и при создании политики сетевого доступа
Брандмауэр - это реализация политики сетевого доступа, которая рассматривалась в . Существует ряд вариантов этой политики, которые можно реализовать, таких как запрет доступа извне, неограниченный доступ в Интернет или ограниченный входящий доступ и ограниченный выходящий доступ. Политика проектирования брандмауэра определяет во-многом политику сетевого доступа: чем строже политика проектирования брандмауэра, тем более строгой будет и политика сетевого доступа. Поэтому прежде всего нужно определиться с политикой проектирования брандмауэра.
Как уже объяснялось в главе , типовыми политиками проектирования брандмауэра являются запрет всех сервисов, кроме тех, что явно разрешены, или разрешение на доступ ко всем сервисам, кроме тех, что явно запрещены. Первый тип более безопасен и поэтому предпочтителен, но он также более строг, в результате чего при нем допускается работа меньшего числа сервисов. Глава 3 содержит несколько примеров брандмауэров, и в ней наглядно показано, что некоторые типы брандмауэров могут реализовывать оба вида политики управления доступом, в то время как брандмауэр на основе шлюза с двумя интерфейсами предназначен для реализации политики "все, что не разрешено - запрещено". Кроме того, эти примеры показывают, что системы, требующие обеспечения доступа к сервисам, не пропускаемым брандмауэром, могут быть размещены в изолированных подсетях отдельно от других внутренних систем. Клчевым моментом здесь является то, что в зависимости от требований обеспечения безопасности и гибкости, некоторые типы брандмауэров более предпочтительны, чем другие. Этот факт подчеркивает важность правильного выбора политики до начал создания брандмауэра; другой порядок действий нецелесообразен.
Для того, чтобы правильно разработать концептуальную политику брандмауэра, а затем систему брандмауэра, которая реализует эту политику, NIST рекмоендует, чтобы сначала был разработан самы безопасный вариант политики - то есть запретить все сервисы, кроме тех, что явно разрешены. Разработчики политики должны разбираться в следующих вопросах и задокументировать их:
