Сопровождение firewall’а и управление firewall’ом
Для конфигурирования и последующего сопровождения firewall’а используется один из двух возможных механизмов. Первым механизмом является конфигурирование с помощью интерфейса командной строки, который дает возможность администратору конфигурировать firewall посредством вызова различных типов команд в командном режиме. Однако при использовании данной технологии администратор может сделать разного рода ошибки. Основное преимущество конфигурирования в командной строке состоит в том, что опытный администратор может сконфигурировать firewall и реагировать на опасные ситуации гораздо быстрее, чем с использованием графического интерфейса.
Второй (и более общий) механизм состоит в использовании графического интерфейса. Этот интерфейс, как правило, проще. В нем обычно существует возможность уведомлять администратора о необходимости конфигурировать дополнительные системы после истечения определенного времени. Основной проблемой, связанной с графическими интерфейсами, является точность (гранулированность) конфигурирования. Во многих современных firewall’ах существуют опции, которые есть у firewall’а, но они не могут быть сконфигурированы с использованием графического интерфейса. В этом случае должен использоваться интерфейс командной строки.
В обоих случаях следует иметь гарантии, что для всего сетевого трафика, предназначенного для системы управления firewall’ом, выполняются требования безопасности. Для интерфейсов, основанных на web, данная безопасность реализуется использованием неанонимного SSL с последующей аутентификацией пользователя по ID и паролю. Для собственных (не-web) интерфейсов обычно реализуется тот или иной способ шифрования транспорта. То, что все функции управления firewall’ом должны выполняться по безопасным каналам с использованием строгой аутентификации и шифрования, должно быть явно указано в политике.
