- •1. Понятие и назначение компьютерных сетей. Виды ресурсов сетей.
- •2. Классификация компьютерных сетей.
- •Локальные вычислительные сети отличаются от других сетей тем, что они обычно ограничены умеренной географической областью (одна комната, одно здание, один район).
- •4. Методы доступа в компьютерных сетях. Характеристика метода Ethernet.
- •3. Топологии компьютерных сетей.
- •5. Архитектура компьютерных сетей. Эталонная модель osi. Вертикальная и горизонтальная модели взаимодействия. Единицы данных.
- •6. Физический уровень в архитектуре компьютерных сетей.
- •7. Канальный уровень в архитектуре компьютерных сетей.
- •8. Сетевой уровень в архитектуре компьютерных сетей.
- •9. Транспортный уровень в архитектуре компьютерных сетей.
- •10. Сеансовый уровень в архитектуре компьютерных сетей.
- •11. Уровень представления данных в архитектуре компьютерных сетей.
- •12. Прикладной уровень в архитектуре компьютерных сетей.
- •15. Стек протоколов tcp/ip. Общая характеристика. Преимущества и недостатки.
- •16. Стек протоколов tcp/ip. Соответствие пакета протоколов tcp/ip требованиям много уровневой эталонной модели osi.
- •17. Протоколы tcp и udp: байтовая передача данных и передача датаграмм (массивов данных).
- •18. Стек протоколов ipx/spx. Преимущества и недостатки.
- •Раздел 802.1 содержит общие определения лвс, связь с моделью osi.
- •Раздел 802.2 определяет подуровень управления логическим каналом llc.
- •30. Проектирование и ведение политики защиты компьютерной сети на уровне пользователей сетевых ресурсов.
- •21. Структура кадров данных Ethernet Стандарт 802.3 определяет восемь полей заголовка (под заголовком кадра понимается весь набор полей, которые относятся к канальному уровню):
- •24. Адресация в сетях тср/iр. Понятие и структура ip-адреса.
- •25. Классы сетей тср/iр.
- •26. Создание подсетей в сетях тср/iр.
- •27. Доменная система имен
- •28. Технологии Интранет
- •31. Понятие и назначение брандмауэра. Типы брандмауэров.
- •32. Архитектуры брандмауэра
32. Архитектуры брандмауэра
Брандмауэры могут быть сконфигурированы в виде одной из нескольких архитектур, что обеспечивает различные уровни безопасности при различных затратах на установку и поддержание работоспособности. Организации должны проанализировать свой профиль риска и выбрать соответствующую архитектуру.
Хост, подключенный к двум сегментам сети
Это такой хост, который имеет более одного интерфейса с сетью, причем каждый интерфейс с сетью подключен физически к отдельному сегменту сети. Самым распространенным примером является хост, подключенный к двум сегментам.
Брандмауэр на основе хоста, подключенного к двум сегментам сети — это брандмауэр с двумя сетевыми платами, каждая из которых подключена к отдельной сети. В этой конфигурации ключевым принципом обеспечения безопасности является запрет прямой маршрутизации трафика из недоверенной сети в доверенную — брандмауэр всегда должен быть при этом промежуточным звеном.
Маршрутизация должна быть отключена на брандмауэре такого типа, чтобы IP-пакеты из одной сети не могли пройти в другую сеть.
Экранированный хост
При архитектуре типа экранированный хост используется узел (называемый хостом-бастионом), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним, менее безопасным хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внутренней сетью из внешних сетей направляются к хосту-бастиону.
Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между сетью организации и Интернетом.
Экранированная подсеть
Архитектура экранированной сети по существу совпадает с архитектурой экранированного хоста, но добавляет еще одну линию защиты, с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети.
Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор.