- •Политика безопасности брандмауэров
- •1. Основы и цель
- •2. Аутентификация
- •3. Анализ возможностей маршрутизации и прокси-серверов
- •3.1. Маршрутизация источника
- •4. Типы брандмауэров
- •4.1 Шлюзы с фильтрацией пакетов
- •4.2. Прикладные шлюзы
- •4.3. Гибридные или сложные шлюзы
- •4.4. Рейтинг
- •5. Архитектуры брандмауэра
- •5.1. Хост, подключенный к двум сегментам сети
- •5.2. Экранированный хост
- •5.3. Экранированная подсеть
- •6. Интранет
- •7. Администрирование брандмауэра
- •7.1. Квалификация администратора брандмауэра
- •7.2. Удаленное администрирование брандмауэра
- •8. Доверительные взаимосвязи в сети
- •9. Виртуальные частные сети (vpn)
- •10. Отображение имен в адреса с помощью dns
- •11. Целостность системы
- •12. Документация
- •13. Физическая безопасность брандмауэра
- •14. Действия при попытках нарушения безопасности
- •15. Восстановление сервисов
- •16. Усовершенствование брандмауэра
- •17. Пересмотр политики безопасности для брандмауэра
- •18. Системные журналы (сообщения о событиях и итоговые отчеты)
- •19. Примеры политик
- •20. Примеры специфических политик для отдельных сервисов
4.2. Прикладные шлюзы
Прикладной шлюз использует программы (называемые прокси-серверами), запускаемые на брандмауэре. Эти прокси-сервера принимают запросы извне, анализируют их и передают безопасные запросы внутренним хостам, которые предоставляют соответствующие сервисы. Прикладные шлюзы могут обеспечивать такие функции, как аутентификация пользователей и протоколирование их действий.
Так как прикладной шлюз считается самым безопасным типом брандмауэра, эта конфигурация имеет ряд преимуществ с точки зрения сайта со средним уровнем риска:
• Брандмауэр может быть сконфигурирован как единственный хост, видимый из
внешней сети, что будет требовать прохождения всех соединений с внешней сетью через него.
Использование прокси-серверов для различных сервисов предотвращает прямойдоступ к этим сервисам, защищая организацию от небезопасных или плохосконфигурированных внутренних хостов
С помощью прикладных шлюзов может быть реализована усиленнаяаутентификация.
Прокси-сервера могут обеспечивать детальное протоколирование на прикладномуровне
Брандмауэры прикладного уровня должны конфигурироваться так, чтобы весь выходящий трафик казался исходящим от брандмауэра, то есть, чтобы только брандмауэр был виден внешним сетям. Таким образом, будет запрещен прямой доступ к внутренним сетям. Все входящие запросы различных сетевых сервисов, таких как Telnet, FTP, HTTP, RLOGIN, и т.д., независимо от того, какой внутренний хост запрашивается, должны проходить через соответствующий прокси-сервер на брандмауэре.
Прикладные шлюзы требуют прокси-сервера для каждого сервиса, такого как FTP, HTTP и т.д., поддерживаемого брандмауэром. Когда требуемый сервис не поддерживается прокси, у организации имеется три варианта действий:
Отказаться от использования этого сервиса, пока производитель брандмауэра неразработает для него безопасный прокси-сервер - это предпочтительный подход,так как многие новые сервисы имеют большое число уязвимых мест.
Разработать свой прокси - это достаточно сложная задача и должна решатьсятолько техническими организациями, имеющими соответствующих специалистов.
Пропустить сервис через брандмауэр - использование того, что обычно называется"заглушками", большинство брандмауэров с прикладными шлюзами позволяетпропускать большинство сервисов через брандмауэр с минимальной фильтрациейпакетов. Это может ограничить число уязвимых мест, но привести ккомпрометации систем брандмауэров.
Низкий риск
Когда для входящих Интернетовских сервисов нет прокси-сервера, но требуется пропускать его через брандмауэр, администратор брандмауэра должен использовать конфигурацию или "заплатку", которая позволит использовать требуемый сервис. Когда прокси-сервер разрабатывается производителем, то "заплатка" должна быть отключена.
Средний-высокий
Все входящие интернетовские сервисы должны обрабатываться прокси-сервером на брандмауэре. Если требуется использование нового сервиса, то его использование должно быть запрещено до тех пор, пока производитель брандмауэра не разработает для него прокси-сервер, и он не будет протестирован администратором брандмауэра. Только по специальному разрешению руководства можно разрабатывать свой прокси-сервер или закупать его у других производителей.