Tabla de contenido
Publicidad
El filtrado estático, o SPF, y los ASP de una barrera contra fuegos son en última ejemplar los
controles que utiliza la política de seguridad para implementar el nivel de seguridad deseado en un
sitio. No obstante, aunque la política de seguridad determina los servicios permitidos y su modo de
utilización a través de una barrera contra fuegos, no define en detalle la configuración específica de
la barrera contra fuegos. El conjunto de reglas derivado de la política de seguridad es el que define
el conjunto de reglas de control de acceso (reglas de acción de filtrado y del apoderado) que
determina, acto seguido, cuáles son los paquetes que ha de entregar la barrera contra fuegos y cuáles
los que ha de rechazar. Uno de los problemas más importantes para derivar el conjunto de reglas de
las sentencias de la política de seguridad es que suelen expresarse en lenguaje humano de alto nivel.
Como la barrera contra fuegos sólo necesita el conjunto de reglas para configurar sus componentes
SPF y ASP, la definición de la política de seguridad y la derivación del conjunto de reglas
correspondientes se consideran ajenos al propósito de la presente Recomendación. Se configura en
la barrera contra fuegos un conjunto de reglas adecuado mediante la descarga de un fichero de
configuración de la barrera contra fuegos autenticado. El formato real del fichero que contiene el
conjunto de reglas aplicable a un producto barrera contra fuegos determinado y el modo en que
dicho fichero se utiliza en la barrera contra fuegos para configurar los componentes SPF y ASP es
específico de la implementación. La presente Recomendación sólo contempla los mecanismos de
autenticación utilizados en la descarga de un conjunto de reglas de barrera contra fuegos para el
elemento PS.
La figura 11-2 ilustra la relación entre los componentes de la barrera contra fuegos. En especial, el
dibujo indica que se utilizará un conjunto de reglas (RS, rule set) para la configuración interna de
todos los componentes de la barrera contra fuegos. Estos componentes están integrados por el filtro
de paquetes entrantes (IPF, inbound packet filter), el filtro de paquetes salientes (OPF, outbound
packet filter), y el apoderado específico de las aplicaciones (ASP) o las funciones de filtrado
dinámico de paquetes (SPF). La figura 11-2 proporciona asimismo una visión más detallada del PS
y su relación con las funciones de barrera contra fuegos y otros componentes del dispositivo HA.
Concretamente, la figura indica que la función apoderado específico de la aplicación/filtrado
dinámico de paquetes (ASP/SPF, application specific proxy/stateful packet filtering) está
estrechamente asociada a la función de traducción de direcciones de la red del CAP (NAT). Como
la función NAT perturba otras aplicaciones, se necesita un proceso específico de la aplicación como
parte de la implementación NAT y, por consiguiente, la implementación del PS PUEDE combinar
las funciones ASP/SPF y NAT.
Rec. UIT-T J.191 (03/2004)
119
Publicidad
Tabla de contenido
