Политика безопасности и МЭ

МЭ - это воплощение в жизнь политики безопасности, принятой в организации в вопросах обмена информацией с «чужими» сетями. Правила политики безопасности формулируются без учёта особенностей используемого МЭ, его синтаксиса и т. п. Политика безопасности гласит «как должно быть», а МЭ - это техническая реализация этой политики. Далее приводится пример реализации политики безопасности.

Допустим, политика безопасности содержит следующие требования:

1. Пользователи внутренней сети имеют неограниченный доступ в Internet

2. Из Internet доступ возможен только к корпоративному Web-cepeepy и почтовому серверу

3. Удалённое управление должно быть аутентифицировано и зашифровано.

Для получения списка правил МЭ на основе предлагаемой политики необходимо проанализировать перечисленные требования и выбрать подходящий вариант размещения МЭ.

Первое требование тривиально и его реализация проста. Второе требование предполагает наличие web-cepeepa и почтового сервера. Лучшим местом для их размещения является DMZ. Выше рассматривалось два варианта DMZ. Допустим, в данном случае используется DMZ типа «тупиковая сеть».

Третье требование можно реализовать, предоставив, например, удалённый доступ для администраторов к отдельным узлам внутренней сети по протоколу SSH.

Дополнительно может потребоваться разрешить прохождение трафика, необходимого для работы перечисленных правил, например, DNS. Также следует обеспечить доступ к МЭ для управления им.

Следующий момент - порядок следования правил. Многие МЭ просматривают правила подряд (сверху вниз) до первого совпадения. Общий принцип здесь - размещать более общие правила в конце списка, более конкретные - в начале списка.

Далее приведён пример реализации правил на МЭ Check Point Firewall-1, но, в общем случае, это может быть и любой другой МЭ.

Первое правило разрешает доступ к МЭ с рабочей станции администратора

Второеправило блокирует доступ к МЭ для всех остальных узлов

Третье правило разрешает доступ к Web-cepeepy по протоколу http

Четвёртое правило разрешает доступ к почтовому серверу по протоколу SMTP

Пятое правило разрешает удалённый доступ к внутренним узлам только с определённых узлов администраторов.

Шестое правило разрешает доступ к почтовому серверу по протоколу POP3 для пользователей внутренней сети

Седьмое правило разрешает пользователям внутренней сети доступ в Internet (при этом исключается DMZ).

Восьмое правило блокирует доступ из DMZ к узлам внутренней сети.

И последнее (9-е) правило запрещает весь остальной трафик (для МЭ Check Point Firewall-1 оно излишне, поскольку запрет работает неявно, но здесь это сделано с целью записи в журнал фактов срабатывания этого правила).