Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Операционные системы_лекции.doc
Скачиваний:
61
Добавлен:
28.09.2019
Размер:
1.71 Mб
Скачать

10.4. Межсетевые экраны

На рис. 10.1 приведена схема взаимодействия локальной сети предприятия с глобальной сетью Интернет при отсутствии аппаратных средств защиты. Одной из важных возможностей осуществления угроз информационной безопасности является наличие ничем не контролируемых трафиков (обмена информацией) с сетью Интернет и внутри локальной сети, которыми может воспользоваться злоумышленник.

Программные и аппаратные средства, позволяющие разделить сеть на две и более частей, осуществлять контроль трафиков и блокировать нежелательные трафики, называются межсетевыми экранами, брандмауэрами или fierwall'ами. Идеальный брандмауэр должен выполнять следующие функции:

  • блокировка внешних атак, включая сканирование портов, подмену IP-ад­ресов, DoS и DDoS (атак "Отказ в обслуживании"), подбор паролей и пр.

  • блокировка утечки информации даже при проникновении вредоносного кода в компьютер посредством блокирования выхода кода в сеть.

  • контроль приложений запрашивающих разрешение на доступ к открытым портам с проверкой по имени файла и аутентичности приложения;

  • поддержка зональной защиты с дифференциальным подходом к анализу содержания контента в зависимости от зоны его поступления (Интернет или внутренняя локальная сеть);

  • протоколирование и предупреждение, т.е. брандмауэр должен собирать строго необходимый объем информации;

  • максимально прозрачная работа, применение мастеров настройки брандмауэров.

Классификация брандмауэров приведена на рис. 10.3.

Рис. 10.3. Классификация брандмауэров

Аппаратные брандмауэры существуют в виде физических устройств, не являющихся персональными компьютерами и серверами. Примерами брандмауэров, являющихся аппаратными средствами являются межсетевые экраны фирмы D-Link серий DFL и DSR.

Программные брандмауэры ставятся на персональные компьютеры рабочих мест или серверы. Примером такого брандмауэра является брандмауэр Windows, входящий в состав операционной системы Windows 2000/ХР и последующих версий.

Локальные брандмауэры устанавливаются на одно рабочее место или на один сервер, распределённые – на множество компьютеров и серверов.

Брандмауэр, работающий на пакетном уровне, осуществляет фильтрацию входящих и исходящих пакетов. Большинство пакетных брандмауэров проверяют полную ассоциацию пакетов, т.е. связи пакета с конкретным отправителем и конкретным получателем, на основе IP-заголовка пакета. Он включает в себя: адреса отправителя и получателя, информацию о приложении или протоколе, номера портов источника и получателя. Прежде чем отправить пакет по адресу проверяется соответствие пакета одному из правил фильтрации. Если пакет не удовлетворяет правилу фильтрации, то обычно посылка пакета блокируется.

Пакетный брандмауэр не проверяет содержание пакета информации, поэтому его можно обойти, создав IP-заголовок, который удовлетворяет правилам фильтрации. Дополнительную возможность обхода создаёт возможность указания злоумышленником адреса источника, которому получатель пакета доверяет.

Брандмауэр прикладного уровня перехватывает входящие и исходящие пакеты, использует программы-посредники, которые копируют и перенаправляют информацию через брандмауэр, а также выполняет роль сервера посредника, исключая прямые соединения между доверенным сервером или клиентом и внешним хостом. Посредники, используемые брандмауэром прикладного уровня, связаны с приложениями и могут фильтровать информацию на прикладном уровне модели OSI. Примерами программ-посредников являются службы FTP и Telnet. Настройка брандмауэра позволит блокировать пакеты, содержащие нежелательные команды, например команду PUT службы FTP.

Брандмауэр сеансового уровня фильтрует пакеты на основе подтвержде­ния (квитирования) связи. Прежде всего, выполняется проверка осуществления полной ассоциации пакета с отправителем и получателем. Далее брандмауэр связывается с приёмником и осуществляет с ним обмен флагами SYN и ASK пакета. Если числа в этих флагах связаны установленными правилами, то пакет отправляется получателю.

Для осуществления процесса обмена информацией используются программы, которые называются канальными посредниками. Именно они копируют и пересылают информацию посредством создания виртуального канала связи между отправителем и получателем. После квитирования связи никакой фильтрации пакета не происходит до окончания сеанса связи.

Дополнительной функцией брандмауэра сеансового уровня является преобразование IP-адресов внутренних отправителей в один "надёжный" адрес сеансового брандмауэра, т.е. он выполняет функцию proxy-сервера и маскирует внутренние элементы локальной сети от внешних источников.

Экспертные брандмауэры являются брандмауэрами, работающими на всех указанных уровнях.

Применение брандмауэров иллюстрируется рис. 10.4.

Рис. 10.4. Применение брандмауэров

Брандмауэр_1 отделяет сервер от глобальной сети Интернет и контролирует внешний трафик сети предприятия. Брандмауэр_2 разделяет на два сегмента локальную сеть предприятия и контролирует трафик между сегментами локальной сети предприятия.

Недостатками брандмауэров являются:

  • Разрозненность систем защиты

  • Отсутствие защиты для нестандартных или новых сетевых сервисов

  • Снижение производительности

В целях повышения надёжности защиты на брандмауэры устанавливается следующее программное обеспечение:

  • Intrusion Detection System (IDS – система выявления атак);

  • система контроля целостности программного обеспечения и конфигурации;

  • система мониторинга системы и оповещения о неисправностях.