Файловый архив студентов. Файловый архив студентов.
1306 вузов, 5198 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский университет ГПС МЧС России
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Курс_Методы и средства защиты информации.doc
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
5.4 Mб
Скачать
►Содержание►

Oсновные схемы сетевой защиты на базе межсетевых экранов

При подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:

  • защита корпоративной или локальной сети от несанкционированного доступа со стороны глобальной сети;

  • скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети,

  • разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.

Для защиты корпоративной или локальной сети применяются следующие основные схемы организации межсетевых экранов:

  • межсетевой экран - фильтрующий маршрутизатор;

  • межсетевой экран на основе двухпортового шлюза;

  • межсетевой экран на основе экранированного шлюза;

  • межсетевой экран - экранированная подсеть.

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации. Он состоит из фильтрующего маршрутизатора, расположенного между защищаемой сетью и сетью Internet (рис. 10.6). Фильтрующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов.

Рис. 10.6. межсетевой экран на основе фильтрующего маршрутизатора.

Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Internet, в то время как большая часть доступа к ним из Internet блокируется. Часто блокируются такие опасные службы, как Х Windows, NIS и NFS.

Межсетевой экран на базе двухпортового прикладного шлюза включает двудомный хост-компьютер с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения дополнительной защиты между прикладным шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор (рис. 10.7). В результате между прикладным шлюзом и маршрутизатором образуется внутренняя экранированная подсеть. Эту подсеть можно использовать для размещения доступных извне информационных серверов.

Рис. 10.7. Межсетевой экран с прикладным шлюзом и фильтрующим маршрутизатором.

Межсетевой экран на основе экранированного шлюза объединяет фильтрующий маршрутизатор и прикладной шлюз, разрешаемый со стороны внутренней сети. Прикладной шлюз реализуется на хост - компьютере и имеет только один сетевой интерфейс(рис10.8)

Рис 10.8. межсетевой экран с экранизированным шлюзом.

Основной недостаток схемы межсетевого экрана с экранированным шлюзом заключается в том, что если атакующий нарушитель сумеет проникнуть в хост-компьютер, то перед ним окажутся незащищенные системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если маршрутизатор окажется скомпрометированным, внутренняя сеть станет доступна атакующему нарушителю.

Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора (рис 10.9)

Рис. 10.9. Межсетевой экран – экранизированная подсеть.

Внешний маршрутизатор защищает от сети internet как экранированную подсеть, так и внутреннюю сеть. Он должен пересылать трафик согласно следующим правилам:

  • разрешается трафик от объектов internet к прикладному шлюзу;

  • разрешается трафик от прикладного шлюза к internet;

  • разрешается трафик электронной почты от internet к серверу электронной почты;

  • разрешается трафик электронной почты от сервера электронной почты к internet;

  • разрешается трафик FTP, Gopher и т.д. от internet к информационному серверу;

  • запрещается остальной трафик.

Внутренний маршрутизатор защищает внутреннюю сеть как от Internet, так и от экранированной подсети. Внутренний маршрутизатор осуществляет большую часть пакетной фильтрации. Он управляет трафиком к системам внутренней сети и от них в соответствии со следующими правилами:

  • разрешается трафик от прикладного шлюза к системам сети;

  • разрешается прикладной трафик от систем сети к прикладному шлюзу;

  • разрешает трафик электронной почты от сервера электронной почты к системам сети;

  • разрешается трафик электронной почты от систем сети к серверу электронной почты;

  • разрешается трафик FTP, Gopher и т.д. от систем сети к информационному серверу;

  • запрещает остальной трафик.

Применение межсетевых экранов для организации виртуальных корпоративных сетей

Рис. 10.10. Схема виртуальной корпоративной сети.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности