После того, как политика была
разработана, все еще остается ряд
вопросов в отношении приобретения
брандмауэра. Большинство из них
аналогичны проблемам при
приобретении других программ,
поэтому должно иметь место
формулирование требований, их
анализ, и составление спецификации.
Ниже описаны некоторые
дополнительные вопросы, включая
простейшие критерии выбора
брандмауэра, и стоит ли его
покупать или лучше сделать самому.
4.2.1 Какими возможностями должен
обладать брандмауэр?
Как только принято решение
использовать технологию
брандмауэра для реализации
политики безопасности организации,
следующим шагом должно быть
приобретение брандмауэра, который
обеспечивает требуемый уровень
защиты при разумной цене. Тем не
менее, какие возможности
обязательно должен иметь
брандмауэр, чтобы обеспечивать
эффективную защиту? На этот вопрос
нельзя дать общего ответа, но зато
можно рекомендовать брандмауэр,
который имеет следующие
возможности:
брандмауэр должен иметь
средства для реализации
политики "все, что не
разрешено - запрещено", даже
если эта политика не
используется в организации.
Брандмауэр должен иметь
возможности полной реализации
вашей политики, а не частичной.
Брандмауэр должен быть гибким;
его средства должны иметь
возможность адаптации для
работы с новыми сервисами и
учета изменений в вашей
политике безопасности.
Брандмауэр должен содержать
средства усиленной
аутентификации или
возможности установить их.
Брандмауэр должен
реализовывать технологии
фильтрации для разрешения или
блокирования сервисов на
отдельных внутренних системах.
Язык правил фильтрации IP
должен быть гибким,
дружественным и позволять
фильтровать по максимальному
числу атрибутов, включая
адреса отправителя и
получателя, тип протокола,
порты отправителя и
получателя, а также по
входящему и выходящему
сетевому интерфейсу.
Брандмауэр должен
использовать прокси-сервисы
для таких сервисов, как FTP и TELNET,
чтобы средства усиленной
аутентификации можно было
установить на брандмауэре.
Если требуются такие сервисы,
как NNTP, X, http, или gopher, то
брандмауэр должен содержать
соответствующие
прокси-сервисы.
Брандмауэр должен иметь
возможности централизованного
доступа к SMTP для уменьшения
числа прямых соединений по SMTP
между внутренними и удаленными
системами. Это поможет
реализовать центральный
почтовый сервер сети.
Брандмауэр должен допускать
публичный доступ к сети таким
образом, чтобы информационные
сервера могли быть защищены
брандмауэром, но отделены от
систем, к которым не требуется
публичный доступ.
Брандмауэр должен иметь
возможности централизации и
фильтрации доступа через
коммутируемые линии.
Брандмауэр должен содержать
механизмы протоколирования
трафика и подозрительных
действий, а также механизмы
уменьшения объема этих
журналов для и читабельности и
анализируемости.
Если брандмауэр требует
наличия операционной системы,
такой как Unix, то защищенная
версия требуемой операционной
системы должна быть частью
брандмауэра, а аткже другие
средства безопасности,
гарантирующие целостность
программ на брандмауэре. В
операционной системе должны
быть установлены исправления
всех обнаруженных ошибок.
Брандмауэр должен быть
разработан таким образом, что
можно проверить корректность
его работы. Он должен иметь
простую структуру, чтобы можно
было понять логику его работы и
сопровождать его.
При обнаружении новых ошибок
брандмауэр и операционная
ситсема должны оперативно
обновляться.
Конечно, существует еще большое
число проблем и требований к
брандмауэрам, но большинство из них
слишком специфичны. Серьезный
подход к формулированию требований
или оценке риска позволит вам
выявить самые важные проблемы и
требования, но не следует забывать,
что Интернет - это постоянно
растущая сеть. Обнаруживаются
новые уязвимые места, апоявляются
новые сервисы и улучшения старых
сервисов, которые могут создать
проблемы при работе брандмауэра.
Поэтому всегда надо помнить о
необходимости гибкости для учета
изменений в требованиях.
4.2.2 Покупать или самому создавать
брандмауэр
Ряд организаций имеет
возможности для самостоятельного
создания брандмауэра, то есть для
объединения имеющихся программных
компонентов и оборудования или
написания программ с нуля. В то же
самое время имеется ряд
производителей, предлагающих
большое число средств в области
брандмауэров. Эти средства могут
быть ограниченными, такими как
предоставление только
необходимого программного и
аппаратного обеспечения, или
помощь в разработке политики
безопасности, оценке риска,
проверке защищенности сети и
обучении сотрудников.
Независимо от того, делаете ли вы
сами брандмауэр или покупаете,
стоит помнить, что сначала нужно
разработать политику и набор
связанных с ней требований к
брандмауэру, а уже затем начинать
создавать его. Если испытывает
трудности при разработке политики,
то будет разумным связаться с
производителем, который может
помочь в этом процессе. Если же в
организации имеется свой опыт
создания брандмауэров, то лучше и
дешевле использовать его. Одним из
преимуществ самостоятельного
создания брандмауэра является то,
что свои сотрудники знают
специфику организации и то, как
будет использоваться брандмауэр.
Если же брандмауэр приобретается,
то такого опыта может и не быть.
В то же самое время свой
брандмауэр может оказаться слишком
дорогим в смысле времени,
необходимого для его создания и
документирования, а также времени,
требуемого для сопровождения
брандмауэра и внесения в него
изменений при возникновении такой
необходимости. Затраты этого рода
иногда не учитываются; организации
иногда делают ошибку, учитывая
только стоимость оборудования. При
полном экономическом расчете
затрат, связанных с созданием
брандмауэра, может оказаться, что
более выгодно купить его.
При принятии решения
организацией о том, покупать или
создавать самому брандмауэр с
учетом имеющихся ресурсов, могут
помочь ответы на следующие вопросы
Как будет тестироваться
брандмауэр; кто будет
проверять, что он работает так,
как это ожидается
Кто будет сопровождать его(
делать архивные копии,
восстанавливать его после
сбоев)
Кто будет устанавливать
обновления брандмауэра, такие
как новые прокси-сервера,
исправления ошибок и другие
расширения
Могут ли быть оперативно
внесены исправления, связанные
с безопасностью, и решены сами
проблемы с безопасностью
Кто будет обучать
пользователей и обеспечивать
техническую поддержку для них
Многие производители предлагают
сопровождение брандмауэра, а также
помощь в его установке, поэтому
организация должна учесть это при
анализе вопроса, имеет ли она
достаточные внутренние ресурсы для
этого.