Единого синтаксиса управляющих экраном команд не существует. Кроме того, поскольку одни программы позволяют устанавливать правила с помощью графического интерфейса, другие программируются из командной строки или текстового файла. Но в любом случае основные моменты методики разработки набора правил не зависят от производителя или модели межсетевого экрана.
Хорошим началом будет создание правила, запрещающего любые соединения, кроме тех, что описаны отдельно. После этого можно будет установить правила для нужных в работе соединений между системами в разных зонах безопасности. Таким образом вы избавитесь от атак, направленных на компрометацию сервера посредством взлома или остановки дополнительных сервисов.
Как выяснить, какие именно правила необходимы? С помощью анализа сетевой работы каждого компонента сайта и устанавливаемых с этим компонентом соединений. Без сомнения, это трудоемкая работа, но простого способа создать защищенную сеть вообще не существует. Для того чтобы выяснить, какие порты и протоколы использует каждый из серверов, вам придется изучить диаграммы, описывающие связи между компонентами сайта. Если таких документов под рукой нет, то будет лучше изучить функциональность каждого компонента и сопоставить эти функции с задействованными протоколами и портами. Далее список сетевых адресов компонентов, используемых связей, протоколов и портов записывается в виде набора правил на языке псевдокода. Ниже представлен пример этого кода для простейшего коммерческого сайта. Отметим, что ваш межсетевой экран может иметь дополнительные инструкции, не задействованные в примере: redirection (перенаправление), reject (отвержение), forward (ретрансляция) или encapsulate (герметизация, создание пакетных контейнеров). Не забывайте, что порядок, в котором записаны правила, определяет порядок разбора пакетов и сопоставления их с заданными инструкциями. Большинство экранов обрабатывает список сверху вниз и применяет первое, отвечающее параметрам пакета (адресам и номерам портов), правило.
