Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
М П 3 / Лекция_9.doc
Скачиваний:
53
Добавлен:
16.04.2013
Размер:
107.01 Кб
Скачать

Лекция 9

Межсетевые экраны, как средство от НСД из общедоступных сетей

9.1. История вопроса

9.2. Общие понятия

9.3. Основные компоненты МЭ

9.3.1. Фильтрующие маршрутизаторы

9.3.2. Шлюзы сетевого уровня

9.3.3. Шлюзы прикладного уровня

9.4. Типовые схемы защиты с использованием МЭ

9.4.1. МЭ на основе двухпортового шлюза

9.4.2. МЭ – экранированная подсеть

9.1. История вопроса

Глобальная сеть Интернет создавалась как открытая система, предназначенная для открытого обмена информацией. Прародительница Интернета – сеть Arpanet строилась как сеть, связывающая исследовательские центры, военные, научные и правительственные учреждения. В качестве платформы для решения задач, стоящих перед указанными организациями, использовалась операционная система UNIX. 25 – 30 лет назад, когда зарождались общедоступные сети, проблемы информационной безопасности не стояли так остро как сейчас и ОС UNIX удовлетворяла всех, поэтому возникшие в 80 – е годы проблемы безопасности исторически связаны в первую очередь с принципами, заложенными в ОС UNIX.

Для организации взаимодействия в среде Интернет используется набор протоколов, который называется TCP/IP (Transmission Control Protocol/Internet Protocol). Один из основных принципов, заложенных в набор (стек) протоколов – обеспечение совместимости между компьютерами различных типов, поэтому стек протоколов TCP/IP стал чрезвычайно популярным и приобрел фактически статус стандарта для межсетевого взаимодействия.

На основе стека протоколов TCP/IP строится ряд служб Интернета. Наиболее распространенные службы и соответствующие протоколы Интернет:

  • Почтовая Служба основывается на протоколе передачи электронной почты (SMTP – Simple Mail Transfer Protocol).

  • Для передачи текстовых и двоичных файлов между сервером и клиентским рабочим местом может использоваться Протокол Передачи Файлов (FTP - File Transfer Protocol).

  • Для обеспечения удаленного доступа в режиме управляющего терминала используется служба, получившая название TELNET.

Основываясь на тех соображениях, что:

  • есть стандарт для межсетевого взаимодействия;

  • есть множество разнообразных служб, обеспечивающих необходимые сервисы;

  • и сеть Интернет действительно превратилась в мировую паутину;

коммерческие организации пришли к выводу, что значительно дешевле передавать информацию по этой паутине, нежели строить свои корпоративные сети. Правда, из-за исторической неприспособленности стека протоколов TCP/IP и ОС UNIX к защите данных встала проблема защищенности передачи.

МЭ являются одним из тех средств, которые позволяют в некоторой степени обезопасить передачу информации через глобальные сети.

9.2. Общие понятия

Синонимы: МЭ, брандмауэр, Firewall.

Литература: Ю.В.Романец, П.А.Тимофеев, В.Ф.Шаньгин “Защита информации в компьютерных системах и сетях. М. Радио и связь, 1999 г.

Определение: МЭ – средство межсетевой защиты, которое позволяет разделить общую сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов через границу из одной части общей сети в другую.

Как правило, граница проводится между корпоративной (локальной) сетью организации и глобальной сетью. МЭ пропускает через себя весь трафик, принимая для каждого пакета решение – пропускать его или отбросить.

Помимо этого, МЭ используются не только для того, чтобы обезопасить себя при выходе в Интернет, но и для защиты Интранет - сегментов организации (т.е. сегментов, которые используют Интернет – технологии для взаимодействия в корпоративных сетях). МЭ в Интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться МЭ и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть МЭ для финансового отдела или бухгалтерии в организации.

МЭ позволяют обеспечить несколько типов защиты:

  • могут блокировать нежелательный трафик или направлять входной трафик только к надежным внутренним системам;

  • могут скрывать уязвимые подсистемы, которые нельзя обезопасить от атак из Интернета другим способом;

  • могут протоколировать трафик в и из внутренней сети;

  • могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета

  • могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.

Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. В соответствии с принятыми компромиссами принимается политика безопасности. Политика безопасности должна включать две составляющие:

  • Политику доступа к сетевым сервисам;

  • Политику реализации межсетевых экранов.

Первый тип политики обычно основывается на одном из следующих принципов:

  • Запретить доступ из Интернет во внутреннюю сеть, но разрешить доступ из внутренней сети в Интернет;

  • Разрешить ограниченный доступ во внутреннюю сеть из Интернет, обеспечивая работу только отдельных систем, например, почты.

Политика реализации МЭ должна базироваться на одном из двух принципов:

  • Запрещать все, что не разрешено в явной форме;

  • Разрешать все, что не запрещено в явной форме.

Первый принцип обеспечивает лучшую защищенность, однако доставляет значительные неудобства пользователям. Второй принцип, наоборот, предоставляет больше удобства пользователям, но обеспечивает меньшую защищенность.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.

Соседние файлы в папке М П 3