Настройка параметров функционирования межсетевого экрана

Межсетевой экран представляет собой программно-аппаратный комплекс защиты, состоящий из компьютера, а также функционирующих на нем опе­рационной системы (ОС) и специального программного обеспечения. Сле­дует отметить, что это специальное программное обеспечение часто также называют брандмауэром.

Рис. 5.7.Схема с раздельной защитой закрытой и открытой подсетей на основе двух брандмауэров с двумя сетевыми интерфейсами

Компьютер брандмауэра должен быть достаточно мощным и физически за­щищенным, например, находиться в специально отведенном и охраняемом помещении. Кроме того, он должен иметь средства защиты от загрузки ОС с несанкционированного носителя. После установки на компьютер брандмауэра выбранной операционной сис­темы, ее конфигурирования, а также инсталляции специального программ­ного обеспечения можно приступать к настройке параметров функциониро­вания всего межсетевого экрана. Этот процесс включает следующие этапы: выработку правил работы межсетевого экрана в соответствии с разрабо­танной политикой межсетевого взаимодействия и описание правил в ин­терфейсе брандмауэра; проверку заданных правил на непротиворечивость; проверку соответствия параметров настройки брандмауэра разработанной политике межсетевого взаимодействия.

Формируемая на первом этапе база правил работы межсетевого экрана представляет собой формализованное отражение разработанной политикой межсетевого взаимодействия. Компонентами правил являются защищаемые объекты, пользователи и сервисы. В число защищаемых объектов могут входить обычные компьютеры с одним сетевым интерфейсом, шлюзы (компьютеры с несколькими сетевыми ин­терфейсами), маршрутизаторы, сети, области управления. Защищаемые объ­екты могут объединяться в группы. Каждый объект имеет набор атрибутов, таких как сетевой адрес, маска подсети и т. п. Часть этих атрибутов следует задать вручную, остальные извлекаются автоматически из информационных баз, например NIS/NIS+, SNMP MIB, DNS. Следует обратить внимание на необходимость полного описания объектов, так как убедиться в корректно­сти заданных правил экранирования можно только тогда, когда определены все сетевые интерфейсы шлюзов и маршрутизаторов. Подобную информа­цию можно получить автоматически от SNMP-агентов. При описании правил работы межсетевого экрана пользователи наделяются входными именами и объединяются в группы. Для пользователей указыва­ются допустимые исходные и целевые сетевые адреса, диапазон дат и вре­мени работы, а также схемы и порядок аутентификации. Определение набора используемых сервисов выполняется на основе встроен­ной в дистрибутив брандмауэра базы данных, имеющей значительный набор TCP/IP сервисов. Нестандартные сервисы могут задаваться вручную с по­мощью специальных атрибутов. Прежде чем указывать сервис при задании правил, необходимо определить его свойства. Современные брандмауэры со­держат предварительно подготовленные определения всех стандартных TCP/IP-сервисов, разбитых на четыре категории — TCP, UDP, RPC, ICMP.