Windows NT, UNIX, Linux и др. возникают благодаря постоянному потоку сообщений о новых ошибках и проблемах безопасности в этих ОС, циркулирующему в Internet. В последние несколько лет многие критикуют надежность Windows NT, говоря, что эта платформа недостаточно стабильна для того, чтобы ее можно было использовать в среде повышенной безопасности. Но, потратив некоторое время на изучение этого вопроса, вы обнаружите, что все операционные системы имеют свои недостатки. Новые версии Windows NT, скорее всего, будут содержать ошибки, которые производителю придется устранять. Новые версии UNIX и Linux также не идеальны в этом отношении. Чем шире распространена операционная система, тем больше вероятность обнаружения в ней недоработок и уязвимых мест.

Важно, чтобы продукт поддерживался производителем, который берет на себя ответственность за обнаружение подобных проблем и их быстрое устранение. Если вы уверены в том, что хорошо разбираетесь в операционной системе, установленной в брандмауэре, не имеет значения, будет ли это та же система, что и на рабочих станциях или серверах в остальной части сети. Сегодня локальные сети в большинстве случаев не являются однородными, а представляют собой объединение нескольких типов компьютерных сетей и сетевых протоколов.

На что способен межсетевой экран

Межсетевой экран не гарантирует абсолютную защиту вашей сети, и его нельзя рассматривать в качестве единственного средства обеспечения безопасности. Необходимо понимать, как именно выполняет брандмауэр свои функции по защите сети. В

---

Что такое трансляция сетевых адресов?

Еще одно свойство некоторых брандмауэров, которое становится все более полезным по мере исчерпания диапазона IP-адресов, - это трансляция сетевых адресов (network address translation, NAT). Она скрывает настоящие адреса компьютеров в сети при обращении к серверам Internet, повышая тем самым их безопасность. При посылке запроса серверу реализующий NAT брандмауэр заменяет сетевой адрес клиента на собственный. При получении ответа он помещает в заголовок пакета настоящий адрес и пересылает его клиенту. Очевидно, что при использовании NAT для подключения к Internet всей локальной сети вам понадобится лишь один адрес.

равной степени важно знать, от чего он не может вас обезопасить. В общем случае правильно сконструированный межсетевой экран способен:

О защищать сеть от небезопасных протоколов и служб;

О защищать информацию о пользователях, системах, сетевых адресах и выполняемых в сети приложениях от внешнего наблюдения;

О обеспечить ведение журнала (в виде набора log-файлов), содержащего статистические данные и записи о доступе к защищенным ресурсам. Это позволяет убедиться в том, что ваша сеть работает эффективно и надежно. Хороший межсетевой экран также имеет в настройках опцию предупреждения администратора о возникновении критических событий, таких как попытка несанкционированного доступа, по пейджеру или другим способом;

О гарантировать централизованное управление безопасностью сети по отношению к остальному миру. Межсетевой экран - это шлюз между Internet и вашей сетью. В большой сети может существовать несколько соединений с внешними сетями и, следовательно, несколько брандмауэров. В этом случае следует особенно тщательно подойти к выбору брандмауэра. Многие новые продукты предоставляют возможность администрировать с одной консоли управления сразу несколько брандмауэров.

От чего межсетевой экран не может защитить

Межсетевой экран не в состоянии уберечь вас от взлома изнутри. Это означает, что для защиты от возможных разрушительных действий пользователей внутри сети следует прибегать к обычным средствам безопасности. При применении брандмауэра важно не забывать о том, что он не снимает все существующие проблемы безопасности в сети. Межсетевой экран не берет на себя повседневных функций по администрированию систем и обеспечению безопасности. Он просто создает еще один уровень безопасности.

0 ... 4 5 6 7 8 9 10 ... 125