Политики безопасности компании при работе в Интернет - Сергей Петренко

Задание правил безопасности межсетевого экрана. Опишем каждое правило в деталях.

Правило 1

Источник: источник в этом правиле группирует вместе оба IP-адреса физических интерфейсов межсетевого экрана и IP-адреса, используемые VRRP (IP protocol 112) на каждом интерфейсе, где он включен. Это новое требование Check Point NG, начиная с версии FP2, для нормального функционирования VRRP. FW-Front – это объект типа Gateway Cluster, оба межсетевых экрана входят в этот объект.

Получатель: VRRP multicast IP-адрес (244.0.0.18).

Сервис: VRRP (IP-protocol 112), IGMP (IP-protocol 2). Оба должны быть включены для функционирования VRRP в версиях Check Point NG FP2 и выше.

Журналирование: выключено (для уменьшения количества бесполезных записей в журнале).

Описание: правило разрешает функционирование VRRP между двумя межсетевыми экранами для обеспечения работы в режиме кластера. Это правило установлено первым, так как очень важно, чтобы VRRP функционировал надлежащим образом между двумя межсетевыми экранами для уменьшения любых асимметричных потоков трафика.

Правило 2

Источник: сервер Check Point Management Console.

Получатель: модули межсетевого экрана Check Point (объект Gateway Cluster содержит оба модуля).

Сервис: FWl-In – группа, которая содержит все сервисы для управления межсетевыми экранами. Для управления Nokia IPSO используются SSH и HTTPS. HTTPS включается только при начальной загрузке Nokia и удаляется из правила после настройки Nokia.

Журналирование: включено, все действия по управлению журналируются.

Описание: правило разрешает доступ к Nokia IPSO и межсетевому экрану Check Point для управления только от сервера управления (Management Server). Это правило должно предшествовать правилу, которое запрещает весь трафик на интерфейсы межсетевого экрана.

Правило 3

Источник: модули межсетевого экрана Check Point.

Получатель: сервер Check Point Management Console.

Сервис: FWl-Out – группа которая содержит все сервисы, требуемые для управления модулями межсетевых экранов.

Журналирование: включено.

Описание: правило разрешает трафик между модулями межсетевых экранов и сервером управления. Это правило должно предшествовать правилу, которое запрещает весь трафик, исходящий от интерфейсов межсетевого экрана.

Правило 4

Источник: модули межсетевого экрана Check Point.

Получатель: сервер Check Point Management Console.

Сервис: FWl-log – протокол, который используется модулями межсетевых экранов для отправки журналов на сервер управления.

Журналирование: выключено.

Описание: правило разрешает трафик журналирования, направленный к серверу управления. Это правило указано отдельно от предыдущего, потому что более эффективно журналировать управляющий трафик без самого журналирующего трафика.

Правило 5

Источник: сервер HP OpenView NNM.

Получатель: модули межсетевого экрана Check Point.

Сервис: SNMP-read, ICMP echo request (используется для Open View polling).

Журналирование: выключено.

Описание: правило разрешает мониторинг модулей межсетевого экрана с сервера HP OpenView NNM. Как уже было сказано выше, этот мониторинг является критически важным. Доступ по SNMP только в режиме read-only и только некоторые Nokia IPSO SNMP MIB включены. Расширения Check Point SNMP отключены.

Правило 6

Источник: модули межсетевого экрана Check Point.

Получатель: сервер HP OpenView NNM.

Сервис: SNMP-trap, ICMP echo reply (используется для Open View polling).

Журналирование: выключено.

Описание: правило разрешает отправлять Nokia SNMP traps к серверу HP Open-View NNM. Только некоторые traps включены в конфигурации Nokia IPSO.

Правило 7

Источник: модули межсетевого экрана Check Point.

Получатель: сервер времени.

Сервис: NTP.

Журналирование: выключено.

Описание: правило разрешает модулям межсетевого экрана синхронизировать время с сервером времени. Это очень важно для журналирования и правильного функционирования VRRP.

Правила 8–9

Сервис: любой.

Журналирование: включено, все попытки установить соединение с и из модулей межсетевого экрана должны быть зафиксированы.

Описание: оба правила удаляют любой трафик, направленный к модулям межсетевых экранов или исходящий из модулей межсетевых экранов, разрешают модулям межсетевого экрана синхронизировать время с сервером времени. Трафик также будет удаляться последним правилом в списке, но важно зарегистрировать сам факт такого трафика. Специальные агенты на сервере SIMS осуществляют мониторинг этого трафика и отправляют сообщения администраторам при его возникновении.

Правило 10

Получатель: адреса широковещательной рассылки (broadcast).

Сервис: любой.

Журналирование: выключено.

Описание: правило удаляет «шум», возникающий из-за широковещательной рассылки (broadcast) в файлах журналов.

Правило 11

Источник: любой, за исключением публичной подсети (70.70.70.0/24).

Получатель: виртуальные IP-адреса двух ферм Web-приложений.

Сервис: HTTP, HTTPS.

Журналирование: включено. Эта установка может быть изменена после полной реализации всей архитектуры, потому что правило будет создавать слишком много записей в журналах.

Описание: первое реальное правило; относящееся к зоне Web. Правило разрешает Web-трафик к серверам Web-приложений. Публичные IP-адреса были исключены из адресов источников для уменьшения вероятности атаки с подменой IP-адресов, хотя это и не требуется, так как функция anti-spoofing будет отрабатывать этот вариант. Это просто дополнительный уровень защиты. Правило размещено выше всех остальных правил для увеличения производительности, из-за частого его использования.

Правило 12

Источник: ргоху-серверы демилитаризованной зоны.

Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).

Сервис: HTTP, HTTPS, FTP.

Журналирование: включено. Эта установка может быть изменена после полной реализации всей архитектуры, потому что правило будет создавать слишком много записей в журналах. Весь исходящий трафик к внешним Web-cepвeрам будет журналироваться.

Правило 13

Описание: правило разрешает внутренним пользователям получать доступ к внешним Web-серверам, определенным в политике компании. Это второе по частоте использования правило.

Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24).

Получатель: внешние SMTP-серверы компании.

Правило 14

Источник: внешние SMTP-серверы компании.

Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).

Сервис: SMTP.

Журналирование: включено, журналируются все входящие и исходящие SMTP-соединения.

Описание: 13-е и 14-е правила разрешает внешним SMTP-серверам принимать и отправлять электронную почту.

Правило 15

Источник: внешние DNS-серверы компании.

Получатель: DNS-серверы ISP1 и ISP2.

Сервис: DNS, TCP и UDP.

Журналирование: включено, журналируются все входящие и исходящие STMP-соединения.

Описание: правило позволяет разрешать внешние DNS-имена. TCP разрешен для того случая, когда DNS-ответ слишком большой для размещения в UDP-пaкете. Эта установка обеспечивает наиболее защищенный способ разрешения внешних DNS-имен, потому что требуется только доступ к четырем внешним DNS-серверам, которые принадлежат двум известным провайдерам.