
- •Введение
- •Основная часть межсетевой экран и его типы.
- •Способы фильтрации
- •Маршрутизация и интернет-маршрутизатор
- •Сравнение аппаратных и программных межсетевых экранов
- •Dhcp и dns Сервисы
- •Резервирование маршрутов (Route Failover)
- •Балансировка нагрузки сети
- •Поддержка uPnP
- •Качество обслуживания (QoS) и управление полосой пропускания трафика (Traffic Shaping)
- •Уведомление о нештатных событиях по электронной почте
- •Протоколы и функции обеспечения безопасности сети Фильтрация трафика
- •Виртуальные локальные сети vlan
- •Разработка конфигурации межсетевого экрана
- •Построение набора правил межсетевого экрана
- •Архитектура 1: системы за пределами межсетевого экрана, доступные из интернета
- •Архитектура 2: один межсетевой экран
- •Архитектура 3: двойные межсетевые экраны
- •Техника безопасности заключение
- •Список используемых источников:
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ 2
ОСНОВНАЯ ЧАСТЬ 3
МЕЖСЕТЕВОЙ ЭКРАН И ЕГО ТИПЫ. 3
СПОСОБЫ ФИЛЬТРАЦИИ 5
МАРШРУТИЗАЦИЯ И ИНТЕРНЕТ-МАРШРУТИЗАТОР 9
Сравнение аппаратных и программных межсетевых экранов 11
DHCP И DNS Сервисы 15
Резервирование маршрутов (Route Failover) 17
Балансировка нагрузки сети 18
Поддержка UPnP 19
Качество обслуживания (QoS) и управление полосой пропускания трафика (Traffic Shaping) 20
Уведомление о нештатных событиях по электронной почте 21
ПРОТОКОЛЫ И ФУНКЦИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СЕТИ 21
Фильтрация трафика 21
Виртуальные локальные сети VLAN 22
Разработка конфигурации межсетевого экрана 23
Построение набора правил межсетевого экрана 24
ТЕХНИКА БЕЗОПАСНОСТИ 27
ЗАКЛЮЧЕНИЕ 28
Введение
Еще совсем недавно пользователи компьютеров не имели представление о том, что при выходе в Интернет или любую другую общедоступную сеть компьютеры могут «заразиться» вирусами, а информация в течение очень короткого времени может быть украдена или искажена. Сегодня же практически каждый пользователь знает об опасности, подстерегающей его компьютер и о том, как обезопасить свои данные от потенциальных атак и вирусов.
Современный IT-рынок предлагает различные варианты обеспечения безопасности пользовательских устройств и компьютерных сетей в целом. Конечные пользовательские устройства, довольно успешно защищаются антивирусными программами и программными межсетевыми экранами. Компьютерные сети в комплексе защитить сложнее. Решением вопроса обеспечения безопасности компьютерных сетей является установка межсетевых экранов в программно-аппаратном исполнении на границе сетей.
Целью данной выпускной квалификационной работы является рассмотрение технологий и методов, позволяющих обеспечивать работу и безопасность сетей, в работе которых применяются межсетевые экраны и Интернет-маршрутизаторы D-Link.
Задачи выпускной квалификационной работы:
• Рассмотрение типов межсетевых экранов
• Рассмотрение Интернет - маршрутизаторов
• Сравнение аппаратных и программных межсетевых экранов
• Рассмотрение протоколов и функций, применяемых в межсетевых экранах и Интернет - маршрутизаторах.
Основная часть межсетевой экран и его типы.
Межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных.
Этим он отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки. Существует мнение, что маршрутизатор также может играть роль межсетевого экрана. Однако между этими устройствами существует одно принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсетевой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку определенного трафика. Кроме того, межсетевые экраны, обладают большим набором настроек. Прохождение трафика на межсетевом экране можно настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации. Это не устраняет потребность в обновлении и настройке систем, но позволяет снизить вероятность неправильного конфигурирования одной или нескольких систем, в результате которого эти системы могут подвергнуться атакам на некорректно настроенную службу.
Существуют
два основных типа межсетевых экранов.
В их основе лежат различные принципы работы, но при правильной настройке оба типа устройств обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещенного трафика.
Различают несколько типов межсетевых экранов в зависимости от следующих характеристик:
обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
отслеживаются ли состояния активных соединений или нет.
В зависимости от охвата контролируемых потоков данных межсетевые экраны подразделяются на:
традиционный сетевой (или межсетевой) экран – программа (или неотъемлемая часть операционной системы) на шлюзе (устройстве передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями (объектами распределённой сети);
персональный межсетевой экран – программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
В зависимости от уровня OSI, на котором происходит контроль доступа, сетевые экраны могут работать на:
сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
сеансовом уровне (также известные, как stateful), когда отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP, часто используемые в злонамеренных операциях – сканирование ресурсов, взломы через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
прикладном уровне (или уровне приложений), когда фильтрация производится на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.