Безопасность IIS

       

Что же выбрать?


Перед приобретением сетевого экрана необходимо разработать политику доступа к службам, определяющую, какие службы разрешены и запрещены для доступа из сети без доверия, а также исключения из правил. Эта политика установит возможности сетевого экрана, например, шифрование и поддержку VPN. Необходимо, чтобы сетевой экран поддерживал политику безопасности и исключал ее нарушение из-за ограничений в устройстве. После выбора сетевого экрана политика его применения определит правила, необходимые для доступа к сетевым службам.

Важно. Политика безопасности доступа должна основываться на принципе: "Запрет всего, что не разрешено", соответствующем классической модели доступа, используемой в защите информации.

Скорость является одним из решающих факторов при выборе устройства, в особенности, если вы только что столкнулись с нарушением безопасности. Аппаратные сетевые экраны имеют большое преимущество над программными устройствами, так как их программное обеспечение установлено на аппаратной платформе, что позволяет быстро установить и использовать их. Они также обеспечивают высокую доступность и баланс загрузки (но не большую безопасность). Оба типа устройств должны быть настроены корректно!

Высокая доступность, присущая таким устройствам, как Nokia IP600, означает, что если сетевой экран утратит свои функциональные возможности, он станет прозрачным переходом ко второму сетевому экрану. Это, скорее всего, не будет критичным обстоятельством, если только вы не работаете в рамках крупного поставщика услуг интернета или в аналогичной среде. Для обеспечения высокой доступности с помощью программного экрана нужно приобрести два набора аппаратных и программных компонентов, после чего установить поверх них такой пакет, как, например, Stonebeat от Stonesoft (www.stonesoft.com).

Программные сетевые экраны полезны, когда главной целью является обеспечение гибкости и масштабируемости. Тем не менее, конфигурирование экранов с расширенными возможностями займет больше времени и, следовательно, может вам многого стоить.

Для обеспечения шифрования между сайтами нужен сетевой экран со встроенными функциями по обеспечению канала виртуальной частной сети (VPN) с поддержкой технологии IPSec и безопасным удаленным VPN-клиентом. VPN и потоковые данные влияют на производительность системы, поэтому сетевой экран должен иметь достаточный объем оперативной памяти для поддержки большого числа одновременных соединений. Корпоративные сетевые экраны высшего уровня, например, Cisco PIX, обеспечивают пропускную способность более 1 Гб/с с поддержкой до 500 000 одновременных соединений.



Содержание раздела