Б.2 Подсистема межсетевого экранирования

Б.2.1 Подключение СВТ к сетям общего пользования проводится с обязательным применением МЭ. Подключение СВТ к сетям общего пользования в обход МЭ не допускается.

Б.2.2 Применяемые МЭ должны иметь экспертное заключение ОАЦ на предмет реализации функций безопасности информации. Основные функциональные требования безопасности к МЭ:

а) МЭ должен соответствовать требованиям [4] по классу защищенности 3;

б) средства МЭ должны обеспечивать фильтрацию IP-пакетов на основе сетевых адресов отпра­вителя и получателя;

в) средства МЭ должны обеспечивать фильтрацию пакетов служебного протокола ICMP (служб Ping и Traceroute);

г) средства МЭ должны обеспечивать фильтрацию с учетом значимых полей IP-протокола (длина, контрольная сумма, смещение фрагмента);

д) средства МЭ должны обеспечивать возможность блокирования IP-пакетов, использующих поле опций;

е) средства МЭ должны обеспечивать блокирование доступа в защищаемый сегмент сети по задан­ному списку сетевых адресов и портов IP-протокола;

ж) средства МЭ должны обеспечивать возможность динамического блокирования пользователей, со стороны которых выявлены попытки атак типов Spoofing, Address Probes, 1Р Options и Port Probes, на заданный администратором период времени;

з) средства МЭ должны обеспечивать на транспортном уровне фильтрацию запросов на установ­ление соединений со службами и сервисами стека протоколов TCP/IP;

и) МЭ должен обеспечивать на прикладном уровне защиту методом прозрачного прокси для прото­колов SMTP, FTP, HTTP,DCE-RPC, H323, RealNetworks, Stream Works, VDOLive;

к) средства МЭ должны обеспечивать сокрытие сетевых адресов пользователей защищаемой сети с применением методов статического или динамического маскирования;

л) средства МЭ должны обеспечивать аутентификацию входящих соединений пользователей на основе совместной или раздельной аутентификации на сервере RADIUS, CryptoCard, SecurelD, домена Windows NT/2000 и средствами Firebox;

м) средства МЭ должны обеспечивать регистрацию событий безопасности и создание журналов на АРМ администратора безопасности или специально назначенной рабочей станции. Режимы реги­страции событий, перечень регистрируемых событий должны настраиваться отдельно для каждой службы TCP/IP-протокола;

н) средства МЭ должны обеспечивать возможность подключения АРМ администратора к конт­роллеру средствами последовательного асинхронного интерфейса RS-232. При этом должна быть обеспечена возможность дистанционного управления МЭ и мониторинг его состояния в реальном масштабе времени;

о) средства МЭ должны обеспечивать возможность взаимодействия АРМ администратора и конт­роллера через ЛВС с использованием специального протокола, устойчивого к пассивным и активным методам перехвата информации. При этом должна быть обеспечена возможность дистанционного управления МЭ и мониторинг его состояния в реальном масштабе времени;

п) средства МЭ должны обеспечивать аутентификацию администратора по буквенно-цифровому паролю при его локальных и удаленных запросах на доступ;

р) программные средства МЭ должны обеспечивать установку на АРМ администратора безопас­ности следующих основных программных модулей:

1) утилиты инструментальной панели Control Center (менеджера системы безопасности);

2) утилиты быстрой настройки МЭ и подготовки файлов конфигурации QuickSetup Wizard;

с) утилита быстрой настройки МЭ и подготовки файлов конфигурации QuickSetup Wizard должна обеспечивать возможность подготовки и загрузки во flash-память контроллера Firebox операционной системы и файла первоначальной конфигурации, созданных в соответствии с заданными админи­стратором безопасности установками;

т) панель SMS утилиты инструментальной панели Control Center должна обеспечивать управление конфигурацией МЭ на уровне стандартных служб TCP/IP-протокола, а также обеспечивать возмож­ность введения уникальных и пользовательских служб;

у) средства МЭ должны обеспечивать возможность передачи уведомлений о событиях безопас­ности заранее заданному пользователю по каналам электронной почты. Режим передачи уведомлений должен настраиваться отдельно для каждой службы TCP/IP-протокола;

ф) средства МЭ должны обеспечивать возможность передачи сообщений о событиях безопасности заранее заданному пользователю по каналам пейджинговой связи. Режим передачи сообщений должен настраиваться отдельно для каждой службы TCP/IP-протокола с учетом направления трафика (входя­щая и исходящая информация);

х) средства МЭ должны обеспечивать возможность восстановления загрузочной информации и настроек параметров конфигурации после сбоев и отказов.

Б.2.3 Доступ к ресурсам МЭ, в том числе к инструментальным средствам его конфигурирования, должен быть разрешен только назначенному администратору. Средства удаленного управления МЭ, функционирующие с использованием линий связи сетей общего пользования, должны быть исключены из конфигурации МЭ.

Б.2.4 МЭ должен обеспечивать создание сеансов связи пользователей с внешними серверами и получать от этих серверов только ответы на запросы, сгенерированные со стороны пользователей. Настройка МЭ должна обеспечивать отказ в обслуживании любых запросов, сгенерированных извне.

Б.2.5 МЭ должен обеспечивать реализацию функций:

- фильтрации пакетов по протоколам;

- идентификации и аутентификации пользователей;

- выполнения установленных правил политики безопасности;

- регистрации системных событий и событий безопасности;

- удаленного управления;

- оповещения администратора о попытках нарушения установленных правил политики информа­ционной безопасности.