Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Уфимский Государственный Авиационный Технический Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
МЕЖСЕТЕВЫЕ ЭКРАНЫ.docx
Скачиваний:
0
Добавлен:
01.09.2019
Размер:
29.78 Кб
Скачать
►Содержание►

Межсетевые экраны.

Согласно руководящему документу, межсетевые экраны - однокомпонентные или функционально распределенные средства, реализующие контроль за информацией, поступающей или исходящей в или из АС. Межсетевой экран разделяет сеть на две или более части и реализует набор правил - политику безопасности, определяющие условия прохождения пакетов из одной части сети в другую, а так же разрешенные службы и типы доступа.

Границы защищаемой сети обычно проводятся на стыке корпоративной сети и сети Интернет. Но можно располагать их и внутри корпоративной сети, например для защиты подразделений, где обрабатывается более конфиденциальная информация.

Самой простой политикой безопасности является предоставление доступа к интернету всем внутренним компьютерам корпоративной сети и полный запрет доступа из внешних к внутренним сетям.

Особенности межсетевых экранов

  1. Управление доступом в интернет;

  2. Фильтрация небезопасных служб, чтобы они не использовались за пределами защищенной сети;

  3. Концентрированная безопасность;

  4. Повышенная конфиденциальность;

  5. Детальная протоколируемость.

Недостатки:

  1. Ограничение нужных по мнению пользователей служб;

  2. Остающиеся уязвимыми места;

  3. Плохая защита от собственных сотрудников;

  4. Межсетевые экраны не защищают от вирусов;

  5. Уменьшение пропускной способности;

  6. Все яйца в одной корзине. WTF???

Межсетевые экраны можно классифицировать в зависимости от уровня модели OSI, на котором они работают.

Коммутаторы

Позволяет привязать mac адреса сетевых карт компьютера к определенным портам коммутатора. Если считать информацию на основе адреса сетевых карт отправителя или получателя, реализуя при этом виртуальные локальные сети VLAN.

Коммутаторы могут позволять реализовывать VLAN на уровне портов своего.

Коммутатор может выступать в качестве межсетевого экрана канального уровня.

Недостатки:

  1. Область действия коммутатора ...... не годится для регулировки доступа из интернета;

  2. MAC адрес сетевой карты можно подделать.

Организация VLAN на уровне портов коммутатора более надежна, но не устраняет первый недостаток.

Межсетевые экраны с фильтрацией пакетов

Работают на сетевом уровне и являются наиболее распространенным простым средством для реализации небольших сетей с простой структурой. Они представляют собой либо маршрутизатор, либо программный модуль, сконфигурированный для фильтрации входящих и исходящих пакетов на основе информации из ip заголовков пакетов. В первую очередь анализируется информация сетевого уровня, а именно айпишник отправителя или айпишник получателя.

Анализируется протокол сеансового уровня, информация о котором так же имеется в айпи-заголовках пакетов. В более развитых межсетевых экранах анализируется информация о TCP/UDP портах отправителя или получателя, которые относятся к сеансовому или транспортному уровню. Это позволяет реализовать доступ к компьютеру только определенным службам, запрещая доступ остальным.

Политика безопасности в виде следующей таблицы.

Тип пакета

Адрес отправителя

Порт отправителя

Адрес получателя

Порт получателя

Действие

Действия: разрешить, запретить или отбросить. В последнем случае пакет отбрасывается или удаляется, а при запрещении отправителю возвращается icmp пакет с сообщением об отказе.

Последнее правило обычно - правило, запрещающее весь остальной трафик. В целом, межсетевые экраны продолжают проверку пока не найдут правило, которому соответствует обрабатываемый пакет. Если обрабатывается пакет, не соответствующий ни одному из правил таблицы, используется правило по умолчанию, в котором должно быть явно прописано, которое отбрасывает все пакеты, неудовлетворяющие низлежащим правилам.

Положительные достоинства данных межсетевых экранов - низкая стоимость, гибкие правила фильтрации, минимальная задержка при прохождении экрана, обеспечивается некоторый уровень безопасности при минимальной цене.

Недостатки - локальная сеть видна или маршрутизируется из интернета, при большом числе правил их труднее тестировать, адреса и порты отправителя и получателя являются единственной анализируемой информацией, айпишник отправителя можно подделать и обмануть систему аутентификации пакетов; за доверенный компьютер может сесть человек, не имеющий прав доступа и получить доступ к конфиденциальной информации; данные межсетевые экраны не анализируют работу сетевых приложений; у данных межсетевых экранов зачастую отсутствуют развитые средства протоколирования сети.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности