Политика безопасности
Политика безопасности
Выбор правил фильтрации напрямую зависит от того, какие сервисы Интернет вы хотите сделать доступными для пользователей вашей ЛВС. Также это зависит от того, какие сервисы в вашей ЛВС вы хотите сделать доступными из Интернет.
Применение более строгих правил могут сделать недоступными для пользователей ваших ЛВС некоторых сервисов Интернет. Например, это тот случай, когда запущено приложение, которому необходимо установить дополнительное соединение с Интернет, или приложение, основанное на UDP. С другой стороны, применение более свободных правил увеличивает число приложений и уменьшает защищенность ЛВС.
Основной принцип настройки фильтрации - блокирование доступа из Интернет в ЛВС и полный доступ в обратном направлении (из ЛВС в Интернет). Затем, в зависимости от того, какие службы вы хотите предоставить для доступа снаружи, вы производите настройку правил.
Наиболее важным вопросом является защита жизненно важных служб вашей ЛВС Эти службы (файловые серверы, Интранет-серверы, SQL-серверы) обычно отслеживают соединения по портам с номерами меньшими 1024. Службы, использующие номера портов, меньшие 1024, могут выполняться не только на серверах, даже пользовательские машины могут их выполнять, например в случае разделения доступа к файлам (sharing). С другой стороны, клиентские приложения используют номера портов, превышающие 1024, так что это число является очень значимым для настройки политик безопасности.
Осмысленной политикой является блокирование доступа из Интернет к портам, чей номер менее 1024, для протоколов TCP и UDP. После чего, вы можете настраивать службы, которые будут доступны мз Интернет. Например, для WWW вы разрешаете доступ на порт 80 (в общем случае).
Более строгая политика также запрещает все входящие UDP-пакеты, а также TCP-пакеты, пытающиеся установить соединение из Интернет с портами, чей номер превосходит 1024. Так, подобная политика полностью запрещает установку соединения из Интернет с защищенной ЛВС, но разрешает все соединениния, инициируемые из ЛВС. При применении такой политики, некоторые приложения могут прекратить функционировать (частично или полностью - зависит от приложения). Проблемы могут возникнуть с приложениями, которые ожидают ответа от другой стороны на порт, чей номер превышает 1024. Также не будут работать приложения, использующие UDP.
Пример политики:
При настройке правил фильтрации важно помнить, что правила будут искаться в таблице в том порядке, в котором они были туда занесены, и поиск подходящего правила прекращается после его нахождения.
Следующие примеры показывают более и менее строгую политики, которые вы можете использовать при настройке правил:
