Чтение онлайн

на главную

Жанры

Политики безопасности компании при работе в Интернет

Петренко Сергей Александрович

Шрифт:

Список контроля доступа для исходящего трафика. Для предупреждения организации атак типа «отказ в обслуживании» с подменой адресов разрешен доступ в Интернет только с IP-адресов компании. Весь трафик, направленный на «опасные» порты – NetBIOS, SNMP, TFTP, syslog, тоже удаляется:

...

no ip access-list extended Egress

ip access-list extended Egress

deny udp any any range 161 162

deny udp any any eq 69

deny tcp any any range 135 139

deny udp any any range 135 139

deny tcp any any eq 445

deny udp any any eq 514

permit tcp 70.70.70.0 0.0.255 any

permit udp 70.70.70.0 0.0.255 any

permit icmp any 70.70.70.0 0.0.0.255 source-quench

deny ip any any

Применение

списков контроля доступа:

...

interface hssi2/0

ip access-group Ingress in

no ip proxy-arp

ip accounting access-violations

interface Fa0/0

ip access-group Egress in

no cdp enable

no ip proxy-arp

ip accounting access-violations

4.3.3. Настройки внешних межсетевых экранов

Внешние межсетевые экраны позволяют построить эффективный периметр защиты компании от угроз из Интернета. Политика безопасности внешних межсетевых экранов основана на бизнес-требованиях и согласована с общей политикой информационной безопасности компании. В качестве внешнего межсетевого экрана выбран Check Point Firewall-1 NG FP3, выполняющийся на аппаратной платформе Nokia IP530 с операционной системой IPSO v.3.6. В табл. 4.2 описаны все важные компоненты сети компании, подлежащие защите с помощью указанного межсетевого экрана.

Таблица 4.2. Компоненты сети, подлежащие защите

Продолжение табл. 4.2

Окончание табл. 4.2

Очень важно корректно определить все интерфейсы на межсетевом экране и установки anti-spoofing в свойствах объектов. Если это будет неправильно сконфигурировано, то межсетевой экран может заблокировать некоторый трафик, который должен быть разрешен, или может неправильно отработать функция anti-spoofing, которая вызовет появление новых рисков. Табл. 4.3 используется для конфигурирования интерфейсов. Таблица 4.3. Пример интерфейса межсетевого экрана

Сервисы. В табл. 4.4 представлен список сервисов, которые необходимы для работы политики безопасности межсетевого экрана, некоторые из них были предустановлены, а некоторые пришлось создать.

Задание политики межсетевого экрана. Чтобы политика была простой для понимания, сначала было создано небольшое количество правил. При этом учитывалось, что Check Point Firewall-1, подобно большинству других межсетевых экранов, обрабатывает правила последовательно. Поэтому более детальные правила предшествуют общим и наиболее часто повторяющиеся правила находятся в начале общего списка правил.

Таблица 4.4. Сервисы, необходимые для работы политики безопасности межсетевого экрана

Был задан следующий порядок обработки трафика Firewall-1:

• anti-spoofing;

• свойства, маркированные как «First» в Global Properties;

• все правила по порядку, за исключением последнего;

• свойства, отмеченные как «Before Last» в Global Properties;

• последнее правило;

• свойства, маркированные «Last» в Global Properties;

• неявно заданное правило «Drop».

На рис. 4.7 представлена реализованная политика межсетевого экрана. Как будет показано далее, все неявные правила межсетевого экрана были отключены на закладке Global Properties и созданы явные правила. Это позволило повысить защищенность межсетевого экрана.

...

Рис. 4.7. Правила безопасности межсетевого экрана

Задание правил безопасности межсетевого экрана. Опишем каждое правило в деталях.

Правило 1

Источник: источник в этом правиле группирует вместе оба IP-адреса физических интерфейсов межсетевого экрана и IP-адреса, используемые VRRP (IP protocol 112) на каждом интерфейсе, где он включен. Это новое требование Check Point NG, начиная с версии FP2, для нормального функционирования VRRP. FW-Front – это объект типа Gateway Cluster, оба межсетевых экрана входят в этот объект.

Получатель: VRRP multicast IP-адрес (244.0.0.18).

Сервис: VRRP (IP-protocol 112), IGMP (IP-protocol 2). Оба должны быть включены для функционирования VRRP в версиях Check Point NG FP2 и выше.

Журналирование: выключено (для уменьшения количества бесполезных записей в журнале).

