Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4609 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Рязанский государственный радиотехнический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекции ТОКБ - оглавление в них не полное.docx
Скачиваний:
75
Добавлен:
15.12.2018
Размер:
622.6 Кб
Скачать
►Содержание►

2.4.10. Методы защиты внешнего периметра

Подсистема защиты внешнего периметра компьютерной системы обычно включает в себя два основных механизма:

  1. средства межсетевого экранирования;

  2. средства обнаружения (предотвращения) вторжений.

Решая родственные задачи, эти механизмы часто реализуются в рамках одного продукта и функционируют в качестве единого целого. В то же время, каждый из этих механизмов является самодостаточным и заслуживает отдельного рассмотрения.

2.4.10.1. Межсетевое экранирование.

Межсетевой экран (МЭ) выполняет функции разграничения информационных потоков на границе защищаемой компьютерной системы. Это позволяет:

  • повысить безопасность объектов внутренней среды за счет игнорирования неавторизованных запросов из внешней среды;

  • контролировать информационные потоки во внешнюю среду;

  • обеспечить регистрацию процессов информационного обмена.

Контроль информационных потоков производится посредством фильтрации информации, то есть её анализа по совокупность критериев и принятия решения о разрешении её прохождения в компьютерную систему или из компьютерной системы.

В зависимости от принципов функционирования выделяют несколько классов межсетевых экранов. Основным классификационным признаком является уровень семиуровневой модели ISO/OSI, на котором функционирует межсетевой экран.

  1. Фильтры пакетов – простейший класс межсетевых экранов, работающих на сетевом и транспортном уровне ISO/OSI.

Фильтрация сетевых пакетов для IP – протоколов обычно осуществляется по следующим данным:

  • IP – адрес источника и IP – адрес получателя;

  • номер порта источника и номер порта получателя;

  • специфические параметры заголовков сетевых пакетов.

Фильтрация реализуется путём сравнения перечисленных параметров заголовков сетевых пакетов с набором правил фильтрации.

  1. Шлюзы сеансового уровня

Данные межсетевые экраны работают на сеансовом уровне ISO/OSI. В отличие от пакетных фильтров они могут контролировать допустимость сеанса связи, анализируя параметры протоколов от сетевого до сеансового уровня.

  1. Шлюзы прикладного уровня

Межсетевые экраны данного класса позволяют фильтровать отдельные виды команд или наборы данных в протоколах прикладного уровня. Для этого обычно используются так называемые прокси-серверы. Прокси-сервер – программа специального назначения, управляющая прохождением трафика для определенных высокоуровневых протоколов (HTTP, FTP, Telnet). Порядок использования прокси-серверов показан на рисунке 6:

Рисунок 6 – Порядок использования прокси-серверов

Если без использования прокси-сервера сетевое соединение устанавливается между взаимодействующими сторонами А и В напрямую, то в случае использования прокси-сервера появляется посредник (прокси), который самостоятельно взаимодействует со стороной В по запросу от А. Такая схема позволяет контролировать допустимость использования команд протоколов высокого уровня, а также фильтровать данные, получаемые прокси-сервером извне. При этом прокси-сервер на основании заданных политик может принимать решение о возможности или невозможности передачи этих данных клиенту А.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности