- •Введение
- •Основная часть межсетевой экран и его типы.
- •Способы фильтрации
- •Маршрутизация и интернет-маршрутизатор
- •Сравнение аппаратных и программных межсетевых экранов
- •Dhcp и dns Сервисы
- •Резервирование маршрутов (Route Failover)
- •Балансировка нагрузки сети
- •Поддержка uPnP
- •Качество обслуживания (QoS) и управление полосой пропускания трафика (Traffic Shaping)
- •Уведомление о нештатных событиях по электронной почте
- •Протоколы и функции обеспечения безопасности сети Фильтрация трафика
- •Виртуальные локальные сети vlan
- •Разработка конфигурации межсетевого экрана
- •Построение набора правил межсетевого экрана
- •Архитектура 1: системы за пределами межсетевого экрана, доступные из интернета
- •Архитектура 2: один межсетевой экран
- •Архитектура 3: двойные межсетевые экраны
- •Техника безопасности заключение
- •Список используемых источников:
Виртуальные локальные сети vlan
VLAN (Virtual Local Area Network–виртуальная локальная сеть). Виртуальной локальной сетью называется логическая группа устройств, имеющих возможность взаимодействовать между собой напрямую на канальном уровне, хотя физически при этом они могут быть подключены к разным сетевым коммутаторам. И наоборот, трафик устройств, находящихся в разных VLАN’ах, полностью изолирован от других узлов сети на канальном уровне, даже если они подключены к одному коммутатору. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса – уникального, группового или широковещательного.
Виртуальные локальные сети обладают следующими преимуществами:
Гибкость внедрения. VLАN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети.
VLАN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя.
VLАN позволяют повысить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей.
Разработка конфигурации межсетевого экрана
Теперь давайте рассмотрим некоторые стандартные сетевые архитектуры и выясним, каким образом следует настраивать сетевой экран в той или иной конкретной ситуации. В этом упражнении подразумевается, что в организации присутствуют указанные ниже системы, и что эти системы принимают входящие соединения из интернета:
веб-сервер, работающий только через порт 80;
почтовый сервер, работающий только через порт 25. Он принимает всю входящую и отправляет всю исходящую почту. Внутренний почтовый сервер периодически связывается с данной системой для получения входящей почты и отправки исходящих сообщений.Существует внутренняя система DNS, которая запрашивает системы интернета для преобразования имен в адреса, однако в организации отсутствует своя собственная главная внешняя DNS.Интернет-политика организации позволяет внутренним пользователям использовать следующие службы:
HTTP;
HTTPS;
FTP;
Telnet;
SSH.
На базе этой политики можно построить правила политики для различных архитектур.
Построение набора правил межсетевого экрана
Качественно созданный набор правил не менее важен, чем аппаратная платформа. Большая часть межсетевых экранов работает по принципу "первого соответствия" при принятии решения о передаче или отклонении пакета. При построении набора правил согласно алгоритму "первого соответствия" наиболее специфичные правила располагаются в верхней части набора правил, а наименее специфичные (т.е. более общие) - в нижней части набора. Такое размещение правил гарантирует, что общие правила не перекрывают собой более специфичные.
Архитектура 1: системы за пределами межсетевого экрана, доступные из интернета
Таблица 1. Правила межсетевого экрана для расположенных за пределами межсетевого экрана систем, доступных из интернета.
Исходный IP |
Конечный IP |
Служба |
Действие |
||
Внутренний почтовый сервер |
Почтовый сервер |
SMTP |
Принятие |
||
Внутренняя сеть |
Почтовый сервер |
Любой HTTP, HTTPS, FTP, telnet, SSH |
|
||
Внутренняя DNS |
Любой |
DNS |
Принятие |
||
Любой
|
Любой |
Любая
|
Сброс
|