Специальная публикация NIST 800-10

       

Какими возможностями должен обладать брандмауэр?


Как только принято решение использовать технологию брандмауэра для реализации политики безопасности организации, следующим шагом должно быть приобретение брандмауэра, который обеспечивает требуемый уровень защиты при разумной цене. Тем не менее, какие возможности обязательно должен иметь брандмауэр, чтобы обеспечивать эффективную защиту? На этот вопрос нельзя дать общего ответа, но зато можно рекомендовать брандмауэр, который имеет следующие возможности:

  • брандмауэр должен иметь средства для реализации политики "все, что не разрешено - запрещено", даже если эта политика не используется в организации.
  • Брандмауэр должен иметь возможности полной реализации вашей политики, а не частичной.
  • Брандмауэр должен быть гибким; его средства должны иметь возможность адаптации для работы с новыми сервисами и учета изменений в вашей политике безопасности.
  • Брандмауэр должен содержать средства усиленной аутентификации или возможности установить их.
  • Брандмауэр должен реализовывать технологии фильтрации для разрешения или блокирования сервисов на отдельных внутренних системах.
  • Язык правил фильтрации IP должен быть гибким, дружественным и позволять фильтровать по максимальному числу атрибутов, включая адреса отправителя и получателя, тип протокола, порты отправителя и получателя, а также по входящему и выходящему сетевому интерфейсу.
  • Брандмауэр должен использовать прокси-сервисы для таких сервисов, как FTP и TELNET, чтобы средства усиленной аутентификации можно было установить на брандмауэре. Если требуются такие сервисы, как NNTP, X, http, или gopher, то брандмауэр должен содержать соответствующие прокси-сервисы.
  • Брандмауэр должен иметь возможности централизованного доступа к SMTP для уменьшения числа прямых соединений по SMTP между внутренними и удаленными системами. Это поможет реализовать центральный почтовый сервер сети.
  • Брандмауэр должен допускать публичный доступ к сети таким образом, чтобы информационные сервера могли быть защищены брандмауэром, но отделены от систем, к которым не требуется публичный доступ.
  • Брандмауэр должен иметь возможности централизации и фильтрации доступа через коммутируемые линии.
  • Брандмауэр должен содержать механизмы протоколирования трафика и подозрительных действий, а также механизмы уменьшения объема этих журналов для и читабельности и анализируемости.
  • Если брандмауэр требует наличия операционной системы, такой как Unix, то защищенная версия требуемой операционной системы должна быть частью брандмауэра, а аткже другие средства безопасности, гарантирующие целостность программ на брандмауэре. В операционной системе должны быть установлены исправления всех обнаруженных ошибок.
  • Брандмауэр должен быть разработан таким образом, что можно проверить корректность его работы. Он должен иметь простую структуру, чтобы можно было понять логику его работы и сопровождать его.
  • При обнаружении новых ошибок брандмауэр и операционная ситсема должны оперативно обновляться.

Конечно, существует еще большое число проблем и требований к брандмауэрам, но большинство из них слишком специфичны. Серьезный подход к формулированию требований или оценке риска позволит вам выявить самые важные проблемы и требования, но не следует забывать, что Интернет - это постоянно растущая сеть. Обнаруживаются новые уязвимые места, апоявляются новые сервисы и улучшения старых сервисов, которые могут создать проблемы при работе брандмауэра. Поэтому всегда надо помнить о необходимости гибкости для учета изменений в требованиях.



Содержание раздела