Межсетевой экран схема
Межсетевой экран схемаСкачать файл - Межсетевой экран схема
Межсетевые экраны МЭ обеспечивают безопасность при осуществлении электронного обмена информацией с другими взаимодействующими автоматизированными системами и внешними сетями, разграничение доступа между сегментами корпоративной сети, а также защиту от проникновения и вмешательства в работу АС нарушителей из внешних систем. Однако такое определение имеет общий характер и подразумевает слишком расширенное толкование. Межсетевой экран МЭ -это специализированное программное или аппаратное или программно-аппаратное средство, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую. МЭ, установленные в точках соединения с сетью Интернет, обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Internet -серверов, открытых для общего пользования, от несанкционированного доступа. Основная функция МЭ - фильтрация сетевого трафика Она может осуществляться на любом уровне модели OSI. В качестве критериев может выступать информация с разных уровней: Принадлежность МЭ к тому или иному типу определяется уровнем модели OSI , информация с которого выступает в качестве критерия фильтрации. Пакетные фильтры осуществляют анализ информации сетевого и транспортного уровней модели OSI. Это сетевые адреса например, IP отправителя и получателя пакета номера портов отправителя и получателя, флаги протокола TCP , опции IP , типы ICMP. Обычно пакетные фильтры организуются средствами маршрутизаторов. Часто используются штатные средства операционных систем. Хорошим вариантом организации фильтрации пакетов может служить использование ОС Linux в качестве МЭ первого типа - пакетного фильтра. Схема его работы представлена далее. Этот и следующий тип МЭ основан на использовании так называемого принципа посредничества, то есть запрос принимается МЭ, анализируется и только потом перенаправляется реальному серверу. Прежде чем разрешить установление соединения TCP между компьютерами внутренней и внешней сети, посредники уровня соединения сначала как минимум регистрируют клиента. При этом неважно, с какой стороны внешней или внутренней этот клиент находится. При положительном результате регистрации между внешним и внутренним компьютерами организуется виртуальный канал, по которому пакеты передаются между сетями. Наиболее известным примером шлюза уровня соединения можно считать шлюз с преобразованием IP -адресов Network Address Translation , NAT. Шлюзы прикладного уровня application - level proxy , часто называемые proxy -серверами, контролируют и фильтруют информацию на прикладном уровне модели OSI. Они различаются по поддерживаемым протоколам прикладного уровня. Когда клиент внутренней сети обращается, например; к серверу Web , то его запрос попадает к посреднику Web или перехватывается им. Последний устанавливает связь с сервером от имени клиента, а полученную информацию передает клиенту. Для внешнего сервера посредник выступает в качестве клиента, а для внутреннего клиента - в качестве сервера Web. Аналогично посредник может работать и в случае внешнего клиента и внутреннего сервера. В рассмотренных выше типах МЭ, предполагающих посредничество при установлении соединения шлюзах уровня соединения и прикладного реализована так называемая технология Proxy. Эта технология широко распространена и применяется в таких известных моделях МЭ, как Microsoft Proxy Server и CyberGuard Firewall. Недостаточно только лишь просматривать отдельные пакеты. Информация о состоянии, извлеченная из имевших место ранее соединений и других приложений, используется для принятии окончательного решения о текущей попытке установления соединения. В зависимости от типа проверяемого пакета, для принятия решения важными могут быть как текущее состояние соединения, которому он принадлежит полученное из его истории , так и состояние приложения, его использующего. Таким образом, для обеспечения наивысшего уровня безопасности, МЭ должен уметь считывать, анализировать и использовать следующую информацию:. Например, исходящая команда PORT сессии FTP могла бы быть запомнена для последующей проверки встречного входящего соединения FTP data. Например, когда-либо авторизованному пользователю был разрешен доступ через firewall только для разрешенных типов сетевых протоколов. Кроме того, МЭ должен уметь выполнять действия над передаваемой информацией в зависимости от всех вышеизложенных факторов. Stateful Inspection -технология нового поколения, удовлетворяет всем требованиям к безопасности, приведенным выше. Технология инспекции пакетов с учетом состояния протокола на сегодня является наиболее передовым методом контроля трафика она разработана и запатентована компанией Check Point Software Technologies. Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного процесса-посредника proxy для каждого защищаемого протокола или сетевой службы. В результате достигаются высокие показатели производительности, высокая гибкость решений и возможность быстро и достаточно просто адаптировать систему под новые нужды. Основываясь на технологии инспекции пакетов с учетом состояния протокола, МЭ обеспечивает наивысший уровень безопасности. Метод stateful inspection обеспечивает сбор информации из пакетов данных, как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных контекстных таблицах, которые динамически обновляются. Такой подход обеспечивает максимально возможный уровень безопасности, контролируя соединения на уровнях от 3 до 7 сетевой модели OSI , тогда как proxy посредники могут контролировать соединения только на 5 - 7 уровнях. После того как соединение занесено в таблицу, обработка последующих пакетов этого соединения происходит на основе анализа таблиц. Комплект продуктов сетевой безопасности, называемый Check Point FireWall -1, обеспечивает контроль доступа в сетях Интернет, интранет, экстранет, а также удаленного доступа с расширенными функциями авторизации и установления подлинности пользователей. FireWall -1 позволяет транслировать сетевые адреса NAT и сканировать потоки данных на наличие недопустимой информации и вирусов. Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организации, как крупных, так и небольших. Такой подход позволяет реализовать более тесную интеграцию продуктов других производителей на базе Fire Wall Это обеспечивает централизованное слежение за функционированием этих систем, управление ими и конфигурирование. Fire Wall -1 позволяет организации создать единую, интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и у правлялась бы с любой выбранной для этого точки сети предприятия. Продукт имеет и массу дополнительных возможностей, таких, как управление списками доступа аппаратных маршрутизаторов, балансировка сетевой нагрузки на серверы, а также и элементы для построения систем повышенной надежности, которые также полностью интегрируются в глобальную политику безопасности. Работа Check Point FireWall -1 прозрачна для пользователей и обеспечивает рекордную производительность практически для любого I Р протокола и высокоскоростной технологии передачи данных. FireWall -1 базируется на архитектуре Stateful Inspection , обеспечивающей наилучший уровень защиты. После установки межсетевого экрана FireWall -1 необходим процесс конфигурирования. При этом пользователь манипулирует объектами: Для управления всеми типами объектов используется меню Manage. К сетевым объектам относятся отдельные узлы, сети, подсети, шлюзы, маршрутизаторы и т. Их необходимо определить в первую очередь. Для демонстрации определены следующие объекты:. Определение пользователей и групп необходимо для задания правил аутентификации. Определение пользователя осуществляется на основе шаблона. Шаблон можно создать или использовать шаблон по умолчанию default. Для демонстрации определён пользователь fwuser , а способ аутентификации для него - пароль, заданный на межсетевом экране. Определение правил - достаточно простой процесс. Для этого необходимо выполнить следующие действия:. Например, можно задать правило, разрешающее доступ к внутреннему ftp -серверу. Заданные явно правила обрабатываются по списку сверху вниз в указанном пользователем порядке. Однако, есть правила, не отображаемые в списке, но работающие. В целом порядок работы правил следующий:. Механизмы проверки содержимого фильтруемых информационных пакетов Content Security , реализованные во многих межсетевых экранах, расширяют функции инспекции данных до наивысшего уровня обеспечения информационной безопасности. Эти механизмы позволяют защитить пользователей от различных рисков, включая компьютерные вирусы и вредоносные аплеты Java и ActiveX. Межсетевой экран представляет первую линию обороны, обеспечивая защиту от вирусов путём предотвращения их проникновения в точке входа во внутреннюю сеть предприятия. Большинство МЭ имеют средства, позволяющие в реальном масштабе времени, осуществлять декодирование, декомпрессию и распаковку входящих и исходящих файлов по протоколу FTP , Web -приложений по протоколу нттр , почтовых сообщений по протоколу SMTP и др. Некоторые межсетевые экраны могут работать совместно со специализированными антивирусными сканерами, передавая им данные для антивирусного контроля. SMTP -протокол был изначально разработан для обеспечения максимально гибких возможностей взаимодействия пользователей почтовой системы. Тогда предполагалось, что доступ к Интернет пользователи получают из различных географических регионов. Затем протокол был расширен возможностями поддержки передачи различного рода информации в виде вложений электронной почты. В результате оказалось, что достаточно сложно обеспечить максимальную прозрачность почтовых соединений и при этом оградить от взломщиков внутреннюю сеть организации. Механизмы межсетевых экранов, основанные на детальном контроле SMTP -соединений, предоставляют следующие возможности:. Возможности межсетевых экранов по сканированию пакетов и анализу потоков данных позволяют эффективно бороться с различными атаками, связанными с использованием Java и ActiveX в Web -страницах. Администратор безопасности может контролировать прохождение кода Java и ActiveX в соответствии с определенными условиями, такими как, например, сетевой адрес компьютера клиента и сервера, запрашиваемый URL сетевой адрес или зарегистрированное имя пользователя. Ресурсы, адресуемые через URI , определяют метод доступа, например, GET , POST и так далее, сервер, где ресурс расположен, путь доступа непосредственно к этому ресурсу на сервере и, возможно, специфический запрос к нему. Все приведенные выше способы обработки потоков информации могут быть применены к таким ресурсам, описания которых созданы с использованием символов шаблона. Сервер безопасности FTP обеспечивает не только проверку подлинности пользователя, но и проверку безопасности информации, обмен которой происходит по этому протоколу. Механизм трансляции преобразования, замены адресов Network Address