Топовые новости
Случайное

Компания Cisco

Компания CiscoКомпания Cisco предлагает еще несколько типов списков. Один из них — Список обратного ограничения, или Рефлексивный список (reciperocal access list). Пример: если внутренний DNS-сервер производит запрос к внешней DNS-службе с порта 1024 на порт 53, то правило обратного ограничения разрешит прохождение пакетов от внешнего DNS-сервера только с порта 53 на внутренний порт 1024. Статичное правило, со своей стороны, позволило бы пропустить с внешнего 53-го порта любые UDP-пакеты, что приведет к появлению достаточно ощутимой бреши с точки зрения безопасности. Наконец, существует так называемый Динамичный список, который является следующим поколением рефлексивного списка и одновременно с этим использует принцип адаптивной фильтрации. Cisco позиционирует динамичные списки своих маршрутизаторов как функцию межсетевого экранирования. Динамичные правила позволяют реагировать на информацию прикладного уровня (application-layer information). Такое регулирование, кроме всего прочего, полностью решает проблемы с протоколом FTP. Все описанные расширения функциональности естественным образом отражаются на производительности системы. Полный и, казалось бы, адекватный список доступа замедляет работу маршрутизатора. Избежать потерь в производительности можно благодаря взвешенному распределению правил в списках. Если постоянно пополнять списки рефлексивных правил, то в скором времени это приведет к нехватке оперативной памяти маршрутизатора. Возьмите за правило использовать статичные списки для входящих (относительно вашей зоны DMZ) Соединений TCP и UDP. При этом входящий и исходящий трафик может не ограничиваться. Если хосты в зоне DMZ иногда используются в качестве клиентских сервисов (для получения почты или для DNS-запросов), то это необходимо учесть при задании соответствующих правил. Для входящего TCP-трафика без особого ущерба можно пропускать пакеты с меткой установленного соединения (established, EST flag). При этом вы не избавитесь от попыток сканирования TCP-портов, но хакер уже не сможет установить новое соединение.

Популярные записи

Copyright © 2015. All Rights Reserved.