Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
• все правила по порядку, за исключением последнего;
• свойства, отмеченные как «Before Last» в Global Properties;
• последнее правило;
• свойства, маркированные «Last» в Global Properties;
• неявно заданное правило «Drop».На рис. 4.7 представлена реализованная политика межсетевого экрана. Как будет показано далее, все неявные правила межсетевого экрана были отключены на закладке Global Properties и созданы явные правила. Это позволило повысить защищенность межсетевого экрана.
Рис. 4.7. Правила безопасности межсетевого экрана
Задание правил безопасности межсетевого экрана. Опишем каждое правило в деталях.
Правило 1
Источник: источник в этом правиле группирует вместе оба IP-адреса физических интерфейсов межсетевого экрана и IP-адреса, используемые VRRP (IP protocol 112) на каждом интерфейсе, где он включен. Это новое требование Check Point NG, начиная с версии FP2, для нормального функционирования VRRP. FW-Front – это объект типа Gateway Cluster, оба межсетевых экрана входят в этот объект.
Получатель: VRRP multicast IP-адрес (244.0.0.18).
Сервис:VRRP (IP-protocol 112), IGMP (IP-protocol 2). Оба должны быть включены для функционирования VRRP в версиях Check Point NG FP2 и выше.
Журналирование: выключено (для уменьшения количества бесполезных записей в журнале).
Описание: правило разрешает функционирование VRRP между двумя межсетевыми экранами для обеспечения работы в режиме кластера. Это правило установлено первым, так как очень важно, чтобы VRRP функционировал надлежащим образом между двумя межсетевыми экранами для уменьшения любых асимметричных потоков трафика.Правило 2
Источник: сервер Check Point Management Console.
Получатель: модули межсетевого экрана Check Point (объект Gateway Cluster содержит оба модуля).
Сервис: FWl-In – группа, которая содержит все сервисы для управления межсетевыми экранами. Для управления Nokia IPSO используются SSH и HTTPS. HTTPS включается только при начальной загрузке Nokia и удаляется из правила после настройки Nokia.
Журналирование: включено, все действия по управлению журналируются.
Описание: правило разрешает доступ к Nokia IPSO и межсетевому экрану Check Point для управления только от сервера управления (Management Server). Это правило должно предшествовать правилу, которое запрещает весь трафик на интерфейсы межсетевого экрана.Правило 3
Источник: модули межсетевого экрана Check Point.
Получатель: сервер Check Point Management Console.
Сервис:FWl-Out – группа которая содержит все сервисы, требуемые для управления модулями межсетевых экранов.
Журналирование: включено.
Описание: правило разрешает трафик между модулями межсетевых экранов и сервером управления. Это правило должно предшествовать правилу, которое запрещает весь трафик, исходящий от интерфейсов межсетевого экрана.Правило 4
Источник: модули межсетевого экрана Check Point.
Получатель: сервер Check Point Management Console.
Сервис:FWl-log – протокол, который используется модулями межсетевых экранов для отправки журналов на сервер управления.
Журналирование: выключено.
Описание: правило разрешает трафик журналирования, направленный к серверу управления. Это правило указано отдельно от предыдущего, потому что более эффективно журналировать управляющий трафик без самого журналирующего трафика.Правило 5
Источник: сервер HP OpenView NNM.
Получатель: модули межсетевого экрана Check Point.
Сервис: SNMP-read, ICMP echo request (используется для Open View polling).
Журналирование: выключено.
Описание: правило разрешает мониторинг модулей межсетевого экрана с сервера HP OpenView NNM. Как уже было сказано выше, этот мониторинг является критически важным. Доступ по SNMP только в режиме read-only и только некоторые Nokia IPSO SNMP MIB включены. Расширения Check Point SNMP отключены.Правило 6
Источник: модули межсетевого экрана Check Point.
Получатель: сервер HP OpenView NNM.
Сервис: SNMP-trap, ICMP echo reply (используется для Open View polling).
Журналирование: выключено.
Описание: правило разрешает отправлять Nokia SNMP traps к серверу HP Open-View NNM. Только некоторые traps включены в конфигурации Nokia IPSO.Правило 7
Источник: модули межсетевого экрана Check Point.
Получатель: сервер времени.
Сервис: NTP.
Журналирование: выключено.
Описание: правило разрешает модулям межсетевого экрана синхронизировать время с сервером времени. Это очень важно для журналирования и правильного функционирования VRRP.Правила 8–9
Сервис: любой.
Журналирование: включено, все попытки установить соединение с и из модулей межсетевого экрана должны быть зафиксированы.
Описание:оба правила удаляют любой трафик, направленный к модулям межсетевых экранов или исходящий из модулей межсетевых экранов, разрешают модулям межсетевого экрана синхронизировать время с сервером времени. Трафик также будет удаляться последним правилом в списке, но важно зарегистрировать сам факт такого трафика. Специальные агенты на сервере SIMS осуществляют мониторинг этого трафика и отправляют сообщения администраторам при его возникновении.Правило 10
Получатель: адреса широковещательной рассылки (broadcast).
Сервис: любой.
Журналирование: выключено.
Описание: правило удаляет «шум», возникающий из-за широковещательной рассылки (broadcast) в файлах журналов.Правило 11
Источник: любой, за исключением публичной подсети (70.70.70.0/24).
Получатель: виртуальные IP-адреса двух ферм Web-приложений.
Сервис: HTTP, HTTPS.
Журналирование: включено. Эта установка может быть изменена после полной реализации всей архитектуры, потому что правило будет создавать слишком много записей в журналах.
Описание: первое реальное правило; относящееся к зоне Web. Правило разрешает Web-трафик к серверам Web-приложений. Публичные IP-адреса были исключены из адресов источников для уменьшения вероятности атаки с подменой IP-адресов, хотя это и не требуется, так как функция anti-spoofing будет отрабатывать этот вариант. Это просто дополнительный уровень защиты. Правило размещено выше всех остальных правил для увеличения производительности, из-за частого его использования.Правило 12
Читать дальшеИнтервал:
Закладка:
