Файловый архив студентов. Файловый архив студентов.
1260 вузов, 4601 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Омский Государственный Технический Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ПАЗИ 1.doc
Скачиваний:
250
Добавлен:
13.03.2016
Размер:
1.44 Mб
Скачать
►Содержание►

18.Основные понятия сетевой безопасности.

19.Межсетевые экраны. Классификация.

Межсетево́й экра́н,сетево́й экра́н,файерво́л,брандма́уэр— комплекс аппаратных и программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетейили отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Все межсетевые экраны используют в своей работе один из двух взаимоисключающих принципов:     - "Разрешено все, что не запрещено в явном виде". С одной стороны данный принцип облегчает администрирование межсетевого экрана, т.к. от администратора не требуется никакой предварительной настройки - межсетевой экран начинает работать сразу после включения в сеть электропитания. Любой сетевой пакет, пришедший на МСЭ, пропускается через него, если это не запрещено правилами. С другой стороны, в случае неправильной настройки данное правило делает межсетевой экран дырявым решетом, который не защищает от большинства несанкционированных действий, описанных в предыдущих главах. Поэтому в настоящий момент производители межсетевых экранов практически отказались от использования данного принципа.     - "Запрещено все, не разрешено в явном виде". Этот принцип делает межсетевой экран практически неприступной стеной (если на время забыть на возможность подкопа этой стены, ее обхода и проникновения через незащищенные бойницы). Однако, как это обычно и бывает, повышая защищенность, мы тем самым нагружаем администратора безопасности дополнительными задачами по предварительной настройке базы правил межсетевого экрана. После включения такого МСЭ в сеть, она становится недоступной для любого вида трафика. Администратор должен на каждый тип разрешенного взаимодействия задавать одно и более правил.

Классификация МЭ:

1)Управляемые коммутаторы (канальный уровень):

Коммутаторы –их можно отнести к физическому (канальному) уровню. Управляемый коммутатор позволяет привязывать МАС адреса сетевой карты компа к определенным портам компьютера.

Если сделать фильтрацию информации на основе МАС адресов сетевых карт, у отправителя и получателя организуется VLAN. Комп позволяет реализоватьVLANна уровне самого коммутатора.

Недостатки:

- область фильтрации действия коммутатора распространяется на ближние маршрутизаторы, и поэтому они не годятся для регулирования доступа из интернета.

-МАС адреса сетевых плат легко подделать.

2)«Мэ с фильтрацией пакетов»

Относятся к сетевому уровню, используется в небольших сетях.

Представляет собой маршрутизатор или работающую на сервере программу, осуществляющую фильтрацию входящих и исходящих пакетов, на основе информации в IP-заголовке пакета. В первую очередь анализируется информация сетевого уровня, а именноIPадрес отправителя и получателя, а также протокол сеансового уровня (TCP/IP), информация о котором тоже есть в заголовкеIPпакета. Более продвинутые МСЭ также учитывают информацию о портах отправителя и получателя, которые относятся к транспортному уровню.

Поле «Действие» может принимать значения «пропустить», «запретить» и «отбросить».

В последнем случае пакет просто удаляется, а в предпоследнем отправитель посылает уведомление о том ,что пакет пропущен.

МЭ производит проверку пока не найдет правило которое соответствует анализируемый пакет. Если такое правило не находится, используется правило по умолчанию, которое обычно запрещает вх. пакеты.

Достоинства:

- низкая стоимость.

- гибкость в определении правил.

- небольшая задержка при прохождении пакета.

-минимальное влияние на производительность сети.

В целом они обеспечивают минимальную безопасность за минимальную цену, что может оказаться вполне приемлемо для среды низкого уровня.

Недостатки:

- ЛС видно и марш. Из Интернета.

- При большом числе правил затрудняется их выполнение.

- решение о предоставлении доступа предоставляется на основании IPадресов, они м.б. подсмотрены и подделаны.

- за доверенный комп. может сесть не доверенный пользователь.

- не контролируется работа на уровне приложений, не обеспечивается защита от DOS-атак.

- практическое отсутствие средства по протоколированию доступа.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности