Основы работы брандмауэров
Сенченко Т.В. (aka Boffin)
[email protected]
icq: 865491
(предыдущая страница ...)
Администрирование брандмауэра
Брандмауэр, как и любое другое сетевое устройство, должен кем-то управляться. Политика безопасности должна определять, кто отвечает за управление брандмауэром. Должны быть назначены два администратора брандмауэра (основной и заместитель) ответственным за информационную безопасность (или кем-либо из руководства) и эти администраторы должны отвечать за работоспособность брандмауэра и защиту сети. Основной администратор должен производить изменения в конфигурации брандмауэра, а его заместитель должен производить любые действия только в отсутствие основного, чтобы не возникало противоречивых установок. Каждый администратор брандмауэра должен сообщить свой домашний телефонный номер, номер сотового телефона и другую информацию, необходимую для того, чтобы связаться с ним в любое время.
Как защититься от вирусов?
Брандмауэры не могут обеспечить хорошую защиту от вирусов и им подобных программ. Имеется слишком много способов кодирования двоичных файлов для передачи по сетям, а также слишком много различных аппаратных архитектур и вирусов, чтобы можно было пытаться выявить их все. Другими словами, брандмауэр не может заменить соблюдение принципов защиты вашими пользователями. В общем случае, брандмауэр не может защитить от атаки, когда программа в виде данных посылается или копируется на внутренний хост, где затем выполняется. Такого рода атаки в прошлом выполнялись на различные версии программ sendmail, ghostscript и почтовых агентов, типа OutLook, поддерживающих языки сценариев.
Тем не менее, все больше поставщиков брандмауэров предлагают брандмауэры "выявляющие вирусы". Они будут полезны только наивным пользователям, обменивающимся выполняемыми программами для платформы Windows или документами с потенциально разрушительными макросами. Есть много решений на базе брандмауэра для проблем типа червя "ILOVEYOU" и других подобных атак, но они реализуют слишком упрощенные подходы, пытаясь ограничить ущерб от действий настолько глупых, что они вообще не должны выполняться. Не полагайтесь на то, что эти средства защитят вас хоть сколько-нибудь от атакующих.
Критические ресурсы для служб брандмауэра
Критичными для брандмауэра могут быть разные ресурсы, в зависимости от типов информации, передаваемых через систему. Некоторые думают, что смогут автоматически увеличивать пропускную способность брандмауэра, перенося его на компьютер с более быстрым процессором или процессором другой архитектуры, что не всегда верно. Потенциально это может привести к значительным денежным затратам, абсолютно не решающим проблему или не дающим ожидаемой масштабируемости решения. В загруженной системе особенно важен объем ОЗУ. Необходимо иметь достаточно оперативной памяти, чтобы вместить каждый экземпляр той или иной программы, необходимой для решения возложенных на машину задач. В противном случае начнется откачка страниц и производительность не будет расти. Незначительное использование области подкачки обычно не вызывает проблем, но если область подкачки системы быстро заполняется, пришло время расширять оперативную память. Систему с интенсивной подкачкой страниц часто достаточно просто заблокировать с помощью атаки на службы или сильно затормозить простой перегрузкой обращениями.
(... продолжение)
Обсудить статью на форуме
Дата обновления 10.01.2005
| Главная страница | Форум | Мир протоколов | RFC | Безопасность | Технологии |
| Интерфейсы | Инструменты | Библиотека | Вопросы и ответы | Авторы | Отзывы |
Copyright © 1999-2005. BiLiM Systems.
|
