Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Лаб 2 / Ответ 2

.docx
Скачиваний:
11
Добавлен:
15.06.2014
Размер:
19.6 Кб
Скачать

Межсетевой экран — это система межсетевой защиты, позволяющая разделить каждую сеть на две и более части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Интернет, хотя ее можно провести и внутри корпоративной сети предприятия. Использование межсетевых экранов позволяет организовать внутреннюю политику безопасности сети предприятия, разделив всю сеть на сегменты.

Возможности межсетевого экрана

  • фильтрация доступа к заведомо незащищенным службам;

  • препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;

  • контроль доступа к узлам сети;

  • может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Internet отдельными узлами сети;

  • регламентирование порядка доступа к сети;

  • уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

Межсетевые экраны работают на 4 уровнях модели OSI: 2, 3, 4, 7.

Далее firewall начинает просматривать правила сверху вниз. Если найдено правило, которое соответствует анализируемой в пакете информации, то выполняется указанное в правиле действие:

  • Accept (в некоторых пакетных фильтрах может быть Allow или Pass ): пропускает пакет через firewall, при этом может происходить создание лога, либо не происходить.

  • Deny: firewall отбрасывает пакет без его передачи. После того как пакет отброшен, исходной системе возвращается сообщение об ошибке ("host unreachable"). Событие "Deny" может как создавать, так и не создавать запись лога, в зависимости от конфигурации набора правил firewall’а.

  • Discard (в некоторых пакетных фильтрах может быть Unreach, Block или Reject ): firewall не только отбрасывает пакет, но и не возвращает сообщение об ошибке исходной системе. Данное действие используется для реализации методологии "черной дыры", когда firewall не обнаруживает свое присутствие для внешней стороны. Как и для других действий, "Discard" может создавать и не создавать записи в логах.

Соседние файлы в папке Лаб 2