Описание: правило разрешает функционирование VRRP между двумя межсетевыми экранами для обеспечения работы в режиме кластера. Это правило установлено первым, так как очень важно, чтобы VRRP функционировал надлежащим образом между двумя межсетевыми экранами для уменьшения любых асимметричных потоков трафика.

Правило 2

Источник: сервер Check Point Management Console.

Получатель: модули межсетевого экрана Check Point (объект Gateway Cluster содержит оба модуля).

Сервис: FWl-In – группа, которая содержит все сервисы для управления межсетевыми экранами. Для управления Nokia IPSO используются SSH и HTTPS. HTTPS включается только при начальной загрузке Nokia и удаляется из правила после настройки Nokia.

Журналирование: включено, все действия по управлению журналируются.

Описание: правило разрешает доступ к Nokia IPSO и межсетевому экрану Check Point для управления только от сервера управления (Management Server). Это правило должно предшествовать правилу, которое запрещает весь трафик на интерфейсы межсетевого экрана.

Правило 3

Источник: модули межсетевого экрана Check Point.

Получатель: сервер Check Point Management Console.

Сервис: FWl-Out – группа которая содержит все сервисы, требуемые для управления модулями межсетевых экранов.

Журналирование: включено.

Описание: правило разрешает трафик между модулями межсетевых экранов и сервером управления. Это правило должно предшествовать правилу, которое запрещает весь трафик, исходящий от интерфейсов межсетевого экрана.

Правило 4

Источник: модули межсетевого экрана Check Point.

Получатель: сервер Check Point Management Console.

Сервис: FWl-log – протокол, который используется модулями межсетевых экранов для отправки журналов на сервер управления.

Журналирование: выключено.

Описание: правило разрешает трафик журналирования, направленный к серверу управления. Это правило указано отдельно от предыдущего, потому что более эффективно журналировать управляющий трафик без самого журналирующего трафика.

Поделиться:
Популярные книги

Последний попаданец

Зубов Константин
1. Последний попаданец
Фантастика:
фэнтези
попаданцы
рпг
5.00
рейтинг книги
Последний попаданец

Шипучка для Сухого

Зайцева Мария
Любовные романы:
современные любовные романы
8.29
рейтинг книги
Шипучка для Сухого

Хочу тебя любить

Тодорова Елена
Любовные романы:
современные любовные романы
5.67
рейтинг книги
Хочу тебя любить

СД. Том 17

Клеванский Кирилл Сергеевич
17. Сердце дракона
Фантастика:
боевая фантастика
6.70
рейтинг книги
СД. Том 17

Я же бать, или Как найти мать

Юнина Наталья
Любовные романы:
современные любовные романы
6.44
рейтинг книги
Я же бать, или Как найти мать

Беглец

Бубела Олег Николаевич
1. Совсем не герой
Фантастика:
фэнтези
попаданцы
8.94
рейтинг книги
Беглец

Идеальный мир для Лекаря 2

Сапфир Олег
2. Лекарь
Фантастика:
юмористическая фантастика
попаданцы
аниме
5.00
рейтинг книги
Идеальный мир для Лекаря 2

Сумеречный стрелок 7

Карелин Сергей Витальевич
7. Сумеречный стрелок
Фантастика:
городское фэнтези
попаданцы
аниме
5.00
рейтинг книги
Сумеречный стрелок 7

Александр Агренев. Трилогия

Кулаков Алексей Иванович
Александр Агренев
Фантастика:
альтернативная история
9.17
рейтинг книги
Александр Агренев. Трилогия

Жена со скидкой, или Случайный брак

Ардова Алиса
Любовные романы:
любовно-фантастические романы
8.15
рейтинг книги
Жена со скидкой, или Случайный брак

Титан империи 4

Артемов Александр Александрович
4. Титан Империи
Фантастика:
боевая фантастика
попаданцы
аниме
5.00
рейтинг книги
Титан империи 4

Воевода

Ланцов Михаил Алексеевич
5. Помещик
Фантастика:
альтернативная история
5.00
рейтинг книги
Воевода

Тринадцатый IV

NikL
4. Видящий смерть
Фантастика:
боевая фантастика
попаданцы
5.00
рейтинг книги
Тринадцатый IV

Адмирал южных морей

Каменистый Артем
4. Девятый
Фантастика:
фэнтези
8.96
рейтинг книги
Адмирал южных морей