ко от сервера управления (Management Server). Это правило должно предшествовать правилу, которое запрещает весь трафик на интерфейсы межсетевого экрана.
Правило 3
Источник: модули межсетевого экрана Check Point.
Получатель: сервер Check Point Management Console.
Сервис: FWl-Out – группа которая содержит все сервисы, требуемые для управления модулями межсетевых экранов.
Журналирование: включено.
Описание: правило разрешает трафик между модулями межсетевых экранов и сервером управления. Это правило должно предшествовать правилу, которое запрещает весь трафик, исходящий от интерфейсов межсетевого экрана.Правило 4
Источник: модули межсетевого экрана Check Point.
Получатель: сервер Check Point Management Console.
Сервис: FWl-log – протокол, который используется модулями межсетевых экранов для отправки журналов на сервер управления.
Журналирование: выключено.
Описание: правило разрешает трафик журналирования, направленный к серверу управления. Это правило указано отдельно от предыдущего, потому что более эффективно журналировать управляющий трафик без самого журналирующего трафика.Правило 5
Источник: сервер HP OpenView NNM.
Получатель: модули межсетевого экрана Check Point.
Сервис: SNMP-read, ICMP echo request (используется для Open View polling).
Журналирование: выключено.
Описание: правило разрешает мониторинг модулей межсетевого экрана с сервера HP OpenView NNM. Как уже было сказано выше, этот мониторинг является критически важным. Доступ по SNMP только в режиме read-only и только некоторые Nokia IPSO SNMP MIB включены. Расширения Check Point SNMP отключены.Правило 6
Источник: модули межсетевого экрана Check Point.
Получатель: сервер HP OpenView NNM.
Сервис: SNMP-trap, ICMP echo reply (используется для Open View polling).
Журналирование: выключено.
Описание: правило разрешает отправлять Nokia SNMP traps к серверу HP Open-View NNM. Только некоторые traps включены в конфигурации Nokia IPSO.Правило 7
Источник: модули межсетевого экрана Check Point.
Получатель: сервер времени.
Сервис: NTP.
Журналирование: выключено.
Описание: правило разрешает модулям межсетевого экрана синхронизировать время с сервером времени. Это очень важно для журналирования и правильного функционирования VRRP.Правила 8–9
Сервис: любой.
Журналирование: включено, все попытки установить соединение с и из модулей межсетевого экрана должны быть зафиксированы.
Описание: оба правила удаляют любой трафик, направленный к модулям межсетевых экранов или исходящий из модулей межсетевых экранов, разрешают модулям межсетевого экрана синхронизировать время с сервером времени. Трафик также будет удаляться последним правилом в списке, но важно зарегистрировать сам факт такого трафика. Специальные агенты на сервере SIMS осуществляют мониторинг этого трафика и отправляют сообщения администраторам при его возникновении.Правило 10
Получатель: адреса широковещательной рассылки (broadcast).
Сервис: любой.
Журналирование: выключено.
Описание: правило удаляет «шум», возникающий из-за широковещательной рассылки (broadcast) в файлах журналов.Правило 11
Источник: любой, за исключением публичной подсети (70.70.70.0/24).
Получатель: виртуальные IP-адреса двух ферм Web-приложений.
Сервис: HTTP, HTTPS.
Журналирование: включено. Эта установка может быть изменена после полной реализации всей архитектуры, потому что правило будет создавать слишком много записей в журналах.
Описание: первое реальное правило; относящееся к зоне Web. Правило разрешает Web-трафик к серверам Web-приложений. Публичные IP-адреса были исключены из адресов источников для уменьшения вероятности атаки с подменой IP-адресов, хотя это и не требуется, так как функция anti-spoofing будет отрабатывать этот вариант. Это просто дополнительный уровень защиты. Правило размещено выше всех остальных правил для увеличения производительности, из-за частого его использования.Правило 12
Источник: ргоху-серверы демилитаризованной зоны.
Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Сервис: HTTP, HTTPS, FTP.
Журналирование: включено. Эта установка может быть изменена после полной реализации всей архитектуры, потому что правило будет создавать слишком много записей в журналах. Весь исходящий трафик к внешним Web-cepвeрам будет журналироваться.Правило 13
Описание: правило разрешает внутренним пользователям получать доступ к внешним Web-серверам, определенным в политике компании. Это второе по частоте использования правило.
Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Получатель: внешние SMTP-серверы компании.Правило 14
Источник: внешние SMTP-серверы компании.
Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Сервис: SMTP.
Журналирование: включено, журналируются все входящие и исходящие SMTP-соединения.
Описание: 13-е и 14-е правила разрешает внешним SMTP-серверам принимать и отправлять электронную почту.Правило 15
Источник: внешние DNS-серверы компании.
Получатель: DNS-серверы ISP1 и ISP2.
Сервис: DNS, TCP и UDP.
Журналирование: включено, журналируются все входящие и исходящие STMP-соединения.
Описание: правило позволяет разрешать внешние DNS-имена. TCP разрешен для того случая, когда DNS-ответ слишком большой для размещения в UDP-пaкете. Эта установка обеспечивает наиболее защищенный способ разрешения внешних DNS-имен, потому что требуется только доступ к четырем внешним DNS-серверам, которые принадлежат двум известным провайдерам.Правило 16
Источник: сервер HP OpenView NNM.
Получатель: внутренние интерфейсы пограничных маршрутизаторов.
Сервис: SNMP-read, ICMP echo request (используется для Open View polling).Правило 17
Источник: внутренние интерфейсы пограничных маршрутизаторов.
Получатель: сервер HP OpenView NNM.
Сервис: SNMP-trap, ICMP echo reply (используется для Open View polling).
Журналирование: выключено.
Описание: правило позволяет осуществлять мониторинг пограничных маршрутизаторов с помощью сервера HP OpenView NNM. Как уже было сказано выше, этот мониторинг является критически важным. Разрешен только доступ в режиме read-only; 16-е и 17-е правила используются редко, поэтому расположены именно здесь.Правило 18
Источник: внутренние интерфейсы пограничных маршрутизаторов.
Получатель: сервер времени.
Сервис: NTP.
Журналирование: выключено.
Описание: правило разрешает пограничным маршрутизаторам синхронизировать время с сервером времени.Правило 19
Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24). Получатель: VPN-шлюз.
Правило 20
Источник: VPN-шлюз.
Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Сервис: IPSec: IKE, ESP, TCP 7456 (Cisco IPSec tunneling over TCP).
Журналирование: включено (для журналирования всей активности, связанной с использованием VPN).
Описание: 19-е и 20-е правила разрешают удаленный доступ через VPN. Журналирование используется, хотя VPN-концентратор имеет свое собственное журналирование, потому что VPN-шлюз обеспечивает доступ во внутреннюю сеть компании, что очень важно. Публичные IP-адреса компании были исключены из списка для предупреждения попыток осуществить VPN-соединение из внутренней сети компании, VPN-соединение должно быть доступно только из Интернета.Правило 21
Источник: любой из публичной IP-подсети (70.70.70.0/24). Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Правило 22
Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Получатель: любой из публичной IP-подсети (70.70.70.0/24).
Сервис: ICMP source quench.
Журналирование: включено.
Описание: 21-е и 22-е правила разрешают сообщения ICMP source quench для оптимизации скорости передачи, увеличивающей производительность.Правило 23
Источник: любой.
Получатель: любой.
Сервис: любой.
Журналирование: включено; весь трафик, не удовлетворяющий предыдущим правилам, должен быть записан и проанализирован.
Описание: правило блокирует весь трафик, который не был явно разрешен в предыдущих правилах. Действие на это правило – drop, а не reject для того, чтобы к отправителю не посылался никакой трафик. В этом случае злоумышленникам трудно провести сетевую разведку.