- •1 Порядок выполнения лабораторной работы
- •Листинг 1 – Конфигурация брандмауэра
- •2.2 Что такое адаптивный алгоритм безопасности (asa)?
- •2.3 Что такое уровень безопасности интерфейса?
- •2.4 Какие интерфейсы брандмауэра называют внутренними, внешними и пограничными?
- •2.5 Как настраиваются интерфейсы брандмауэра?
- •2.6 Как настроить передачу данных из внутренней сети во внешнюю?
- •2.7 В каких случаях необходимо использовать статическую трансляцию адресов; динамическую трансляцию адресов; трансляцию адресов порта?
2.2 Что такое адаптивный алгоритм безопасности (asa)?
Адаптивный алгоритм безопасности является частью операционной системы брандмауэра PIX, который обеспечивает проверку пакетов с учетом их состояния.
В брандмауэре CISCO PIX с помощью этого механизма осуществляется подстройка параметров проверки соединений. Подстраиваемая фильтрация пакетов является безопасным методом анализа, которая помещает всю важную информацию о пакетах данных в таблицу. Для того чтобы пакет был идентифицирован как «разрешенный», информация в данном пакете должна соответствовать информации в таблице.
С помощью алгоритма ASA создается сеанс связи между получателем и отправителем. Каждый раз, когда с помощью брандмауэра PIX устанавливается соединение с внешним или внутренним узлом, информация об этом соединении сохраняется в таблице контроля состояния потока данных. Для каждого сеанса связи информация о соединении должна соответствовать информации, хранимой в таблице. Таким образом, проводится анализ самого соединения, а не пакетов.
2.3 Что такое уровень безопасности интерфейса?
Уровень безопасности - это значение от 0 до 100, назначаемое администратором на интерфейсе фаервола. Уровень безопасности определяет более или менее защищен данный интерфейс относительно другого интерфейса.
Определенный интерфейс считается более защищенным (и доверие к нему больше) по сравнению с другим интерфейсом, если его уровень безопасности выше. Соответственно, интерфейс считается незащищенным (с меньшей степенью доверия) по сравнению с другим интерфейсом, если его уровень безопасности ниже.
Смысл данной концепции заключается в том, что интерфейс с более высоким уровнем безопасности (защищенный интерфейс) может обмениваться данными с интерфейсом, чей уровень безопасности ниже (незащищенный), а вот течение трафика с незащищенного интерфейса на защищенный невозможны без задания некоторых параметров.
Уровень безопасности 100 – самый высокий уровень безопасности устройства защиты. По умолчанию назначен внутреннему (inside) интерфейсу устройства. Так как 100 определяет самую защищенную сеть, то внутренняя сеть организации должна иметь именно этот уровень безопасности. Никто не сможет получить доступ к этой сети без созданных нами разрешений, при этом устройства нашей сети смогут иметь доступ к другим (внешние) интерфейсам.
Уровень безопасности 0 – это наименьший уровень безопасности. По умолчанию назначен внешнему (outside) интерфейсу устройства. Так как 0 является самым низким значением, за ним должна находится самая незащищенная сеть (например, интернет), чтобы никто из этой сети не получил доступа к другим интерфейсам без нашего разрешения.
Уровни безопасности 1-99 можно назначать пограничным интерфейсам, которые обслуживаются брандмауэром.
2.4 Какие интерфейсы брандмауэра называют внутренними, внешними и пограничными?
Обычно в брандмауэрах предусмотрены, по меньшей мере, три интерфейса, хотя в более ранних реализациях использовались два. По этой причине в настоящее время в брандмауэрах в основном используют всего два интерфейса из трех. В том случае, когда используется брандмауэр с тремя установленными интерфейсами, имеется возможность создания трех разделенных сетевых зон (внутренняя, внутренняя и демилитаризованная).
Внешние интерфейсы – это те, что подключены к внешней зоне. Внешняя зона объединенной сети является зоной с пониженным доверием. Основной функцией брандмауэра является защита устройств внутренней и демилитаризованной зон от устройств, находящихся во внешней зоне.
Внутренние сетевые интерфейсы – те, что подключены к доверенным узлам. Эти узлы образуют доверительную зону.
Третий интерфейс в брандмауэре предусматривается для подключения демилитаризованной зоны. DMZ – это изолированная сеть, которая обычно доступна пользователям из внешней сети.