Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
vse1.doc
Скачиваний:
7
Добавлен:
01.04.2025
Размер:
1.81 Mб
Скачать

Основные схемы сетевой защиты на базе межсетевых экранов

Задачи: 1 -защита локальной сети от НСД со стороны внешней сети; 2. скрытие информации о структуре внутренней сети и ее компонентов от пользователей внешней сети; 3. разграничение доступа в защищаемую сеть из внешней сети и из внутренней сети во внешнюю.

Эти задачи могут быть решены с различными схемами межсетевых экранов:

1. Межсетевой экран - Фильтрующий маршрутизатор

Э то самый распространенный и наиболее простой способ организации МЭ. ФМ сконфигурирован для блокирования или фильтрации входящих/исходящих пакетов на основе анализа их адресов и портов. Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ с Internet, в то время как большая часть доступа к ним извне, блокируется.

2. Межсетевой экран с прикладным шлюзом и фильтрующим маршрутизатором.

М ежду ШПУ и ФМ образуется внутренняя экранированная подсеть. Эту подсеть можно использовать для размещения доступных извне информационных серверов. В этой схеме ШПУ полностью блокирует трафик IP между Internet и защищаемой сетью. Только полномочные сервера-посредники, размещенные на ШПУ, могут предоставлять услуги и доступ пользователям. Данный вариант межсетевого экрана реализует политику безопасности по принципу «запрещено все, что не разрешено в явном виде», при этом пользователю недоступны все службы, кроме тех, для которых определены соответствующие полномочия. Такая схема обеспечивает высокий уровень безопасности, поскольку маршруты к защищенной подсети известны только межсетевому экрану и скрыты от внешних систем.

  1. Межсетевой экран на основе экранированного шлюза

В этой схеме первичная безопасность обеспечивается ФМ. Пакетная фильтрация в ФМ может быть реализована одним из следующих способов: а) позволять внутренним компьютерам открывать соединения с внешними компьютерами в сети Internet для определенных сервисов (разрешая доступ к ним средствами пакетной реализации); б) запрещать все соединения от внутренних компьютеров (заставляя их использовать полномочные серверы-посредники на прикладном шлюзе).

Эти подходы можно комбинировать для различных сервисов. Данная схема получается довольно гибкой, но менее безопасной по сравнению со схемой 2.

  1. Межсетевой экран – экранированная подсеть

Эта схема обеспечивает хорошую безопасность, благодаря наличию экранированной подсети.

Внешний маршрутизатор запрещает доступ из Internet к системам внутренней сети и блокирует весь трафик к Internet, идущий от систем, которые не должны являться инициаторами соединений (например, информационный сервер).

Внутренний маршрутизатор защищает внутреннюю сеть как от Internet, так и от экранированной подсети (в случае ее компроментации), он осуществляет большую часть пакетной фильтрации. Прикладной шлюз может включать программы усиленной аутентификации. Данная схема подключения хорошо подходит для защиты сетей с большими объемами трафика или с высокими скоростями обмена. «-»данной схемы: - применение двух ФМ требует повышенного внимания для обеспечения необходимого уровня безопасности, т.к. из-за ошибок в их конфигурировании могут возникнуть провалы в безопасности всей сети.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]