- •5.1. Вариант защиты от удаленного нсд
- •5.2. Средства защиты, управляемые модемом
- •5.3. Надежность средств защиты на отчуждаемых компонентах
- •5.4. Межсетевые экраны, как средство от нсд из общедоступных сетей
- •5.4.2. Общие понятия
- •5.4.3. Основные компоненты мэ
- •5.4.3.1. Фильтрующие маршрутизаторы
- •Управляющий
- •5.4.3.2. Шлюзы сетевого уровня
- •5.4.3.3. Шлюзы прикладного уровня
- •5.4.4. Типовые схемы защиты с использованием мэ
- •5.4.4.1. Мэ на основе двухпортового шлюза
- •5.4.4.2. Мэ – экранированная подсеть
5.4.2. Общие понятия
Синонимы: МЭ, брандмауэр, Firewall.
Определение: МЭ – средство межсетевой защиты, которое позволяет разделить общую сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов через границу из одной части общей сети в другую.
Как правило, граница проводится между корпоративной (локальной) сетью организации и глобальной сетью. МЭ пропускает через себя весь трафик, принимая для каждого пакета решение – пропускать его или отбросить.
Помимо этого, МЭ используются не только для того, чтобы обезопасить себя при выходе в Интернет, но и для защиты Интранет - сегментов организации (т.е. сегментов, которые используют Интернет – технологии для взаимодействия в корпоративных сетях). МЭ в Интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться МЭ и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть МЭ для финансового отдела или бухгалтерии в организации.
МЭ позволяют обеспечить несколько типов защиты:
могут блокировать нежелательный трафик или направлять входной трафик только к надежным внутренним системам;
могут скрывать уязвимые подсистемы, которые нельзя обезопасить от атак из Интернета другим способом;
могут протоколировать трафик в и из внутренней сети;
могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета;
могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.
Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. В соответствии с принятыми компромиссами принимается политика безопасности. Политика безопасности должна включать две составляющие:
Политику доступа к сетевым сервисам;
Политику реализации межсетевых экранов.
Первый тип политики обычно основывается на одном из следующих принципов:
Запретить доступ из Интернет во внутреннюю сеть, но разрешить доступ из внутренней сети в Интернет;
Разрешить ограниченный доступ во внутреннюю сеть из Интернет, обеспечивая работу только отдельных систем, например, почты.
Политика реализации МЭ должна базироваться на одном из двух принципов:
Запрещать все, что не разрешено в явной форме;
Разрешать все, что не запрещено в явной форме.
Первый принцип обеспечивает лучшую защищенность, однако доставляет значительные неудобства пользователям. Второй принцип, наоборот, предоставляет больше удобства пользователям, но обеспечивает меньшую защищенность.
5.4.3. Основные компоненты мэ
МЭ состоят, как правило из нескольких компонент, основными из которых являются следующие:
Фильтрующие маршрутизаторы;
Шлюзы сетевого уровня;
Шлюзы прикладного уровня.
5.4.3.1. Фильтрующие маршрутизаторы
В этом случае фильтрация пакетов осуществляется на основе адресной информации, содержащейся в заголовках пакетов. В простейшем случае фильтрующий маршрутизатор фильтрует IP – пакеты по следующим параметрам:
По IP – адресу отправителя или по IP – адресу получателя;
По порту отправителя или получателя (порт означает привязку пересылки информации к конкретной прикладной задаче, т.е. если отправитель и получатель информации работают совместно по двум прикладным задачам, задачи могут быть привязаны к различным портам).
Пример работы фильтрующего маршрутизатора
Необходимо обеспечить фильтрацию протоколов для следующего фрагмента сети: