Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

VPS в 21 локации

От 104 рублей в месяц

Безлимитный трафик. Защита от ДДоС.

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

4.2 Приобретение брандмауэра

После того, как политика была разработана, все еще остается ряд вопросов в отношении приобретения брандмауэра. Большинство из них аналогичны проблемам при приобретении других программ, поэтому должно иметь место формулирование требований, их анализ, и составление спецификации. Ниже описаны некоторые дополнительные вопросы, включая простейшие критерии выбора брандмауэра, и стоит ли его покупать или лучше сделать самому.

4.2.1 Какими возможностями должен обладать брандмауэр?

Как только принято решение использовать технологию брандмауэра для реализации политики безопасности организации, следующим шагом должно быть приобретение брандмауэра, который обеспечивает требуемый уровень защиты при разумной цене. Тем не менее, какие возможности обязательно должен иметь брандмауэр, чтобы обеспечивать эффективную защиту? На этот вопрос нельзя дать общего ответа, но зато можно рекомендовать брандмауэр, который имеет следующие возможности:

  • брандмауэр должен иметь средства для реализации политики "все, что не разрешено - запрещено", даже если эта политика не используется в организации.
  • Брандмауэр должен иметь возможности полной реализации вашей политики, а не частичной.
  • Брандмауэр должен быть гибким; его средства должны иметь возможность адаптации для работы с новыми сервисами и учета изменений в вашей политике безопасности.
  • Брандмауэр должен содержать средства усиленной аутентификации или возможности установить их.
  • Брандмауэр должен реализовывать технологии фильтрации для разрешения или блокирования сервисов на отдельных внутренних системах.
  • Язык правил фильтрации IP должен быть гибким, дружественным и позволять фильтровать по максимальному числу атрибутов, включая адреса отправителя и получателя, тип протокола, порты отправителя и получателя, а также по входящему и выходящему сетевому интерфейсу.
  • Брандмауэр должен использовать прокси-сервисы для таких сервисов, как FTP и TELNET, чтобы средства усиленной аутентификации можно было установить на брандмауэре. Если требуются такие сервисы, как NNTP, X, http, или gopher, то брандмауэр должен содержать соответствующие прокси-сервисы.
  • Брандмауэр должен иметь возможности централизованного доступа к SMTP для уменьшения числа прямых соединений по SMTP между внутренними и удаленными системами. Это поможет реализовать центральный почтовый сервер сети.
  • Брандмауэр должен допускать публичный доступ к сети таким образом, чтобы информационные сервера могли быть защищены брандмауэром, но отделены от систем, к которым не требуется публичный доступ.
  • Брандмауэр должен иметь возможности централизации и фильтрации доступа через коммутируемые линии.
  • Брандмауэр должен содержать механизмы протоколирования трафика и подозрительных действий, а также механизмы уменьшения объема этих журналов для и читабельности и анализируемости.
  • Если брандмауэр требует наличия операционной системы, такой как Unix, то защищенная версия требуемой операционной системы должна быть частью брандмауэра, а аткже другие средства безопасности, гарантирующие целостность программ на брандмауэре. В операционной системе должны быть установлены исправления всех обнаруженных ошибок.
  • Брандмауэр должен быть разработан таким образом, что можно проверить корректность его работы. Он должен иметь простую структуру, чтобы можно было понять логику его работы и сопровождать его.
  • При обнаружении новых ошибок брандмауэр и операционная ситсема должны оперативно обновляться.

Конечно, существует еще большое число проблем и требований к брандмауэрам, но большинство из них слишком специфичны. Серьезный подход к формулированию требований или оценке риска позволит вам выявить самые важные проблемы и требования, но не следует забывать, что Интернет - это постоянно растущая сеть. Обнаруживаются новые уязвимые места, апоявляются новые сервисы и улучшения старых сервисов, которые могут создать проблемы при работе брандмауэра. Поэтому всегда надо помнить о необходимости гибкости для учета изменений в требованиях.

4.2.2 Покупать или самому создавать брандмауэр

Ряд организаций имеет возможности для самостоятельного создания брандмауэра, то есть для объединения имеющихся программных компонентов и оборудования или написания программ с нуля. В то же самое время имеется ряд производителей, предлагающих большое число средств в области брандмауэров. Эти средства могут быть ограниченными, такими как предоставление только необходимого программного и аппаратного обеспечения, или помощь в разработке политики безопасности, оценке риска, проверке защищенности сети и обучении сотрудников.

Независимо от того, делаете ли вы сами брандмауэр или покупаете, стоит помнить, что сначала нужно разработать политику и набор связанных с ней требований к брандмауэру, а уже затем начинать создавать его. Если испытывает трудности при разработке политики, то будет разумным связаться с производителем, который может помочь в этом процессе. Если же в организации имеется свой опыт создания брандмауэров, то лучше и дешевле использовать его. Одним из преимуществ самостоятельного создания брандмауэра является то, что свои сотрудники знают специфику организации и то, как будет использоваться брандмауэр. Если же брандмауэр приобретается, то такого опыта может и не быть.

В то же самое время свой брандмауэр может оказаться слишком дорогим в смысле времени, необходимого для его создания и документирования, а также времени, требуемого для сопровождения брандмауэра и внесения в него изменений при возникновении такой необходимости. Затраты этого рода иногда не учитываются; организации иногда делают ошибку, учитывая только стоимость оборудования. При полном экономическом расчете затрат, связанных с созданием брандмауэра, может оказаться, что более выгодно купить его.

При принятии решения организацией о том, покупать или создавать самому брандмауэр с учетом имеющихся ресурсов, могут помочь ответы на следующие вопросы

  • Как будет тестироваться брандмауэр; кто будет проверять, что он работает так, как это ожидается
  • Кто будет сопровождать его( делать архивные копии, восстанавливать его после сбоев)
  • Кто будет устанавливать обновления брандмауэра, такие как новые прокси-сервера, исправления ошибок и другие расширения
  • Могут ли быть оперативно внесены исправления, связанные с безопасностью, и решены сами проблемы с безопасностью
  • Кто будет обучать пользователей и обеспечивать техническую поддержку для них

Многие производители предлагают сопровождение брандмауэра, а также помощь в его установке, поэтому организация должна учесть это при анализе вопроса, имеет ли она достаточные внутренние ресурсы для этого.

Назад | Содержание | Вперед
Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149 		Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов 		Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...