Reguły filtrowania

Reguły filtrowania
0 votes, 0.00 avg. rating (0% score)

Reguły filtrowania

Ogólnie rzecz biorąc, kiedy przyjrzysz się poniższej tabeli, zauważysz, że reguła filtrowania „do wewnątrz” dla jednego interfejsu będzie identyczna z regułą filtrowania „na zewnątrz” dla innego interfejsu. Dzięki połączeniu w pary reguł i interfejsów zyskujemy pewność, że reguły filtrowania nie są zależne od trasowania pakietów.

W poniższej tabeli kierunki są podane względem interfejsu, a nie firewalla jako całości. Odróżnia ją to od innych tabel zamieszczonych w książce, w których nie uwzględniamy poszczególnych interfejsów.

Do obsługi opisanej konfiguracji firewall będzie potrzebował następujących reguł: Zasada minimalnych przywilejów obowiązuje w niektórych punktach tej konfiguracji. Na przykład skonfigurowanie SMTP w taki sposób, aby poczta wychodząca przechodziła przez wewnętrzny host usługowy (a nie była wysyłana bezpośrednio do zdalnych systemów), jest zastosowaniem zasady minimalnych przywilejów, ponieważ pozwala na ściślejsze kontrolowanie komunikacji między systemami wewnętrznymi i zewnętrznymi (w tym przypadku sprawia, że systemy wewnętrzne nie muszą się porozumiewać bezpośrednio z systemami zewnętrznymi, aby świadczyć żądane usługi).

Zasadę minimalnych przywilejów zastosowaliśmy także w odniesieniu do sieci peryferyjnej, dając jej tylko takie prawa dostępu, aby mogła świadczyć usługi WWW na rzecz hostów zewnętrznych. Z drugiej strony, scalenie rutera wewnętrznego i zewnętrznego narusza tę zasadę, zwłaszcza jeśli wynikowy host musi świadczyć także usługi DNS i SMTP. Aby pełnić wszystkie te funkcje, host trasujący musi być wyposażony w bardzo szerokie przywileje. W pewnym sensie przenieśliśmy przywileje sieci peryferyjnej na firewall.

Utworzyliśmy także wewnętrzny host usługowy z wieloma poziomami uprawnień: świadczy on kilka różnych usług i znajduje się w sieci wewnętrznej, co samo w sobie jest już przywilejem. Ten host to drugi przykład naruszenia zasady minimalnych przywilejów.

Architektura ekranowanej podsieci, opisana wcześniej w tym rozdziale, nieco lepiej realizuje zasadę minimalnych przywilejów niż właśnie omawiana.

about author

admin

related articles