|
Читайте также: |
С практической точки зрения сетевую политику безопасности целесообразно рассматривать на двух уровнях детализации: политика безопасности верхнего уровня и политика безопасности нижнего уровня.
Политика безопасности верхнего уровня. Принцип работы политики безопасности верхнего уровня определяет наличие или отсутствие доступа к службам. Эти принципы нельзя разрабатывать без учёта возможностей и ограничений, присущих Firewall, а также угроз, связанных с TCP/IP. Обычно Firewall реализует одну из двух основных политик безопасности верхнего уровня: разрешено всё, что не запрещено; запрещено всё, что не разрешено.
Firewall, реализующий первую политику, разрешает доступ всем службам, за исключением тех, которые явно определены как запрещённые. Firewall, реализующий вторую политику, по умолчанию отказывает во всех услугах, кроме тех, которые явно определены как разрешенные. Эта политика представляет собой реализацию классической модели доступа, используемой во всех областях информационной безопасности.
Первая политика менее предпочтительна, поскольку при её реализации возникает больше путей для обхода Firewall, например, пользователи могут получать доступ к новым службам, которые политика в данный момент ещё не запрещает, или реализовать запрещённые службы в нестандартных портах TCP/UDP, не запрещённых этой политикой. Некоторые службы, такие как Х Windows, FTP, Archie и RPC, нелегко отфильтровать и они лучше согласовываются с Firewall, реализующим первую политику. Вторая политика сильнее и надёжнее, однако, она труднее для реализации, и пользователи могут столкнуться с тем, что им труднее будет осуществить доступ к некоторым службам.
Политика безопасности верхнего уровня является наиболее значимой компонентой. Политика безопасности нижнего уровня и остальные три компоненты концепции Firewall (или защитные технологии, применяемые Firewall) используются для реализации и ужесточения политики безопасности верхнего уровня. Кроме того, политика доступа к службам должна отражать общую организацию сетевой политики безопасности. Эффективность защиты сети с помощью Firewall зависит от реализации Firewall, использования соответствующих средств и от порядка доступа к службам.
Политика безопасности нижнего уровня. Политика безопасности нижнего уровня (или режим доступа к службам) состоит из описания порядка доступа к службам Internet (уже неоднократно перечисленные), а также касается ограничения внешнего доступа к сети (с помощью SLIP, РРР, dial-in доступ). Эта политика должна быть расширением общей организационной политики защиты информационных ресурсов. Для успешной работы Firewall политика доступа к службам должна быть безопасной, регламентированной и реалистичной. Реалистичная политика - это политика, защищающая сеть от возможных угроз, и в то же время обеспечивающая доступ пользователей к сетевым ресурсам.
Firewall может реализовать целый ряд политик доступа к службам, однако типичный порядок доступа заключается в следующем: запрещается доступ к объекту из сети Internet, и в то же время разрешается доступ объекта к Internet. Ещё одна типичная политика позволяет некоторые виды доступа из Internet, но только из определённых систем, например, серверов электронной почты. Firewall часто реализуют политику доступа к службам, разрешающую доступ некоторым пользователям из Internet к выбранным внутренним хостам, однако, этот доступ может быть позволен только в случае необходимости и в сочетании с усиленной аутентификацией.
Дата добавления: 2015-07-19; просмотров: 269 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Основные подходы по применению межсетевых экранов (firewall) для защиты вычислительных сетей. | | | Усиленная аутентификация. |