- •Сеть internet Адресация и имена в Internet
- •Проблемы безопасности протоколов прикладного уровня
- •Основные типы межсетевых экранов
- •1. Фильтрующие маршрутизаторы
- •2. Шлюзы сеансового уровня
- •3. Шлюзы прикладного уровня
- •Основные схемы сетевой защиты на базе межсетевых экранов
- •1. Межсетевой экран - Фильтрующий маршрутизатор
- •2. Межсетевой экран с прикладным шлюзом и фильтрующим маршрутизатором.
3. Шлюзы прикладного уровня
Для проверки содержимого пакетов, формируемых определенными сетевыми службами типа Telnet, FЕP, межсетевые экраны используют дополнительные программные средства. Такие программные средства называются полномочными серверами- посредниками, а компьютер, на котором они выполняются – шлюзами прикладного уровня. ШПУ исключает прямое взаимодействие между авторизованным клиентом и внешним хост-компьютером. ШПУ фильтруют все входящие и исходящие пакеты на прикладном уровне. Например, они могут фильтровать FTP-соединения и запрещать прохождение команды PUT, что не позволит пользователям записывать информацию на анонимный FTP-сервер.
В дополнение к фильтрации пакетов многие шлюзы прикладного уровня регистрируют все выполняемые сервером действия и предупреждают сетевого администратора о возможных нарушениях защиты.
Достоинства шлюза прикладного уровня:
невидимость структуры внутренней сети, т.к. ШПУ может быть единственной машиной, имя которой известно внешним системам;
надежная аутентификация и регистрация, т.к. прикладной трафик может быть аутентифицировать, прежде чем он достигнет внутренних компьютеров, и может быть зарегистрирован более эффективно, чем с помощью стандартной регистрации через пароли;
оптимальное соотношение между ценой и эффективностью;
простые правила фильтрации;
возможность организации большого числа проверок, что снижает вероятность взлома с использованием «дыр» в программном обеспечении.
К недостаткам ШПУ относится более низкая производительность и более высокая стоимость по сравнению с фильтрующими маршрутизаторами.
Для достижения более высокого уровня безопасности и гибкости ШПУ и фильтрующие маршрутизаторы могут быть объединены в одном комплексном межсетевом экране.
Современные комплексные межсетевые экраны, фильтрующие информацию на сетевом, сеансовом и прикладном уровнях модели OSI, обеспечивают надежное решение трех задач в области Internet/Intranet:
защита подключений к внешним сетям;
разграничение доступа между сегментами сети корпоративной сети;
защита корпоративных потоков данных, передаваемых по открытым сетям.
Широко применяемые межсетевые экраны
Межсетевой экран |
Фирмы-разработчики |
FireWall |
CheckPoint SoftWare Technologies |
SunScreen |
Sun MicroSystem |
Gauntlet |
Trusted Information System |
Alta Vista FireWall |
DEC |
ANS Interlock |
ANS |
Основные схемы сетевой защиты на базе межсетевых экранов
При подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решить следующие задачи:
защита локальной сети от НСД со стороны внешней сети;
скрытие информации о структуре внутренней сети и ее компонентов от пользователей внешней сети;
разграничение доступа в защищаемую сеть из внешней сети и из внутренней сети во внешнюю.
Часто у организации возникает потребность иметь в составе внутренней сети несколько сегментов с разными уровнями защищенности:
свободно доступные сегменты (например, рекламный WWW-сервер);
сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов);
закрытые сегменты (например, финансовая локальная сеть организации).