Сотрудник отдела автоматизации
Table 6.2 Образец политики безопасности для Интернета
| Политика | |||||
| Состояние | Аутентификация | Состояние | Аутентификация | ||
| FTP | Да | Нет | Да | Да | Доступ к FTP должен быть разрешен изнутри снаружу. Должна использоваться усиленная аутентификация для доступа снаружи к FTP. |
| Telnet | Да | Нет | Да | Да | Доступ по Telnet должен быть разрешен изнутри наружу. При доступе снаружи должна использоваться усиленная аутентификация. |
| Rlogin | Да | Нет | Да | Да | rlogin на внутренние машины организации с внешних хостов требует письменного разрешения ответственного за сетевые сервисы и использования усиленной аутентификации. |
| HTTP | Да | Нет | Нет | Нет | Все WWW-сервера, предназначенные для использования внешними пользователями, должны быть размещены за брандмауэром. Входящий HTTP через брандмауэр должен быть запрещен. |
| SSL | Да | Нет | Да | Да | Требуется использовать в сеансах SSL клиентские сертификаты при прохождении SSL-сеансов через брандмауэр. |
| POP3 | Нет | Нет | Да | Нет | POP-сервер организации должен быть размещен внутри за брандмауэром. Брандмауэр будет пропускать POP-трафик только к POP-серверу. Требуется использовать APOP. |
| NNTP | Да | Нет | Нет | Нет | Внешний доступ к NNTP-серверу запрещен. |
| Real Audio | Нет | Нет | Нет | Нет | Сейчас нет коммерческой необходимости поддерживать живое аудио через брандмауэр. Если такой сервис требуется, надо связаться с ответственным за сетевые сервисы. |
| Lp | Да | Нет | Нет | Нет | Входящие запросы на lp-сервис должны блокироваться на брандмауэре |
| Finger | Да | Нет | Нет | Нет | Входящие запросы на finger-сервис должны блокироваться на брандмауэре |
| Gopher | Да | Нет | Нет | Нет | Входящие запросы на gopher-сервис должны блокироваться на брандмауэре |
| Whois | Да | Нет | Нет | Нет | Входящие запросы на whois-сервис должны блокироваться на брандмауэре |
| SQL | Да | Нет | Нет | Нет | Соединения внешних хостов с внутренними БД должны быть утверждены ответственным за сетевые сервисы и использовать утвержденные прокси-сервисы. |
| Rsh | Да | Нет | Нет | Нет | Входящие запросы на rsh-сервис должны блокироваться на брандмауэре |
| Другие, такие как NFS | Нет | Нет | Нет | Нет | Доступ к любым другим сервисам, не указанным выше, должен быть запрещен в обоих направлениях, чтобы использовались только те Интернет-сервисы, которые нам нужны, и о безопасности которых имеется информация, а остальные были запрещены. |
Организация может захотеть поддерживать некоторые сервисы без усиленной аутентификации. Например, для загрузки внешними пользователями открытой информации может использоваться анонимный сервер FTP. В этом случае эти сервисы должны находиться на другой машине, чем брандмауэр, или в сети, которая не соединена с корпоративной сетью организации, содержащей критические данные. Ниже в таблице показан метод описания такой политики для FTP.
Table 6.3 Обобщенная политика безопасности
| Политика | Авторизованный FTP-сервис | Анонимный FTP-сервис |
| Поместить сервер снаружи брандмауэра | Нет | Да |
| Поместить сервер в служебную сеть, не содержащую критических данных | Нет | Да |
| Поместить сервер в защищенную сеть | Да | Нет |
| Поместить сервер на брандмауэр | Нет | Нет |
| Сервис будет доступен с любой машины в Интернете | Нет | Да |
