Политики безопасности компании при работе в Интернет
Шрифт:
Правило 5
Источник: сервер HP OpenView NNM.
Получатель: модули межсетевого экрана Check Point.
Сервис: SNMP-read, ICMP echo request (используется для Open View polling).
Журналирование: выключено.
Описание: правило разрешает мониторинг модулей межсетевого экрана с сервера HP OpenView NNM. Как уже было сказано выше,Правило 6
Источник: модули межсетевого экрана Check Point.
Получатель: сервер HP OpenView NNM.
Сервис: SNMP-trap, ICMP echo reply (используется для Open View polling).
Журналирование: выключено.
Описание: правило разрешает отправлять Nokia SNMP traps к серверу HP Open-View NNM. Только некоторые traps включены в конфигурации Nokia IPSO.Правило 7
Источник: модули межсетевого экрана Check Point.
Получатель: сервер времени.
Сервис: NTP.
Журналирование: выключено.
Описание: правило разрешает модулям межсетевого экрана синхронизировать время с сервером времени. Это очень важно для журналирования и правильного функционирования VRRP.Правила 8–9
Сервис: любой.
Журналирование: включено, все попытки установить соединение с и из модулей межсетевого экрана должны быть зафиксированы.
Описание: оба правила удаляют любой трафик, направленный к модулям межсетевых экранов или исходящий из модулей межсетевых экранов, разрешают модулям межсетевого экрана синхронизировать время с сервером времени. Трафик также будет удаляться последним правилом в списке, но важно зарегистрировать сам факт такого трафика. Специальные агенты на сервере SIMS осуществляют мониторинг этого трафика и отправляют сообщения администраторам при его возникновении.Правило 10
Получатель: адреса широковещательной рассылки (broadcast).
Сервис: любой.
Журналирование: выключено.
Описание: правило удаляет «шум», возникающий из-за широковещательной рассылки (broadcast) в файлах журналов.Правило 11
Источник: любой, за исключением публичной подсети (70.70.70.0/24).
Получатель: виртуальные IP-адреса двух ферм Web-приложений.
Сервис: HTTP, HTTPS.
Журналирование: включено. Эта установка может быть изменена после полной реализации всей архитектуры, потому что правило будет создавать слишком много записей в журналах.
Описание: первое реальное правило; относящееся к зоне Web. Правило разрешает Web-трафик к серверам Web-приложений. Публичные IP-адреса были исключены из адресов источников для уменьшения вероятности атаки с подменой IP-адресов, хотя это и не требуется, так как функция anti-spoofing будет отрабатывать этот вариант. Это просто дополнительный уровень защиты. Правило размещено выше всех остальных правил для увеличения производительности, из-за частого его использования.Правило 12
Источник: ргоху-серверы демилитаризованной зоны.
Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Сервис: HTTP, HTTPS, FTP.
Журналирование: включено. Эта установка может быть изменена после полной реализации всей архитектуры, потому что правило будет создавать слишком много записей в журналах. Весь исходящий трафик к внешним Web-cepвeрам будет журналироваться.Правило 13
Описание: правило разрешает внутренним пользователям получать доступ к внешним Web-серверам, определенным в политике компании. Это второе по частоте использования правило.
Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Получатель: внешние SMTP-серверы компании.Правило 14
Источник: внешние SMTP-серверы компании.
Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Сервис: SMTP.
Журналирование: включено, журналируются все входящие и исходящие SMTP-соединения.
Описание: 13-е и 14-е правила разрешает внешним SMTP-серверам принимать и отправлять электронную почту.Правило 15
Источник: внешние DNS-серверы компании.
Получатель: DNS-серверы ISP1 и ISP2.
Сервис: DNS, TCP и UDP.
Журналирование: включено, журналируются все входящие и исходящие STMP-соединения.
Описание: правило позволяет разрешать внешние DNS-имена. TCP разрешен для того случая, когда DNS-ответ слишком большой для размещения в UDP-пaкете. Эта установка обеспечивает наиболее защищенный способ разрешения внешних DNS-имен, потому что требуется только доступ к четырем внешним DNS-серверам, которые принадлежат двум известным провайдерам.