Иллюстрированный самоучитель по Development of safety


Разрешенные вспомогательные процедуры - часть 2


Вспомогательные системы для работы с входной информацией Вспомогательные системы для работы с исходящей информацией Типы ICMP
Службы именования доменов (DNS) Службы именования доменов (DNS) Отображение
HTTP/HTTPS HTTP/HTTPS Time Exceeded In-Transit
SMTP, POP, IMAP SMTP Недоступный хост (Host Unreachable)
FTP FTP, NTP Необходимое разбиение (Need to frag)
LDAP Telnet/SSH
Виртуальная частная сеть и терминальные системы NNTP
Потоковое аудио (Реальное аудио)

Разработка правил такого типа сводится к тому, что вам необходимо понять вспомогательные процедуры и их воздействие на процессы, прежде чем начинать разбираться, в каком виде они должны быть отражены в правилах. Например, появляется искушение ограничить доступ к процедурам протокола пользовательских дейтаграмм (UDP— User Datagram Protocol) в сети. Многие организации это делают, поскольку UDP является протоколом, не требующим установления соединения, который сложно контролировать и тем более управлять им. Однако, если сервер, обслуживающий службы именования доменов, размещен после брандмауэра, то нужно подкорректировать правила так, чтобы был разрешен доступ пользователям Internet к порту 53 UDP для распознавания адресов имен доменов вашей организации. Формулировка правила может выглядеть следующим образом.

Шлюз Internet должен предотвращать пропуск UDP-пакетов из Internet в сеть организации ЗА ИСКЛЮЧЕНИЕМ UDP-пакетов, запрашивающих общедоступные службы именования доменов, доступных на порте 53.

Отметим, что такая формулировка правил предназначена для "входящих" процедур, поскольку в ней сказано "из Internet в сеть организации". Она не накладывает ограничений на исходящие процедуры. Как правило, в организации стараются не обращать внимание на то, каким образом их пользователи получают доступ к исходящим процедурам. Однако, при такой формулировке правил ответы внешних UDP-систем, направленные пользователям организации, будут блокироваться. Это не всегда плохо, но если работа организации с клиентами зависит от таких служб, как сетевая файловая система (NFS — Network File System), или других служб, обслуживающих сетевые имена, то придется откорректировать правила, чтобы обеспечить работу этих служб.




Начало  Назад  Вперед



Книжный магазин