- •Политика безопасности брандмауэров
- •1. Основы и цель
- •2. Аутентификация
- •3. Анализ возможностей маршрутизации и прокси-серверов
- •3.1. Маршрутизация источника
- •4. Типы брандмауэров
- •4.1 Шлюзы с фильтрацией пакетов
- •4.2. Прикладные шлюзы
- •4.3. Гибридные или сложные шлюзы
- •4.4. Рейтинг
- •5. Архитектуры брандмауэра
- •5.1. Хост, подключенный к двум сегментам сети
- •5.2. Экранированный хост
- •5.3. Экранированная подсеть
- •6. Интранет
- •7. Администрирование брандмауэра
- •7.1. Квалификация администратора брандмауэра
- •7.2. Удаленное администрирование брандмауэра
- •8. Доверительные взаимосвязи в сети
- •9. Виртуальные частные сети (vpn)
- •10. Отображение имен в адреса с помощью dns
- •11. Целостность системы
- •12. Документация
- •13. Физическая безопасность брандмауэра
- •14. Действия при попытках нарушения безопасности
- •15. Восстановление сервисов
- •16. Усовершенствование брандмауэра
- •17. Пересмотр политики безопасности для брандмауэра
- •18. Системные журналы (сообщения о событиях и итоговые отчеты)
- •19. Примеры политик
- •20. Примеры специфических политик для отдельных сервисов
5.3. Экранированная подсеть
Архитектура экранированной сети по существу совпадает с архитектурой экранированного хоста, но добавляет еще одну линию защиты, с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети.
Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор.
6. Интранет
Хотя брандмауэры обычно помещаются между сетью и внешней небезопасной сетью, в больших организациях или компаниях брандмауэры часто используются для создания различных подсетей в сети, часто называемой интранетом. Брандмауэры в интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и лот доступ должен контролироваться брандмауэрами и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть брандмауэр для финансового отдела или бухгалтерии в организации.
Решение использовать брандмауэр обычно основывается на необходимости предоставлять доступ к некоторой информации некоторым, но не всем внутренним пользователям, или на необходимости обеспечить хороший учет доступа и использования конфиденциальной
и критической информации.
Для всех систем организации, на которых размещены критические приложения или которые предоставляют доступ к критической или конфиденциальной информации, должны использоваться внутренние брандмауэры и фильтрующие маршрутизаторы для обеспечения строгого управления доступом и аудирования. Эти средства защиты должны использоваться для разделения внутренней сети организации ради реализации политик управления доступом, разработанных владельцами информации (или ответственными за нее).
7. Администрирование брандмауэра
Брандмауэр, как и любое другое сетевое устройство, должен кем-то управляться. Политика безопасности должна определять, кто отвечает за управление брандмауэром.
Должны быть назначены два администратора брандмауэра (основной и заместитель) ответственным за информационную безопасность (или кем-либо из руководства) и они должны отвечать за работоспособность брандмауэра. Основной администратора должен производить изменения в конфигурации брандмауэра, а его заместитель должен производить любые действия только в отсутствие основного, чтобы не возникало противоречивых установок.
Каждый администратор брандмауэра должен сообщить свой домашний телефонный номер, номер пейджера, сотового телефона или другую информацию, необходимую для того, чтобы связаться с ним в любое время.
7.1. Квалификация администратора брандмауэра
Обычно рекомендуется иметь двух опытных человек для ежедневного администрирования брандмауэра. При такой организации администрирования брандмауэр будет работать практически без сбоев. Информация о каждом администраторе должна быть обязательно в письменном виде, чтобы быстро связаться с ними при возникновении проблем.
Безопасность сайта важна для повседневной деятельности организации. Поэтому требуется, чтобы администратор брандмауэра по-настоящему понимал принципы сетевых технологий и их реализации. Например, так как большинство брандмауэров сделано для работы с TCP/IP, необходимо серьезное понимание всех особенностей этого протокола. Более подробно о знаниях и навыках, необходимых для технических специалистов, смотрите в разделе "Администрирование ЛВС".
Человек, назначенный администратором брандмауэра, должен иметь большой опыт работы с сетевыми технологиями, чтобы брандмауэр был правильно сконфигурирован и корректно администрировался. Администратор брандмауэра должен периодически посещать курсы по брандмауэрам и теории и практике сетевой безопасности или другим способом поддерживать высокий профессиональный уровень.