Большинство реализаций firewall’ов используют наборы правил в качестве механизма для реализации управления трафиком. Возможная совокупность этих правил определяет реальную функциональность firewall’а. В зависимости от архитектуры реализации firewall’а набор правил может включать в себя различные блоки информации. Тем не менее все они содержат как минимум следующие поля:
- адрес источника пакета, например, адрес 3 уровня компьютерной системы или устройства, откуда получен сетевой пакет (IP-адрес);
- адрес назначения пакета, например, адрес 3-го уровня компьютерной системы или устройства, куда пакет должен быть доставлен;
- тип трафика, т.е. конкретный сетевой протокол, используемый для взаимодействия систем или устройств источника или получателя, – например, IP на 3-м уровне или ТСР и UDP на 4-м уровне;
- возможно, некоторые характеристики коммуникационных сессий 4-го уровня – протокол, такой, как ТСР, и порты источника и назначения (например, ТСР:80 для порта назначения, принадлежащего web-серверу, ТСР:1320 для порта источника, получающего доступ к серверу);
- иногда информация, относящаяся к интерфейсу роутера, с которого пришел пакет, и к интерфейсу роутера, для которого пакет предназначен, – используется для роутеров с тремя и более сетевыми интерфейсами;
- действие, такое как Deny или Block пакета, или Drop пакета, когда пакет отбрасывается и отправителю пакета не возвращается ответ, содержащий информацию о том, что ему запрещена пересылка; либо Allow, Pass или Accept, когда пакет пропускается через firewall.
Следует быть готовым к тому, что набор правил firewall’а становится все более сложным.
Набор правил может быть создан после определения трафика приложений. В зависимости от firewall’а это может выполняться с использованием интерфейса в стиле web; в случае пакетных фильтров набор обычно является текстовым файлом. Набор должен быть создан как можно более конкретно в соответствии с трафиком, который он контролирует. Он должен быть как можно более простым, чтобы случайно не появилось "дырок" в firewall’е, которые могут допустить прохождение неавторизованного или нежелательного трафика через firewall.
По умолчанию политика обработки входящего трафика должна блокировать все пакеты и соединения, за исключением того типа трафика и тех соединений, которые были специально разрешены. Данный подход является более безопасным, чем другой подход, при котором по умолчанию разрешаются все соединения и весь трафик и затем блокируется конкретный трафик и соединения.
Набор правил firewall’а должен всегда блокировать следующие типы трафика:
- входящий трафик от неаутентифицированного источника с адресом назначения самого firewall’а. Данный тип пакета обычно является некоторым типом зондирования или атакой, направленной на сам firewall. Одним общим исключением из этого правила может служить случай, когда firewall обеспечивает доставку входящего e-mail (SMTP на порт 25). Тогда firewall должен разрешить входящие соединения к самому себе, но только на порт 25;
- входящий трафик из внешней сети с адресом источника, указывающим, что пакет получен из сети, расположенной позади firewall’а. Данный тип пакета обычно представляет собой некоторый тип попыток spoofing’а (подделки);
- входящий трафик, содержащий ICMP-трафик. Так как ICMP может использоваться для определения расположенных позади firewall’а сетей, ICMP не должен передаваться внутрь из Интернета или из любой недоверяемой внешней сети;
- входящий или исходящий трафик от системы, использующей адрес источника из множества диапазонов адресов, которые в соответствии с RFC 1918 зарезервированы для частных сетей:
С 10.0.0.0 до 10.255.255.255 (Класс "А" или "/8" в CIDR-нотации);
С 172.16.0.0 до 172.31.255.255 (Класс "В" или "/12" в CIDR-нотации);
С 192.168.0.0 до 192.168.255.255 (Класс "С" или "/16" в CIDR-нотации).
Входящий трафик с этими адресами источника обычно указывает на начало DoS-атаки, имеющий TCP SYN флаг:
- входящий трафик от неаутентифицированного источника, содержащий SNMP- трафик. Эти пакеты могут указывать, что атакующий прощупывает сеть. Возможны определенные причины, по которым организация может разрешить входящий SNMP-трафик, но в большинстве случаев он должен быть блокирован;
- входящий или исходящий сетевой трафик, содержащий адрес источника или назначения 127.0.0.1 (localhost). Такой трафик обычно является некоторым типом атаки на сам firewall;
- входящий или исходящий сетевой трафик, содержащий адрес источника или назначения 0.0.0.0. Некоторые ОС интерпретируют данный адрес либо как localhost, либо как broadcast-адрес, в любом случае эти пакеты могут использоваться для атаки;
- входящий или исходящий сетевой трафик, содержащий directed broadcast адреса. Directed broadcast часто используется для начала broadcast’ового распространения атаки, такой как SMURF. Directed broadcast позволяет, чтобы один компьютер посылал broadcast’овое сообщение с подделанным адресом источника. Любая система, которая отвечает на directed broadcast, посылает свой ответ системе, указанной в качестве источника, а не самому источнику. Эти пакеты могут быть использованы для создания "шторма" сетевого трафика, например, для блокирования некоторых сайтов.
Некоторые типы firewall’ов имеют возможность интегрировать аутентификацию пользователя в существующий набор правил. Например, firewall’ы могут блокировать доступ к некоторым системам до тех пор, пока пользователь не аутентифицирован firewall’ом. Данная аутентификация может быть внутренней или внешней по отношению к firewall’у. Firewall’ы, которые реализуют прикладные прокси, могут также содержать различные более сильные схемы аутентификации.
Большинство firewall’ов поддерживают несколько опций для создания логов. Эти опции имеют широкий диапазон, от создания простых записей логов до оповещения администратора о наступлении некоторого события. В зависимости от способа оповещения данное действие может реализовываться различными способами: от посылки уведомления по e-mail до телефонного сообщения соответствующему персоналу.
