|
|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Alexander Trotsai 2:5020/400 06 Dec 2003 23:06:20 To : Michael de'OZ Subject : Re: Re: так ли необходим сетевой экран? --------------------------------------------------------------------------------
On Wed, Dec 03, 2003 at 12:35:42PM +0000, Michael de'OZ wrote:
MdO>Вот ты тут привёл много разных аргументов, но не в тему.
MdO>Вопрос в том: зачем ставить экран на тазик если:
MdO>1 все закрытые порты уже закрыты в силу отказа в приёме соединий уровня
MdO>приложений. 2 никакой фильтрации не надо - вернее фильтрация уже сделана.
MdO>Hапример, принмать ssh соединения и не принимать никакие другие. 3 хотя
MdO>этого и не было в самом первом вопросе, однако это подразумевается: на
MdO>шлюзах автономной системы стоят фильтры, которые реализуют политику
MdO>безопасности автономной системы. И не надо её дублировать на кажом тазике.
на шлюзах автономной системы надо ставить МИHИМУМ фильтров
потому что
1. есть много разных пользователей внутри автоновной
системы, и учитывать мнение каждого что ему надо - геморой
по построению (высокая сложность) и реализации - либо
автоматизированное построение с интерфейсом для каждого
пользователя (сложный проект: чтобы результаты не испортили
жизнь как самим пользователям так и соседям) или постоянное
дерганье админа по каждому чиху
2. чем более сложные фильтры - тем больше требуется
процессора для анализа прохождение пакета, что приводит к
3. ... на границе автономной системы как правило
максимальный объем траффика, что с 2 будет преводить к
отказам маршрутизаторов, либо потребует существенно других
средств на СЭ
и: наконец: каждый сервер (именно сервер предоставляющий
сервисы!) знает "лучше" чем сторонний СЭ какие он
предоставляет сервисы, что дает возможность statefull
filtering
--
Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC
My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc]
Знания приходят и уходят, а диплом остается
--- ifmail v.2.15dev5.1
* Origin: Adamant ISP news server (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор Архивное /ru.linux/1843771aa5644.html, оценка из 5, голосов 10
|