- •Введение
- •Классификация firewall’ов
- •Установление тср-соединения
- •Пакетные фильтры
- •Пограничные роутеры
- •Пример набора правил пакетного фильтра
- •Персональные firewall’ы и персональные устройства firewall’а
- •Прокси-сервер прикладного уровня
- •Выделенные прокси-серверы
- •Гибридные технологии firewall’а
- •Трансляция сетевых адресов (nat)
- •Статическая трансляция сетевых адресов
- •Скрытая трансляция сетевых адресов
- •Принципы построения окружения firewall’а
- •Простота (Keep It Simple)
- •Использование устройств по назначению
- •Создание обороны вглубь
- •Внимание к внутренним угрозам
- •Конфигурация с одной dmz-сетью
- •Service Leg конфигурация
- •Конфигурация с двумя dmz-сетями
- •Виртуальные частные сети
- •Расположение vpn-серверов
- •Интранет
- •Экстранет
- •Компоненты инфраструктуры: концентраторы и коммутаторы
- •Расположение серверов в dmz-сетях
- •Внешне доступные серверы
- •Vpn и Dial-in серверы
- •Внутренние серверы
- •Smtp-серверы
- •Политика безопасности firewall’а
- •Политика firewall’а
- •Реализация набора правил firewall’а
- •Тестирование политики firewall’а
- •Возможные подходы к эксплуатации firewall’а
- •Сопровождение firewall’а и управление firewall’ом
- •Физическая безопасность окружения firewall’а
- •Администрирование firewall’а Встраивание firewall’ов в ос
- •Стратегии восстановления после сбоев firewall’а
- •Возможности создания логов firewall’а
- •Инциденты безопасности
- •Создание backup’ов firewall’ов
Создание backup’ов firewall’ов
Создание и сопровождение backup’ов является ключевой точкой в любой политике администрирования firewall’а. Для всех firewall’ов должен выполняться ежедневный backup.
В принципе, на всех firewall’ах всегда должны выполняться полные backup’ы. В инкрементальных backup’ах нет необходимости.
Обычно бывает трудно реализовать централизованную схему управления с доступом к firewall’у. Также предоставление доступа к централизованному серверу backup’а, который обычно расположен за firewall’ом, будет представлять большой риск с точки зрения секретности backup’ов. Следовательно, большинство firewall’ов должно использовать свои собственные устройства архивирования.
Также желательно (но не всегда возможно) использовать firewall’ы, у которых все критичные конфигурационные файлы расположены на CDROM. Для UNIX это является более реальным; основной директорией, требующей доступа по записи, является директория /var все логи обычно хранятся в данной директории. Развертывание firewall’ов, основанных на Windows, с read-only файловыми системами в настоящее время невозможно.