Общие принципы настройки Firewall
Конфигурация firewall — предмет достаточно сложный, и обычно все сетевые экраны имеют индивидуальную конфигурацию, отражающую специфику работы конкретной информационной системы. Однако здесь следует придерживаться некоторых общих принципов:
следует пропускать сквозь систему только те сервисы, которые необходимы для обеспечения требуемой функциональности информационной системы;
все, что явным образом не разрешено, должно быть запрещено. Это означает, что все службы, не упомянутые при конфигурации firewall, должны быть запрещены;
при конфигурации сетевых экранов следует вести подробную документацию.
Proxy-сервер
Proxy-сервер регулирует доступ сотрудников компании к ресурсам Интернета. Он имеет гибкие настройки, позволяющие ограничить доступ пользователей к определенным сайтам, контролировать объем выкачиваемой пользователем из Интернета информации и настраивать возможность доступа в Интернет тех или иных пользователей в зависимости от дня недели и времени суток. Кроме того, proxy-сервер позволяет пользователю не выходить в Интернет со своего адреса, а заменяет при запросах адрес пользователя на свой собственный и посылает запрос уже не от имени реального пользователя, а от своего собственного. Это не только помогает скрыть в целях безопасности внутреннюю структуру своей сети, но и позволяет не арендовать дополнительное количество адресов для всех своих сотрудников, а обойтись одним общим адресом для прокси-сервера.
Система выявления атак
IDS (Intrusion Detection System) — комплекс программного обеспечения, который обычно устанавливается на firewall и предназначен для анализа различных событий, происходящих как на самом компьютере с IDS (host-based IDS), так и в сети вокруг него (network IDS). Принцип работы host-based IDS основан на анализе журналов событий системы. В основе работы network IDS лежит анализ сетевого трафика, проходящего через систему. При выявлении события, квалифицируемого IDS как попытка проникновения, ответственному за безопасность системы посылается сообщение об атаке. Одновременно производится запись в журнале атак. Подобное поведение характерно для пассивных IDS. Если же при определенных типах атак система способна производить ряд действий, направленных на отражение атаки, то она относится к активным IDS .
Система контроля целостности ПО и конфигурации
Для более жесткого контроля за попытками проникновения в систему используется многоуровневая защита. Одним из таких дополнительных уровней является система контроля целостности программного обеспечения, которая контролирует все программное обеспечение на брандмауэре и присылает отчеты обо всех удаленных, вновь появившихся и изменившихся файлах. Таким образом, при малейшем изменении конфигурации шлюза ответственный за его работу получит подробный отчет о том, что и когда было изменено.
Система мониторинга и оповещения о неисправностях
Для максимально быстрого обнаружения неисправностей в компьютерных системах часто применяются системы раннего оповещения о возникающих неисправностях, которые периодически контролируют работоспособность различных сервисов и при любых отклонениях автоматически связываются с обслуживающим систему инженером.
Система удаленного администрирования
Системы удаленного администрирования серверов применяются для устранения неисправностей, конфигурирования систем и выполнения различных рутинных задач в локальной сети (или сети Интернет) без необходимости физического доступа к серверу.
Общие выводы
Пришло время подвести некоторые итоги. Автор не намерен ни высказывать свое мнение по поводу того, какой брандмауэр лучше, а какой хуже, ни советовать, что и где использовать. Этот вопрос каждый должен решить для себя сам, четко определив, какие цели он преследует и какими навыками обладает. Поэтому ниже приводятся лишь общие выводы по брандмауэрам.
Firewall нужно настраивать. Все тестируемые firewall неплохо работали, но только после настройки, обучения, создания настроек вручную. Эксплуатация ненастроенного firewall может принести больше вреда, чем пользы: он пропустит опасные пакеты или, наоборот, будет мешать полезным программам.
После настройки firewall и IDS необходимо тестировать — это тоже достаточно очевидный вывод, но от этого не менее важный.
Персональный firewall уязвим перед вредоносными программами, работающими из контекста полезных. Следовательно, как минимум необходимо уничтожить разные левые панели и прочие BHO из браузера и электронной почты. Перед установкой любого плагина, панели, утилиты расширения и т.п. нужно как следует подумать об их необходимости, так как они не являются отдельными процессами операционной системы и работают из контекста родительской программы.
Многие персональные firewall видны как процессы операционной системы и могут быть остановлены вирусом. Поэтому за работой firewall нужно следить, а его внезапное завершение может служить сигналом о проникновении на ПК вируса.
Некоторые firewall (например, Kerio) допускают дистанционное управление — эту функцию необходимо или отключить, или запаролить.
- Средства удаленного управления
- Классификация
- Средства удаленного администрирования
- Семейство unix
- Семейство Windows
- Средства удаленного управления рабочим столом
- Практика
- Виртуальные машины
- История и развитие
- Типы виртуализации
- Практика
- Резервное копирование и синхронизация
- Резервное копирование информации
- Синхронизация данных
- Типовые задачи синхронизации
- Реализации к рассмотрению
- Кластеризация
- Основные положения
- Отказоустойчивый кластер
- Вычислительный кластер
- Реализации к рассмотрению
- Облачные вычисления
- Основные положения
- Облачное хранилище данных
- Образы и развертывание системы
- Образы системы – технологии резервирования данных
- Технологии развертывания операционных систем
- Реализации к рассмотрению
- Средства антивирусной и сетевой защиты
- Технологии обнаружения вредоносного кода
- Технический компонент
- Аналитический компонент
- Плюсы и минусы способов обнаружения вредоносного кода
- Брандмауэры
- Общее описание брандмауэров
- Функции брандмауэров
- Недостатки брандмауэров
- Общие принципы настройки Firewall
- Обслуживание систем
- Дефрагментация диска
- Восстановление информации на жестком диске
- Восстановление данных с работоспособного жесткого диска
- Восстановление данных с неработоспособного жесткого диска
- Аппаратное обеспечение для восстановления данных
- Системы контроля версий
- Общие положения
- Типичный порядок работы с системой
- История и статус
- Недостатки
- Возможности
- Основные концепции
- Недостатки
- Использование Subversion
- Возможности
- Особенности, преимущества и недостатки