Політика міжмережевого екранування

При налаштуванні політики міжмережевого екранування розглядають два аспекти мережевої безпеки: політику доступу до мережевих ресурсів і політику реалізації власне МЕ Політика доступу до мережевих ресурсам відображає загальні вимоги з безпеки тієї чи іншої організації, і при її розробці повинні бути сформульовані правила доступу користувачів до різних сервісів, використовуваним в організації Зазначені правила опи-сують, який внутрішній (зовнішній) користувач (група користувачів), коли, з якого внутрішнього (зовнішнього) вузла мережі і яким сервісом може скористатися з уточненням у разі необхідності способів аутентіфі-кации користувачів і адрес цільових серверів

Політика реалізації МЕ визначає, яким чином застосовується по-

литика доступу до мережевих ресурсів, і в ряді випадків залежить від використовуваних сервісів і обраних засобів побудови екрана Як правило, при виборі політики реалізації МЕ зупиняються на одній з двох базових страті-гий:

– Дозволяти все, що явно не заборонено

– Забороняти все, що явно не дозволено

Хоча може здатися, що ці дві стратегії дуже прості і майже не відрізняються один від одного, насправді це не так При виборі першої стра-

тегии МЕ за замовчуванням дозволяє всі сервіси, які не вказані як за-

сваріння У цьому випадку для забезпечення безпеки мережі доведеться ство-

давати правила, які враховували б всі можливі заборони Це не тільки призведе до необхідності опису великої кількості правил, а й заст-віт переглядати їх при появі кожного нового протоколу або сервісу, які існуючими правилами не охоплюються

Друга стратегія суворіше і безпечніше Набагато простіше управляти МЕ,

заборонивши весь трафік за замовчуванням і задавши правила, що дозволяють прохож-

дення через кордон мережі тільки необхідних протоколів і сервісів Заборона всього трафіку за замовчуванням забезпечується введенням правила «Заборонено все» в останньому рядку таблиці фільтрації Проте у ряді випадків, в част-ності при використанні простого пакетного фільтра, опис правил допустимих сервісів також повязане з трудомістким процесом, що вимагає досконального знання алгоритмів функціонування протоколів в рамках того чи іншого сервісу

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*