2 аспекты безопасности, 3 основные поля для настройки правил, 1 action – Инструкция по эксплуатации Zyxel P-2602H
Страница 215: 2 service (служба), 3 source address (адрес источника), 4 destination address (адрес получателя)
Руководство пользователя cерии P-2602H/HW EE
Глава 14 Настройка межсетевого экрана
215
14.3.2 Аспекты безопасности
1 После того, как сформулирована логика правила, чрезвычайно важно рассмотреть
аспекты безопасности, с которыми оно сопряжено:
2 Мешает ли это правило обращению пользователей из LAN к критически важным
ресурсам в Интернете? Например, если блокируется IRC, нет ли пользователей,
которым необходим этот вид сетевой службы?
3 Можно ли изменить правило так, чтобы оно было более определенным? Например,
если IRC блокируется для всех пользователей, не окажется ли более эффективным
правило, которое блокирует доступ только для определенных пользователей?
4 Если правило разрешает пользователям из Интернета обращаться к ресурсам в
LAN, не создает ли оно уязвимости? Например, если разрешено обращаться из
Интернета к портам FTP (TCP 20, 21) на компьютерах в LAN, пользователи из
Интернета смогут соединяться с компьютерами, на которых работают FTP-серверы.
5 Не конфликтует ли данное правило с существующими правилами?
6 После проработки всех этих вопросов добавление правила сводится лишь к
указанию необходимых параметров в соответствующих полях на экране веб-
конфигуратора.
14.3.3 Основные поля для настройки правил
14.3.3.1 Action
Какое действие должно выполняться: Drop (отброс), Reject (запрет) или Permit
(разрешение)?
Примечание: “Drop” означает, что межсетевой экран попросту отбрасывает
пакет. “Reject” означает, что межсетевой экран отбрасывает пакет,
возвращая отправителю ICMP-сообщение о недоступности адресата.
14.3.3.2 Service (Служба)
Выберите сетевую службу из списка Service. Если требуемая служба в списке
отсутствует, необходимо сначала ее определить. Подробнее о предопределенных типах
служб см.
.
14.3.3.3 Source Address (Адрес источника)
Где находится источник соединения: в LAN или в WAN? Является ли он одиночным IP-
адресом, диапазоном IP-адресов или подсетью?
14.3.3.4 Destination Address (Адрес получателя)
Где находится адресат соединения: в LAN или в WAN? Является ли он одиночным IP-
адресом, диапазоном IP-адресов или подсетью?