Файловый архив студентов. Файловый архив студентов.
1297 вузов, 5034 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Владимирский государственный университет им. Столетовых
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
IBIZI.doc
Скачиваний:
58
Добавлен:
21.04.2019
Размер:
2.31 Mб
Скачать
►Содержание►

    1. Основные схемы сетевой защиты на базе межсетевых экранов

При подключении корпоративной или локальной сети к гло­бальным сетям администратор сетевой безопасности должен ре­шать следующие задачи:

  • защита корпоративной или локальной сети от несанкциони­рованного удаленного доступа со стороны глобальной сети;

  • скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети;

  • разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.

Необходимость работы с удаленными пользователями требует установления жестких ограничений доступа к информаци­онным ресурсам защищаемой сети. При этом часто возникает по­требность в организации в составе корпоративной сети нескольких сегментов с разными уровнями защищенности:

  • свободно доступные сегменты (например, рекламный WWW-сервер),

  • сегмент с ограниченным доступом (например, для доступа со­трудникам организации с удаленных узлов),

  • закрытые сегменты (например, финансовая локальная сеть ор­ганизации).

Для защиты корпоративной или локальной сети применя­ются следующие основные схемы организации межсетевых экранов:

    • межсетевой экран - фильтрующий маршрутизатор;

    • межсетевой экран на основе двупортового шлюза;

    • межсетевой экран на основе экранированного шлюза;

    • межсетевой экран - экранированная подсеть.

8.4Межсетевой экран-фильтрующий маршрутизатор

Межсетевой экран, основанный на фильтрации пакета, является самым распространенным и наиболее простым в реали­зации. Он состоит из фильтрующего маршрутизатора, расположен­ного между защищаемой сетью и сетью Internet (рис. 8.6). Фильт­рующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов.

Рисунок 8.6. Межсетевой экран на основе фильтрующего маршрутизатора

Межсетевые экраны, основанные на фильтрации пакетов, имеют такие же недостатки, что и фильтрующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесто­чении требований к безопасности защищаемой сети. Отметим не­которые из них:

  • сложность правил фильтрации; в некоторых случаях совокуп­ность этих правил может стать неуправляемой;

  • невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от непротестированных атак;

  • практически отсутствующие возможности регистрации событий; в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он;

  • каждый хост-компьютер, связанный с сетью Internet, нуждается в своих средствах усиленной аутентификации.

8.5Межсетевой экран на основе двупортового шлюза

Межсетевой экран на базе двупортового прикладного шлю­за включает двудомный хост-компьютер с двумя сетевыми интер­фейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения допол­нительной защиты между прикладным шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор (рис. 8.7). В ре­зультате между прикладным шлюзом и маршрутизатором образу­ется внутренняя экранированная подсеть. Эту подсеть можно ис­пользовать для размещения доступных извне информационных серверов.

Рисунок 8.7. Межсетевой экран с прикладным шлюзом фильтрующим маршрутизатором

В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором прикладной шлюз полностью блокирует трафик IP между сетью Internet и защищаемой сетью. Только полномочные сервера-посредники, располагаемые на прикладном шлюзе, могут предоставлять услуги и доступ пользователям.

Данный вариант межсетевого экрана реализует политику безопасности, основанную на принципе "запрещено все, что не разрешено в явной форме", при этом пользователю недоступны все службы, кроме тех, для которых определены соответствующие полномочия. Такой подход обеспечивает высокий уровень безопасности, поскольку маршруты к защищенной подсети известны только межсетевому экрану и скрыты от внешних систем.

Рассматриваемая схема организации межсетевого экрана является довольно простой и достаточно эффективной.

Следует отметить, что безопасность двудомного хост-компьютера, используемого в качестве прикладного шлюза, долж­на поддерживаться на высоком уровне. Любая брешь в его защите может серьезно ослабить безопасность защищаемой сети. Если шлюз окажется скомпрометированным, у злоумышленника появит­ся возможность проникнуть в защищаемую сеть.

Этот межсетевой экран может требовать от пользователей применения средств усиленной аутентификации, а также регистра­ции доступа, попыток зондирования и атак системы нарушителем.

Для некоторых сетей может оказаться неприемлемой не­достаточная гибкость схемы межсетевого экрана с прикладным шлюзом.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности