- •Содержание
- •1. Общие принципы построения сетей 7
- •2. Аналоговые каналы передачи данных 14
- •3. Цифровые каналы передачи данных 19
- •Введение
- •1. Общие принципы построения сетей
- •1.1. Функциональные возможности сетей
- •1.2. Структурная организация компьютерной сети
- •1.2.1. Сети разного масштаба
- •1.2.2. Среды передачи данных
- •1.2.3. Режимы передачи данных
- •1.2.4. Способы коммутации
- •1.2.5. Виртуальные каналы
- •2. Аналоговые каналы передачи данных
- •2.1. Аналоговая модуляция
- •2.2. Модемы
- •2.3. Протоколы, поддерживаемые модемами
- •2.4. Режимы передачи
- •2.5. Асинхронная, синхронная, изохронная и плезиохронная передача
- •3. Цифровые каналы передачи данных
- •3.1. Частотное и временное разделение каналов
- •3.2. Проводные линии связи и их характеристики
- •3.2.1. Витая пара
- •3.2.2. Коаксиальный кабель
- •3.2.3. Волоконно-оптический кабель
- •3.3. Беспроводные среды передачи данных
- •3.3.1. Инфракрасные волны
- •3.3.2. Радиоволны, сигналы с узкополосным спектром
- •3.3.3. Радиоволны, широкополосные сигналы
- •3.3.4. Спутниковая связь
- •3.3.5. Сотовая связь
- •4. Передача данных и кодирование информации
- •4.1. Количество информация и энтропия
- •4.2. Свойства энтропии
- •4.3. Единицы количества информации
- •4.4. Кодирование информации
- •4.5. Логическое кодирование
- •4.6. Самосинхронизирующиеся коды
- •5. Контроль передачи информации и сжатие данных
- •5.1. Самовосстанавливающиеся коды
- •5.2. Систематические коды
- •5.3. Алгоритмы сжатия данных
- •5.3.1. Алгоритм rle
- •5.3.2. Алгоритм Лемпела-Зива
- •5.3.3. Кодирование Шеннона-Фано
- •5.3.4. Алгоритм Хаффмана
- •6. Сетевое программное обеспечение
- •6.1. Архитектура спо
- •6.2. Основные принципы взаимосвязи открытых систем
- •7. Модель взаимодействия открытых систем
- •7.1. Структура модели osi
- •7.2. Протоколы и интерфейсы
- •7.3. Уровни модели osi
- •7.3.1. Физический уровень
- •7.3.2. Канальный уровень
- •7.3.3. Сетевой уровень
- •7.3.4. Транспортный уровень
- •7.3.5. Сеансовый уровень
- •7.3.6. Уровень представления
- •7.3.7. Прикладной уровень
- •7.4. Назначение уровней модели osi
- •8. Основные характеристики локальных сетей
- •8.1. Сетевые топологии
- •8.1.1. Шина
- •8.1.2. Дерево
- •8.1.3. Звезда с пассивным центром
- •8.1.4. Звезда с интеллектуальным центром
- •8.1.5. Кольцо
- •8.1.6. Цепочка
- •8.1.7. Полносвязная топология
- •8.1.8. Произвольная (ячеистая) топология
- •8.2. Методы доступа и их классификация
- •8.2.1. Метод доступа с контролем несущей и определением коллизий
- •8.2.2. Маркерные методы доступа
- •9. Основные типы сетевых устройств
- •9.1. Сетевые адаптеры
- •9.2. Концентраторы
- •9.3. Мосты
- •9.4. Коммутаторы
- •9.5. Брандмауэры
- •10. Сети token ring и fddi
- •10.1. Технология Token Ring
- •10.1.1. Маркерный метод доступа
- •10.1.2. Система приоритетного доступа
- •10.1.3. Оборудование Token Ring
- •10.2. Технология fddi
- •11. Технология ethernet
- •11.1. Появление и сущность технологии Ethernet
- •11.2. Форматы кадров Ethernet
- •11.3. Высокоскоростные технологии локальных сетей
- •11.3.1. Технология Fast Ethernet 100Мбит/с
- •11.3.2. Технология Gigabit Ethernet 1000 Мбит/с
- •11.3.3. Технология 100vg-AnyLan
- •12. Требования к сетям
- •12.1. Производительность
- •12.2. Надежность и безопасность
- •12.3. Расширяемость и масштабируемость
- •12.4. Прозрачность
- •12.5. Поддержка разных видов трафика
- •12.6. Управляемость
- •12.7. Совместимость
- •12.8. Качество обслуживания
- •Список литературы
9.5. Брандмауэры
Брандмауэр можно определить как набор аппаратно-программных средств, предназначенных для предотвращения доступа в сеть извне и за контролем над данными, поступающими в сеть и исходящими из нее. Брандмауэры получили всеобще признание с начала 1990-х годов, что связанно, в основном, с быстрым развитием сети Internet. Начиная с этого времени, разработано и используется на практике большое количество продуктов, называемых брандмауэрами. Брандмауэры могут защищать корпоративную сеть от НСД из Internet или из другой корпоративной сети.
Брандмауэр устанавливается на границе защищаемой сети, и фильтрует все входящие и исходящие данные, пропуская только разрешенные пакеты и предотвращая попытки проникновения в сеть. Правильно настроенный брандмауэр пропустит (или не пропустит) конкретный пакет и позволит (или не позволит) организовать конкретный сеанс связи в соответствии с установленными правилами. Для эффективной работы брандмауэров важно соблюдение трех условий:
весь трафик должен проходить через одну точку;
брандмауэр должен контролировать и регистрировать весь проходящий трафик;
сам брандмауэр должен быть неприступен для внешних атак;
Если рассматривать работу брандмауэра по отношению к модели OSI, то их условно можно разделить на следующие категории:
брандмауэры с фильтрацией пакетов (packet-filtering firewall);
шлюзы сеансового уровня (circuit-level gateway);
шлюзы прикладного уровня (application-level gateway);
брандмауэры экспертного уровня (stateful inspection firewall).
Наибольшее распространение получили брандмауэры с фильтрацией пакетов, реализованные на маршрутизаторах, и сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты.
Фильтры пакетов просматривают поля поступающих IP-пакетов, а затем пропускают или удаляют их в зависимости, например, от IP-адресов отправителя и получателя, номеров портов отправителя и получателя протоколов TCP и UDP и других параметров. Фильтры сравнивают полученную информацию со списком правил фильтрации для принятия решения о разрешении или запрещении передачи пакетов. Список правил фильтрации содержит разрешенные IP-адреса, типы протоколов, номера портов отправителей и номера портов получателей. Фильтр пакетов проверяет только заголовок пакета, но не данные внутри него.
Технология фильтрации пакетов является самым «дешевым» способом реализации брандмауэра. Такой брандмауэр может проверять пакеты различных протоколов, причем с большой скоростью, так как он просто просматривает информацию о пакете (заголовок пакета), что бы принять решение о дальнейшей судьбе. Фильтр анализирует пакеты на сетевом уровне и не зависит от используемого приложения. Именно эта «свобода» обеспечивает хорошую производительность.
К недостаткам такого брандмауэра можно отнести возможность идентификации пакетов при имитации IP-адресов и невозможность слежения за конкретным сетевым адресом.
Имитация означает, что если воспользоваться IP-адресом законного пользователя, то можно беспрепятственно проникнуть в защищаемую сеть и получить доступ к ее ресурсам. Фильтр пакетов пропустит этот пакет в сеть вне зависимости от того, откуда инициирован сеанс и кто скрывается за адресом. Существует усовершенствованная версия фильтрации пакетов, которая называется динамической фильтрацией пакетов. При этом анализируется адрес, с которого производится попытка доступа (возможно, затем она будет признана несанкционированной), и производится ping по этому адресу для его проверки. Как легко понять, если внутренний IP-адрес используется извне, то ping не достигнет отправителя пакета. В этом случае попытка доступа будет отвергнута, и сеанс будет установлен. В настоящее время фильтры пакетов заняли достаточно заметное место в системе безопасности сети. Они мало подходят для защиты внешней сети. Но из-за того, что такие фильтры обеспечивают высокую производительность и имеют низкую цену, они хорошо подходят для обеспечения безопасности внутри сети. Организация с их помощью может разбить сеть на сегменты и установить брандмауэр в каждом из сегментов, отделив, таким образом, например, бухгалтерию от отдела продаж.