Правила межсетевого экрана

В инфраструктуре крупных предприятий компьютерную сеть обычно нарезают на множество сегментов, взаимодействие между которыми ограничивают правилами межсетевого экрана для повышения безопасности в соответствии с концепцией нулевого доверия (Zero Trust). Чтобы правильно настроить сетевое оборудование, воспользуйтесь перечнем правил из следующего документа firewall_rules.xlsx.

Каждая строка таблицы описывает параметры сетевого взаимодействия между двумя компонентами системы, например:

  • Нужно разрешать: да

  • В обе стороны: да

  • Источник

    • Подсистема: контроллер домена

    • IP-адрес: IP адрес контроллера домена

  • Приемник

    • Подсистема: контроллер доверенного домена AD DS

    • Служба: DNS

    • IP-адрес: IP адрес контроллера доверенного домена AD DS

    • Порт: 53

  • Протокол L3: TCP/UDP

  • Протокол L4: DNS

  • Подсистемы: контроллер домена, контроллер доверенного домена AD DS

  • Назначение трафика: Перенаправление DNS запросов для получения информации из доверенной зоны. Большинство запросов будет обрабатываться с использованием протокола UDP, а переключение на TCP происходит, если ответы сервера будут превышать 512 байт на одно сообщение. По этому же порту происходит динамическое обновление DNS-записей со стороны клиентов по протоколу GSS-TSIG.

Дополнительные комментарии по параметрам:

  • Нужно разрешать — указывает, нужно ли разрешать сетевое взаимодействие, описываемое в рамках правила, для нормальной работы продукта. Значение «нет» устанавливается в одном из следующих случаев:

    • Порт открывается одним из сопутствующих приложений системы, т. е. его функции не используются в продукте (например, Avahi). Учет таких правил помогает упростить проверку со стороны сотрудников информационной безопасности.

    • Порт используется для сетевого взаимодействия между компонентами, которые расположены в пределах одного хоста (например, PostgreSQL). Учет таких правил упрощает проверку и помогает лучше понять сетевое взаимодействие между компонентами системы.

    • Правило устарело и более не требуется (например, правила для GlusterFS). Удержание таких правил в таблице упрощает ретроспективный анализ правил, созданных ранее на сетевом оборудовании.

  • В обе стороны — указывает, что источник и приемник должны взаимодействовать по указанному порту как в прямом так и обратном направлении, что позволяет исключить дублирование правил, например, при взаимодействии контроллеров ALD Pro с контроллерами AD DS. Может принимать значения «да/нет».

  • Источник — группа колонок, описывающих компонент системы, который выступает инициатором сетевого взаимодействия.

  • Приемник — группа колонок, описывающих компонент системы, который выступает принимающей стороной, о есть открывает серверный порт и ждет входящего сетевого соединения от Источника.

  • Подсистема — наименование собственного компонента продукта или компонента стороннего вендора, который используется в гибридных сценариях развертывания. Например, контроллер домена, контроллер доверенного домена AD DS, доменный компьютер, компьютер доверенного домена AD DS, сервер репозитория и т.д.

    В предпоследней колонке «Подсистемы» указаны обе подсистемы, как со стороны Источника, так и Приемника, чтобы упростить поиск правил с помощью автоматических фильтров.

  • Служба — наименование службы на принимающей стороне, которая непосредственно открывает порт и ожидает входящего сетевого соединения. Например, для контроллера домена это может быть 389 Directory Server (ns-slapd), KDC (krb5kdc), Bind9 (named-pkcs11), Apache (apache2) и т. д.

  • IP-адрес — описание конкретного адреса или целого сегмента сети, в котором может находиться Источник или Приемник.

  • Порт — номер сетевого порта, который прослушивает принимающая сторона.

  • Протокол L3 — наименование протокола транспортного уровня, который используется в рамках соединения, например, TCP или UDP.

  • Протокол L4 — протокол уровня приложений, используемый в рамках соединени. Например, HTTP, LDAP, Kerberos, DNS, DHCP, TFTP и т. п.

  • Назначение трафика — описание функционального назначения трафика, какая информация передается между участниками сетевого взаимодействия, и для чего это нужно. Информация помогает в принятии решения об открытии конкретных портов и отладки возникающих проблем.