Файловый архив студентов. Файловый архив студентов.
1314 вуза, 5306 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный гуманитарный университет им. М.А. Шолохова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
011 Сетевая безопасность.doc
Скачиваний:
12
Добавлен:
01.03.2025
Размер:
642.56 Кб
Скачать
►Содержание►

Подведем итоги

  • межсетевой экран (МСЭ) выполняет фильтрацию пакетов, проходящих из одной сети в другую, поэтому чаще всего он реализуется на межсетевых шлюзах;

  • фильтрация выполняется на основе последовательного сравнения характеристик пакета со списком правил; первое полностью совпавшее правило выполняется;

  • персональный файрвол – это выполнение фильтрации пакетов перед попаданием их на персональный компьютер средствами операционной системы самого компьютера.

вопросы для самоконтроля

1. Анализируются ли следующие за совпавшим правила в списке доступа ? Почему ?

2. Проанализируйте виды сетевых угроз из таблицы 5.1.1 с позиций устранения их межсетевым экраном.

ИНДИВИДУАЛЬНЫЕ ЗАДАНИЯ

1. Постройте список правил доступа для МСЭ сети организации, подключенной к Интернет, пользующейся WWW, IRC и ICQ-серверами Интернета и имеющей внутри 5 рабочих станций (с IP адресами 194.186.106.27 – 194.186.106.31) и собственные WWW (194.186.106.25) и почтовый (194.186.106.26) сервера.

2. Продумайте и постройте списки правил доступа для персональных файрволов, установленных на серверах и рабочих станциях этой же сети при отсутствии общего МСЭ.

Трансляция адресов и прокси-сервера

В результате изучения данной темы Вы будете знать:

  • как защитить сеть с помощью технологии трансляции адресов (NAT);

  • как защитить сеть с помощью прокси-сервера.

Технология трансляции сетевых адресов (англ. network address translation – NAT) основана на базовых принципах функционирования сетевого протокола IP – основы современного Интернета. Все компьютеры, общающиеся в глобальной сети, имеют уникальные 32-битные адреса (IP адреса), по которым сетевые устройства и определяют точку доставки сообщения в любой точке планеты.

Вот так происходит обмен запросом и ответом между клиентом и сервером при обычном режиме функционирования (рис. 5.3.1):

Рис.5.3.1. Взаимодействие клиента с сервером в штатном режиме

Технология трансляции сетевых адресов предлагает на этом пути на специальном NAT-шлюзе (чаще всего – это межсетевой шлюз, отделяющий сеть организации от глобальной сети) производить замену (подмену) IP адресов, исходя из следующих принципов:

  • всем компьютерам внутри сети организации выдаются несуществующие (так называемые "внутренние") IP адреса – чаще всего из трех специальных диапазонов, зарезервированных в стандарте протокола IP для подобных целей:

    • 10.0.0.0 – 10.255.255.255

    • 172.16.0.0 – 172.31.255.255

    • 192.168.0.0 – 192.168.255.255

  • в момент прохождения запроса от клиента, расположенного внутри сети, к серверу, расположенному в глобальной сети, на NAT-шлюзе внутренний IP адрес отправителя заменяется на IP адрес шлюза и запрос отправляется дальше; при этом в оперативную память NAT-шлюза, в т.н. таблицу трансляций, добавляется запись, описывающая все адреса (исходные и подмененные) отправленного запроса;

  • запрос обрабатывается сервером как обычный, якобы пришедший от NAT-шлюза;

  • в момент прихода ответа на NAT-шлюз в обратном направлении шлюз проверяет в таблице, какое преобразование он производил над пакетом, и восстанавливает в поле IP адреса получателя ответа вместо своего адреса внутренний IP адрес настоящего автора запроса.

возможности NAT на сегодняшний день встроены практически во все аппаратные IP-маршрутизаторы (Cisco, 3Com, Huawei, D-Link и т.п.); кроме того NAT-шлюз можно сконфигурировать на основе сервера под управлением операционных систем UNIX, Linux, Windows, FreeBSD

В тех случаях, когда услугами трансляции адресов пользуются сразу несколько компьютеров из внутренней сети, теоретически может сложиться ситуация, когда разные компьютеры отправляют запрос с одинакового TCP или UDP порта на один и тот же сервер. В этом случае NAT-шлюз не сможет понять, которому из клиентов необходимо перенаправить ответ. Чтобы это не произошло, обычно NAT-шлюз изменяет и TCP/UDP порт отправителя в пакете-запросе. Типовая схема запроса/ответа с учетом этого выглядит обычно вот так (рис. 5.3.2):

Рис.5.3.2. Взаимодействие клиента с сервером с NAT-трансляцией

Таким образом, NAT-шлюз выполняет функции "тонированного стекла" – абоненты внутри защищаемого периметра видят всю сеть так, как она есть, и при этом никто извне не может начать соединение внутрь сети.

Если внутри защищаемой сети оказываются сервера, к которым необходим доступ из глобальной сети, то NAT-шлюз настраивается таким образом, чтобы не изменять IP адреса в запросах, идущих к ним.

Прокси-сервер выполняет аналогичные функции "тонированного стекла", но уже на более высоком – транспортном, сеансовом или прикладном уровнях сетевых протоколов. Обычно прокси-сервер – это выделенный компьютер внутри сети организации, на котором установлено одновременно два IP адреса: внутренний (из зарезервированного диапазона) и "полноценный" (т.н. внешний) IP адрес Интернета.

Сейчас существует огромное количество как коммерческих так и бесплатных прокси-серверов; для платформы Linux наиболее популярен сервер Squid, для Windows – Microsoft ISA Server, а также сторонние продукты WinGate и WinProxy

Клиент выполняет запрос интересующего его Интернет-ресурса, указывая в поле получателя внутренний IP адрес прокси-сервера. Сначала прокси-сервер проверяет разрешено ли данному клиенту выполнение такого запроса. При положительном результате он отправляет этот же запрос в Интернет, но уже от имени себя (то есть со своего внешнего IP адреса) (см. рис. 5.3.3  ). Любому пользователю извне в сети виден только прокси-сервер.

Рис.5.3.3. Взаимодействие клиента с сервером через прокси-сервер

По сравнению с технологией NAT прокси-сервер обладает тем недостатком, что требует модификации клиентского программного обеспечения – ведь клиент должен уметь отправлять запрос в глобальную сеть, но физически адресовать его конкретному внутреннему IP адресу. Преимуществами использования прокси-серверов в сети организации являются:

  • централизация усилий по обеспечению безопасности (основные усилия администратор будет тратить на защиту прокси-сервера, т.к. из внешней сети виден только он);

  • блокирование определенных видов запросов (например, к файлам, которые могут содержать вирусы);

  • возможность фильтрации запросов в зависимости от клиента;

  • возможность ограничения количества копируемой информации каждым конкретным пользователем;

  • более равномерное распределение нагрузки на каналы передачи данных между пользователями.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности