Теперь настало время преобразовать псевдокод в набор правил конкретного межсетевого экрана. Как уже отмечалось, это может быть сделано или посредством командной строки, или с помощью графического интерфейса. Некоторые системы имеют функцию импорта текстового файла, написанного на псевдокоде. После задания правил начинается процесс тестирования и отладки новой конфигурации. Во время испытаний на стенде прежде всего следует обратить внимание на процессы, не учтенные при создании псевдокода. Наконец, добавив недостающие инструкции и оценив воздействие экрана на производительность и защищенность системы, устройство можно вводить в эксплуатацию. Если вы видите, что допустили ошибку или неправильно оценили ситуацию на более ранних этапах, — не смущайтесь, изменяйте правила и пробуйте другие варианты. Именно для этого необходимо тестирование. Используйте политику безопасности и системы IDS — все инструменты, способные помочь в снижении информационных рисков, которым подвержена ваша организация.
После того как установлены все правила, необходимые для работы сайта, пришло время убедиться в том, что разрешены соединения только по заданным протоколам и только с заданными серверами. К примеру, если вы прописали разрешающее правило для SSH-соединений, то стоит проверить, что эта инструкция пропускает только TCP-пакеты. UDP современными SSH не поддерживается. Каждое правило должно ограничивать использование того или иного протокола, не предусмотренного соответствующим стандартом или технологией. Чаще всего при написании правил трудности возникают с протоколом ICMP (Internet Control Message Protocol). Именно он используется в ping — и traceroute-методах. Общеизвестно, что использование ICMP выгодно и для администраторов, и для хакеров. Последние эксплуатируют ICMP особенно часто: в DoS-атаках, при выявлении внутренней организации сети, при сканировании портов, для установления «скрытого» сеанса связи с «троянскими» программами и т. п. Сетевой администратор должен сам решить, какие типы ICMP-пакетов будут проходить через экран. Но в любом случае из публичной сети не должны транслироваться ICMP — запросы на получение информации о защищаемых компьютерах. Я говорю о запросах Network Mask Request (маска сети) и Timestamp Request (параметры времени).
