E. Amoroso, R. Sharp. PC Week Intranet and Internet Firewall Strategies. Ziff-Davis Press. 1996. 218 p. $34,50.
За последние годы рост числа выявленных инцидентов, связанных с нарушением безопасности в Internet, превысил темпы роста ее самой. А потому внимание к проблемам защиты информации и ресурсов достигло наивысшего уровня за все время существования Internet.
Хорошим ориентиром в решении указанных проблем послужит книга, выпущенная издательством Ziff-Davis Press корпорации Prentice Hall*. Она посвящена использованию брандмауэров с целью защиты внутрикорпоративных сетей (intranet). Цель книги - помочь сетевым администраторам понять технологии брандмауэров и стратегии, связанные с их разработкой, приобретением и использованием. Книга состоит из одиннадцати глав, приложений и предметного указателя.
Авторы книги, эксперты в области безопасности, являются сотрудниками AT&T Laboratories. Именно в этой организации (ранее она называлась AT&T Bell Laboratories) был создан CWTG - один из наиболее известных брандмауэров Internet. Во время написания книги корпорация AT&T использовала его для защиты своей intranet-сети от общедоступной Internet.
В начальных главах приведены самые основные сведения о локальных и глобальных сетях и принципах их взаимодействия. Авторы напоминают, что intranet - это сеть, базирующаяся на протоколе TCP/IP и предназначенная для обслуживания пользователей одной организации. Подключение к Internet позволяет увеличить доходы компании, но вместе с тем создает реальную угрозу ее информационным ресурсам. Приведен обзор типичных атак, используемых злоумышленниками в отношении систем, подключенных к какой-либо сети, в частности к Internet, и даны рекомендации по оценке рисков применительно к конкретным ситуациям. Введено понятие фактора риска.
Далее изложены принципы формирования эффективной политики безопасности (политики доступа) и реализации основных функций защиты: идентификации пользователей, обеспечения конфиденциальности и контроля доступа. Базовый элемент политики безопасности - использование брандмауэров. Брандмауэр как средство управления доступом устанавливают на “электронной границе” организации. В его функции может входить также идентификация пользователей и регистрация их активности, в том числе попыток несанкционированного доступа.
Описаны брандмауэры различных типов. Подробнее других описываются два типа, которые авторы считают основными: пакетные фильтры и шлюзы прикладного уровня. Первые в своей работе используют информацию, содержащуюся в IP-пакете. Основной элемент брандмауэра второго типа - программа-представитель (proxy), которая по поручению пользователя запрашивает услугу через брандмауэр. Особенностью таких программ является то, что для каждой новой службы необходима своя proxy. Читатель познакомится с generic proxy: эти программы поддерживают любую службу, но лишены многих преимуществ шлюзов уровня приложения.
В книге рассмотрены также гибридные брандмауэры, сочетающие функции обоих указанных типов, а также бастионные хосты и другие технологии. Сопоставлены основные варианты установки брандмауэров в организации: собственная разработка (в том числе с использованием некоторых пакетов, программно реализующих отдельные функции брандмауэра) и приобретение готового коммерчески доступного брандмауэра. Отмечены достоинства и недостатки каждого из подходов.
Авторы указывают, что в качестве основы для реализации брандмауэров в большинстве случаев используют обычные ПК, а также рабочие станции фирм Sun, HP и др.
Отмечены достоинства и недостатки коммерчески доступных брандмауэров, которые разделены на три категории: чисто аппаратная реализация (типичным представителем которой являются маршрутизаторы); программная реализация (обычно это установка proxy на одной из платформ UNIX); аппаратно-программная реализация на принципах технологии “подключи и работай”. Изложены причины, по которым UNIX занимает лидирующее место среди платформ, используемых для реализации брандмауэров. Приведен перечень факторов, влияющих на выбор брандмауэра.
Авторы высказывают предположение, что вскоре брандмауэры будут предлагаться в качестве услуги, а не только как изделия, и первыми это станут делать провайдеры услуг Internet.
Отмечено, что для выбора типа брандмауэра, помимо выполнения оценки рисков и выработки политики защиты, необходимо также определить, какие услуги будут поддерживаться этим брандмауэром, так как каждая сетевая услуга сопровождается собственным уникальным риском.
Рассмотрен и фактор стоимости различных вариантов реализации брандмауэров с учетом затрат на разработку (или приобретение), эксплуатацию, обучение персонала и т. д. Приведены также данные о том, во что может обойтись отказ от использования брандмауэров при наличии сетевых ресурсов, требующих защиты.
В приложения вынесены: глоссарий, обзор протоколов из комплекта TCP/IP; оценка системы World Wide Web с точки зрения безопасности; краткие описания ряда коммерческих брандмауэров; сведения об источниках информации по брандмауэрам, включая книги, узлы Web и др.
ЮРИЙ ТОЛКАЧЕВ
* Книгу можно приобрести в представительстве Prentice Hall в Москве. Телефон: (095) 251-4504.
