Межсетевое экранирование

Принципы построения окружения firewall’а


Существует четыре принципа, которым необходимо следовать:

  1. Простота (Keep It Simple)

    Данный принцип говорит о первом и основном, о чем надо помнить при разработки топологии сети, в которой функционирует firewall. Важно принимать наиболее простые решения — более безопасным является то, чем легче управлять. Трудно понимаемые функциональности часто приводят к ошибкам в конфигурации.

  2. Использование устройств по назначению

    Использование сетевых устройств для того, для чего они первоначально предназначались, в данном контексте означает, что не следует делать firewall’ы из оборудования, которое не предназначено для использования в качестве firewall’а. Например, роутеры предназначены для роутинга; возможности фильтрования пакетов не являются их исходной целью, и это всегда надо учитывать при разработке окружения firewall’а. Зависимость исключительно от возможности роутера обеспечивать функциональность firewall’а опасна: он может быть легко переконфигурирован. Другим примером являются сетевые коммутаторы (switch): когда они используются для обеспечения функциональности firewall’а вне окружения firewall’а, они чувствительны к атакам, которые могут нарушить функционирование коммуникатора. Во многих случаях гибридные firewall’ы и устройства firewall’ов являются лучшим выбором, потому что они оптимизированы в первую очередь для функционирования в качестве firewall’ов.

  3. Создание обороны вглубь

    Оборона вглубь означает создание нескольких уровней защиты в противоположность наличию единственного уровня. Не следует всю защиту обеспечивать исключительно firewall’ом. Там, где может использоваться несколько firewall’ов, они должны использоваться. Там, где роутеры могут быть сконфигурированы для предоставления некоторого управления доступом или фильтрации, это следует сделать. Если ОС сервера может предоставить некоторые возможности firewall’а, это следует применить.

  4. Внимание к внутренним угрозам

    Наконец, если уделять внимание только внешним угрозам, то это приводит в тому, что сеть становится открытой для атак изнутри. Хотя это и маловероятно, но следует рассматривать возможность того, что нарушитель может как-то обойти firewall и получить свободу действий для атак внутренних или внешних систем. Следовательно, важные системы, такие как внутренние web или e-mail серверы или финансовые системы, должны быть размещены позади внутренних firewall’ов или DMZ-зон.

В качестве итога заметим, что выражение "всю защиту можно взломать" особенно применимо к построению окружений firewall’а. При развертывании firewall’ов следует помнить о перечисленных выше правилах для определения окружений, но в каждом случае могут иметь место свои собственные требования, возможно, требующие уникальных решений.



Содержание раздела