Читаем Политики безопасности компании при работе в Интернет полностью

Внутренние межсетевые экраны. Наличие внутренних межсетевых экранов обеспечивает больший контроль и безопасность информационных потоков между внутренними сетями. Кроме того, достигается изоляция сегмента управления от остальной сети, управление доступом через VPN, защита внутренней сети путем запрещения трафика из менее защищенных зон сети и пр. Каждый межсетевой экран имеет шесть интерфейсов, подключенных к разным зонам (см. рис. 4.3), также существует выделенный интерфейс для поддержания режима «горячего» резервирования (на рис. не показано).

...

Система построена на двух межсетевых экранах Cisco PIX 535, функционирующих в режиме «горячего» резервирования. Выбор продукта был обусловлен его высокой производительностью, надежностью и приемлемой для компании стоимостью решения. Кроме того, использование межсетевых экранов разных производителей увеличивает общую защищенность сети компании, так как, при возникновении уязвимости в Check Point FW-1, эта уязвимость вряд ли может быть использована против Cisco PIX, и наоборот.

4.2.4. Зона управления ресурсами сети компании

Все серверы управления сетью и серверы мониторинга расположены на выделенной сети, защищенной внутренними межсетевыми экранами (см. рис. 4.4).

...

В компании организован центр управления сетью для мониторинга и управления сетевыми устройствами. Центр находится в защищенном от проникновения посторонних лиц помещении. График работы персонала 16 часов в сутки 5 дней в неделю. Поддержка в ночное время реализуется через VPN-соединения. Сотрудник должен сначала зайти на один из компьютеров данной сети и только потом, с этого компьютера, он может получить доступ к сетевому оборудованию. Это является дополнительным уровнем защиты. Кроме того, доступ к любому сетевому оборудованию ограничен списком IP-адресов сети управления. Пограничные маршрутизаторы и все коммутаторы управляются через консоль с использованием маршрутизатора доступа Cisco 2620, остальные управляющие интерфейсы на устройствах отключены. Другие устройства – SMTP-серверы, VPN-концентратор – управляются с помощью SSH. Серверы с операционной системой Windows 2000 работают под управлением Microsoft Terminal Services, который поднят на внутренних интерфейсах серверов и сконфигурирован для использования максимального уровня шифрования. Помимо этого фильтры IPSec настроены таким образом, чтобы разрешать доступ к серверам с использованием Terminal Services (TCP 3389), если соединение инициируется из сети управления.

Консоль управления IDS. В качестве сетевой системы обнаружения вторжений используется Cisco IDS 4250, а на серверах установлены системы предупреждения вторжений Cisco Security Agent v.4.0 (продукция компании Okena, продаваемая под торговой маркой Cisco). В системе Cisco IDS 4250 один интерфейс работает в режиме сниффера и не имеет IP-адреса, а другой используется для получения сообщений о найденных сигнатурах и для управления. Передача сообщений осуществляется по протоколу SSL. В качестве устройства управления выбран Cisco Works VPN/Security Management Solution v.2.2. Данное программное обеспечение позволяет управлять конфигурациями следующих устройств:

• Cisco PIX Firewall,

• Cisco VPN Router,

• Cisco IDS 4200,

• Cisco Security Agent.

В состав продукта входят следующие функциональные модули:

• Cisco Works Common Services,

• Management Center for Firewalls,

• Management Center for IDS Sensors,

• Management Center for Cisco Security Agents,

• Management Center for VPN Routers,

• Monitoring Center for Security,

• Monitoring Center for Performance,

• Cisco View,

• Auto Update Server,