Интернет и безопасность в нем

       

и при создании политики сетевого доступа



4.1.1 Шаги при создании политики сетевого доступа

Брандмауэр - это реализация политики сетевого доступа, которая рассматривалась в . Существует ряд вариантов этой политики, которые можно реализовать, таких как запрет доступа извне, неограниченный доступ в Интернет или ограниченный входящий доступ и ограниченный выходящий доступ. Политика проектирования брандмауэра определяет во-многом политику сетевого доступа: чем строже политика проектирования брандмауэра, тем более строгой будет и политика сетевого доступа. Поэтому прежде всего нужно определиться с политикой проектирования брандмауэра.

Как уже объяснялось в главе 2.4.1, типовыми политиками проектирования брандмауэра являются запрет всех сервисов, кроме тех, что явно разрешены, или разрешение на доступ ко всем сервисам, кроме тех, что явно запрещены. Первый тип более безопасен и поэтому предпочтителен, но он также более строг, в результате чего при нем допускается работа меньшего числа сервисов. Глава 3 содержит несколько примеров брандмауэров, и в ней наглядно показано, что некоторые типы брандмауэров могут реализовывать оба вида политики управления доступом, в то время как брандмауэр на основе шлюза с двумя интерфейсами предназначен для реализации политики "все, что не разрешено - запрещено". Кроме того, эти примеры показывают, что системы, требующие обеспечения доступа к сервисам, не пропускаемым брандмауэром, могут быть размещены в изолированных подсетях отдельно от других внутренних систем. Клчевым моментом здесь является то, что в зависимости от требований обеспечения безопасности и гибкости, некоторые типы брандмауэров более предпочтительны, чем другие. Этот факт подчеркивает важность правильного выбора политики до начал создания брандмауэра; другой порядок действий нецелесообразен.

Для того, чтобы правильно разработать концептуальную политику брандмауэра, а затем систему брандмауэра, которая реализует эту политику, NIST рекмоендует, чтобы сначала был разработан самы безопасный вариант политики - то есть запретить все сервисы, кроме тех, что явно разрешены. Разработчики политики должны разбираться в следующих вопросах и задокументировать их:



Содержание раздела