Читаем Политики безопасности компании при работе в Интернет полностью

Политики безопасности компании при работе в Интернет

Владимир Анатольевич Курбатов , Сергей Александрович Петренко

Источник: модули межсетевого экрана Check Point.

Получатель: сервер времени.

Сервис: NTP.

Журналирование: выключено.

Описание: правило разрешает модулям межсетевого экрана синхронизировать время с сервером времени. Это очень важно для журналирования и правильного функционирования VRRP.

Правила 8–9

Сервис: любой.

Журналирование: включено, все попытки установить соединение с и из модулей межсетевого экрана должны быть зафиксированы.

Описание: оба правила удаляют любой трафик, направленный к модулям межсетевых экранов или исходящий из модулей межсетевых экранов, разрешают модулям межсетевого экрана синхронизировать время с сервером времени. Трафик также будет удаляться последним правилом в списке, но важно зарегистрировать сам факт такого трафика. Специальные агенты на сервере SIMS осуществляют мониторинг этого трафика и отправляют сообщения администраторам при его возникновении.

Правило 10

Получатель: адреса широковещательной рассылки (broadcast).

Сервис: любой.

Журналирование: выключено.

Описание: правило удаляет «шум», возникающий из-за широковещательной рассылки (broadcast) в файлах журналов.

Правило 11

Источник: любой, за исключением публичной подсети (70.70.70.0/24).

Получатель: виртуальные IP-адреса двух ферм Web-приложений.

Сервис: HTTP, HTTPS.

Журналирование: включено. Эта установка может быть изменена после полной реализации всей архитектуры, потому что правило будет создавать слишком много записей в журналах.

Описание: первое реальное правило; относящееся к зоне Web. Правило разрешает Web-трафик к серверам Web-приложений. Публичные IP-адреса были исключены из адресов источников для уменьшения вероятности атаки с подменой IP-адресов, хотя это и не требуется, так как функция anti-spoofing будет отрабатывать этот вариант. Это просто дополнительный уровень защиты. Правило размещено выше всех остальных правил для увеличения производительности, из-за частого его использования.

Правило 12

Источник: ргоху-серверы демилитаризованной зоны.

Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).

Сервис: HTTP, HTTPS, FTP.

Правило 13

Описание: правило разрешает внутренним пользователям получать доступ к внешним Web-серверам, определенным в политике компании. Это второе по частоте использования правило.

Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24).

Получатель: внешние SMTP-серверы компании.

Правило 14

Источник: внешние SMTP-серверы компании.

Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).

Сервис: SMTP.

Журналирование: включено, журналируются все входящие и исходящие SMTP-соединения.

Описание: 13-е и 14-е правила разрешает внешним SMTP-серверам принимать и отправлять электронную почту.

Правило 15

Источник: внешние DNS-серверы компании.

Получатель: DNS-серверы ISP1 и ISP2.

Сервис: DNS, TCP и UDP.

Журналирование: включено, журналируются все входящие и исходящие STMP-соединения.

Описание: правило позволяет разрешать внешние DNS-имена. TCP разрешен для того случая, когда DNS-ответ слишком большой для размещения в UDP-пaкете. Эта установка обеспечивает наиболее защищенный способ разрешения внешних DNS-имен, потому что требуется только доступ к четырем внешним DNS-серверам, которые принадлежат двум известным провайдерам.

Правило 16

Источник: сервер HP OpenView NNM.

Получатель: внутренние интерфейсы пограничных маршрутизаторов.

Сервис: SNMP-read, ICMP echo request (используется для Open View polling).

Правило 17

Перейти на страницу: