Б.2 Подсистема межсетевого экранирования
Б.2.1 Подключение СВТ к сетям общего пользования проводится с обязательным применением МЭ. Подключение СВТ к сетям общего пользования в обход МЭ не допускается.
Б.2.2 Применяемые МЭ должны иметь экспертное заключение ОАЦ на предмет реализации функций безопасности информации. Основные функциональные требования безопасности к МЭ:
а) МЭ должен соответствовать требованиям [4] по классу защищенности 3;
б) средства МЭ должны обеспечивать фильтрацию IP-пакетов на основе сетевых адресов отправителя и получателя;
в) средства МЭ должны обеспечивать фильтрацию пакетов служебного протокола ICMP (служб Ping и Traceroute);
г) средства МЭ должны обеспечивать фильтрацию с учетом значимых полей IP-протокола (длина, контрольная сумма, смещение фрагмента);
д) средства МЭ должны обеспечивать возможность блокирования IP-пакетов, использующих поле опций;
е) средства МЭ должны обеспечивать блокирование доступа в защищаемый сегмент сети по заданному списку сетевых адресов и портов IP-протокола;
ж) средства МЭ должны обеспечивать возможность динамического блокирования пользователей, со стороны которых выявлены попытки атак типов Spoofing, Address Probes, 1Р Options и Port Probes, на заданный администратором период времени;
з) средства МЭ должны обеспечивать на транспортном уровне фильтрацию запросов на установление соединений со службами и сервисами стека протоколов TCP/IP;
и) МЭ должен обеспечивать на прикладном уровне защиту методом прозрачного прокси для протоколов SMTP, FTP, HTTP,DCE-RPC, H323, RealNetworks, Stream Works, VDOLive;
к) средства МЭ должны обеспечивать сокрытие сетевых адресов пользователей защищаемой сети с применением методов статического или динамического маскирования;
л) средства МЭ должны обеспечивать аутентификацию входящих соединений пользователей на основе совместной или раздельной аутентификации на сервере RADIUS, CryptoCard, SecurelD, домена Windows NT/2000 и средствами Firebox;
м) средства МЭ должны обеспечивать регистрацию событий безопасности и создание журналов на АРМ администратора безопасности или специально назначенной рабочей станции. Режимы регистрации событий, перечень регистрируемых событий должны настраиваться отдельно для каждой службы TCP/IP-протокола;
н) средства МЭ должны обеспечивать возможность подключения АРМ администратора к контроллеру средствами последовательного асинхронного интерфейса RS-232. При этом должна быть обеспечена возможность дистанционного управления МЭ и мониторинг его состояния в реальном масштабе времени;
о) средства МЭ должны обеспечивать возможность взаимодействия АРМ администратора и контроллера через ЛВС с использованием специального протокола, устойчивого к пассивным и активным методам перехвата информации. При этом должна быть обеспечена возможность дистанционного управления МЭ и мониторинг его состояния в реальном масштабе времени;
п) средства МЭ должны обеспечивать аутентификацию администратора по буквенно-цифровому паролю при его локальных и удаленных запросах на доступ;
р) программные средства МЭ должны обеспечивать установку на АРМ администратора безопасности следующих основных программных модулей:
1) утилиты инструментальной панели Control Center (менеджера системы безопасности);
2) утилиты быстрой настройки МЭ и подготовки файлов конфигурации QuickSetup Wizard;
с) утилита быстрой настройки МЭ и подготовки файлов конфигурации QuickSetup Wizard должна обеспечивать возможность подготовки и загрузки во flash-память контроллера Firebox операционной системы и файла первоначальной конфигурации, созданных в соответствии с заданными администратором безопасности установками;
т) панель SMS утилиты инструментальной панели Control Center должна обеспечивать управление конфигурацией МЭ на уровне стандартных служб TCP/IP-протокола, а также обеспечивать возможность введения уникальных и пользовательских служб;
у) средства МЭ должны обеспечивать возможность передачи уведомлений о событиях безопасности заранее заданному пользователю по каналам электронной почты. Режим передачи уведомлений должен настраиваться отдельно для каждой службы TCP/IP-протокола;
ф) средства МЭ должны обеспечивать возможность передачи сообщений о событиях безопасности заранее заданному пользователю по каналам пейджинговой связи. Режим передачи сообщений должен настраиваться отдельно для каждой службы TCP/IP-протокола с учетом направления трафика (входящая и исходящая информация);
х) средства МЭ должны обеспечивать возможность восстановления загрузочной информации и настроек параметров конфигурации после сбоев и отказов.
Б.2.3 Доступ к ресурсам МЭ, в том числе к инструментальным средствам его конфигурирования, должен быть разрешен только назначенному администратору. Средства удаленного управления МЭ, функционирующие с использованием линий связи сетей общего пользования, должны быть исключены из конфигурации МЭ.
Б.2.4 МЭ должен обеспечивать создание сеансов связи пользователей с внешними серверами и получать от этих серверов только ответы на запросы, сгенерированные со стороны пользователей. Настройка МЭ должна обеспечивать отказ в обслуживании любых запросов, сгенерированных извне.
Б.2.5 МЭ должен обеспечивать реализацию функций:
- фильтрации пакетов по протоколам;
- идентификации и аутентификации пользователей;
- выполнения установленных правил политики безопасности;
- регистрации системных событий и событий безопасности;
- удаленного управления;
- оповещения администратора о попытках нарушения установленных правил политики информационной безопасности.