3 информация о безопасности – Инструкция по эксплуатации Zyxel P660HN

Глава 8 Брандмауэр (Firewall)

Руководство пользователя P660HN

155

8.5.2 Методы усиления безопасности при помощи брандмауэра

1 Измените пароль по умолчанию при помощи Web-конфигуратора.
2 Подумайте о допуске к устройству до его подключения в сеть.
3 Ограничьте круг лиц, имеющих право доступа к маршрутизатору.
4 Не включайте никаких локальных служб (типа telnet или FTP), если вы их не

используете. Любые включенные службы могут представлять потенциальный риск
для безопасности. Некоторые хакеры могут найти оригинальные способы
злоупотребления включенными службами для доступа к брандмауэру или сети.

5 Для включенных локальных служб должна применяться защита от

злоупотребления. Установите защиту, сконфигурировав службы для связи только с
одним конкретным клиентским устройством, и сконфигурировав правила для
блокирования пакетов этих служб в конкретных интерфейсах.

6 Установите защиту от ложного IP-адреса, убедившись, что брандмауэр активен.
7 Само устройство брандмауэра должно находиться в недоступном (закрытом)

помещении.

8.5.3 Информация о безопасности

"

Неправильная настройка брандмауэра может привести к блокированию
допустимого доступа или к увеличению риска нарушения безопасности
устройства P660HN и вашей защищенной сети. Будьте предельно
внимательны при создании или удалении правил брандмауэра и перед
конфигурированием правил протестируйте их.

Перед созданием правила необходимо рассмотреть те последствия, которые оно будет
иметь для безопасности сети:

1 Блокирует ли это правило доступ пользователей LAN к важным ресурсам в

Интернете? Например, если IRC блокируется, существуют ли пользователи,
которым требуется эта услуга?

2 Возможно ли модифицировать правило так, чтобы оно было более конкретным?

Например, если IRC блокировано для всех пользователей, не будет ли правило,
которое блокирует определенных пользователей, более эффективным?

3 Не создаст ли правило, которое разрешает пользователям Интернета доступ к

ресурсам в LAN, слабые места в защите? Например, если порты FTP (TCP 20, 21)
открыты из Интернета в LAN, пользователи Интернет смогут подключиться к
компьютерам, управляемым серверами FTP.

4 Не будет ли это правило вступать в противоречие с другими существующими

правилами?

Если ответы на эти вопросы известны, то добавление правил сведется к простому
внесению данных в нужные поля на экранах Web-конфигуратора.