100. Опишите шлюз уровня коммутации.

Данный шлюз может быть реализован как в виде отдельной компьютерной системы, так и в виде специальной функции шлюза на уровне приложений, предлагаемой для некоторых приложений.

Эти шлюзы не разрешают внешним узлам устанавливать сквозные соединения с узлами внутренней сети. Вместо этого устанавливают 2 TCP соединения: одно между самим шлюзом и внутренним узлом, а второе между шлюзом и внешним узлом. После того, как оба соединения установлены, шлюз обычно ретранслирует сегменты TCP от одного соединения к другому, не проверяя их содержимого. Защита реализуется путем разрешения или запрета тех или иных соединений.

101. Опишите бастионный узел.

БУ является системой выбранной администратором брандмауэров в качестве критически важной точки в схеме защиты сети. Как правило БУ служит платформой для шлюза уровня приложений или шлюза уровня коммутации. БУ имеет след. характеристики:

1. на аппаратных средствах БУ выполняется защищенная версия ОС, в результате чего БУ оказывается высоконадежной системой.

2. на БУ устанавливается только те службы, которые сочтет необходимым системный админ.

3. БУ может требовать дополнительные аутентификации прежде чем предоставить пользователю доступ к Proxi службам.

4. каждая Proxi служба настроена для поддержки только определенного набора команд из общего стандартного множества команд.

5. Proxi модуль обычно не предоставляет никакого доступа к диску, кроме чтения своего файла исходной конфигурации. Это делает задачу внедрения троянского коня и др. опасных файлов на БУ очень трудной.

6. каждый Proxi модуль работает как непривилегированный пользователь в личном защищенном каталоге БУ.

102. Приведите схему брандмауэра с экранированным одноточечным бастионным узлом.

ФМ-фильтрующий маршрутизатор

ИС- информационный сервер

БУ-бастионный узел

103. Приведите схему брандмауэра с экранированным двухточечным бастионным узлом.

ФМ-фильтрующий маршрутизатор

ИС- информационный сервер

БУ-бастионный узел

104. Приведите схему брандмауэра с экранированной подсетью.

PN- Private network

ФМ-фильтрующий маршрутизатор

ИС- информационный сервер

БУ-бастионный узел

105. Опишите модель управления доступом к данным в высоконадежных системах.

Общая модель управления доступом, реализуемая на файл системы, представляется в виде матрицы доступа. Основные эл-ты данной модели ниже:

Субъект – сущность, кот. может получать доступ к объектам (субъект-> процесс) любой пользователь или приложение получают доступ к объекту с помощью процесса или приложения.

Объект – сущность, доступ к кот. контролируется ( файлы, программы и сегменты памяти)

Право доступа – способ доступа субъекта к объекту. Примерами являются чтение, запись или выполнение.

По одной оси матрицы представлены идентификационные субъекты, кот могут пытаться получить доступ к данным

На др.оси – объекты и субъекты кот могут получить доступ.

В результате декомпозиции по строкам создаются мандаты возможностей. Они опр-ют для данного пол-ля объекты или операции, на исп-ие которых он имеет разрешение.

Многоуровневая система безопасности: когда для данных определено несколько категорий или уровней безопасности.

Общим требованием многоуровневой системы безопасности явл-ся то, что субъект на более высоком уровне не может сообщить инф-ию субъекту на более низком уровне. Если только соответствующий поток не вызван действиями пользователя, имеющего право на доступ к данной инф-ии.