Translation позволяет полностью скрыть внутреннее устройство сети предотвратить распространение информации об адресах вашей корпоративной сети от пользователей Интернет. При прохождении пакетов через МЭ адреса внутренних хостов могут заменяться на адрес внешнего интерфейса межсетевого экрана или на специально определенный адрес. Дополнительно, механизм трансляции адресов позволяет решить проблемы нехватки реальных адресов путем сокращения необходимого зарегистрированного адресного пула и использования во внутренних сетях адресов из специально отведенных адресных пространств для частных сетей либо произвольно выбранных адресов. Указанный механизм транслирует преобразует адреса узлов из внутреннего адресного пространства в официально зарегистрированные адреса организации, обеспечивая полноценный доступ пользователей корпоративной сети к ресурсам услугам Интернет или других открытых сетей. Различают два основных способа отображения внутренних адресов на внешние - статический и динамический. Динамический режим трансляции адресов обеспечивает доступ внутренних пользователей к ресурсам сети Интернет, экономя зарегистрированное адресное пространство и скрывая внутренние адреса корпоративной сети. Динамический режим использует единственный реальный внешний IP -адрес для отображения всех соединений, проходящих через защищенную точку доступа неограниченное количество внутренних адресов динамически отображаться на единственный внешний IP -адрес. Этот IP -адрес используется в динамическом режиме только для установления исходящих от узлов внутренней сети соединений. Используя его невозможно получить доступ к внутренним сетевым ресурсам или осуществить взлом каких-либо внутренних узлов сети снаружи. При расширении сетевой инфраструктуры компании возникает потребность в организации доступа внешних пользователей из сети Интернет к определенным ресурсам сети организации, например, для сотрудников, работающих удаленно. Кроме того, организация может создать свой Web или FTP - сервер, который должен быть доступен для всех внешних пользователей. Для этого используется статический режим трансляции адресов, устанавливающий однозначное соответствие адресов внутренних ресурсов их реальным адресам в глобальной сети. Этот вариант трансляции обычно используется, если по соображениям безопасности администратор не хочет использовать реальные адреса на сетевых серверах, или если по историческим причинам сеть использует произвольные внутренние адреса которым необходимо сопоставить реальные адреса серверов, чтобы пользователи Интернет могли получить к ним доступ. Это позволяет получать доступ к таким службам и приложениям всем желающим или тем кто может перехватить имена и пароли, передаваемые по сети. Прозрачный метод установления подлинности пользователя User Authentication предоставляет возможность определять привилегии доступа для каждого пользователя в отдельности даже если это многопользовательская ЭВМ для протоколов FTP, TELNET , HTTP и RLOGIN , независимо от IP -адреса клиентского компьютера Например, если пользователь вынужден обращаться к серверам организации из внешней сети, то администратор безопасности может разрешить ему доступ во внутреннюю сеть без того, чтобы его привилегии распространялись на всех других пользователей его рабочего компьютера. МЭ могут выполнять проверку подлинности пользователя при помощи специального Сервера Безопасности, функционирующего на шлюзовом компьютере. МЭ перехватывает все попытки авторизации пользователя на сервере и перенаправляет их соответствующему Серверу Безопасности. После того, как подлинность пользователя установлена Сервером Безопасности МЭ открывает второе соединение на необходимый сервер приложения. Все последующие пакеты сессии также перехватываются и инспектируются межсетевым экраном на шлюзе. Client Authentication позволяет администратору предоставлять привилегии доступа хостам сетевым компьютерам с определенными IP -адресами, пользователи которых, прошли соответствующие процедуры установления подлинности. В противовес User Authentication , Client Authentication не ограничена только определенными службами, и может обеспечить аутентификацию любого приложения, как стандартного, так и специфичного. Client Authentication не является прозрачной для пользователя, но, в тоже время, не требует какого-либо дополнительного программного обеспечения или модификации существующего. Для такого вида установления подлинности администратор может указать, каким образом каждый из пользователей должен будет авторизоваться, какой сервер и какие службы ему будут доступны, сколько времени, в какие часы и дни и сколько сессий может быть им открыто. Механизм Transparent Session Authentication можно использовать для любых служб. При этом установление подлинности будет происходить для каждой сессии. После того, как пользователь инициировал соединение непосредственно с сервером, МЭ распознает, что требуется установление подлинности клиента, и инициирует соединение с Агентом Авторизации Сессий. Агент производит необходимую авторизацию, после чего МЭ разрешает данное соединение, если подлинность клиента установлена. SecurID —пользователь набирает номер, высвечивающийся на электронной карточке Security Dynamics SecurID ;. На сегодня известно, хорошо изучено и документировано достаточно много различных атак, но, тем не менее, новые варианты атак появляются практически каждый день. Поэтому небольшим организациям, использующим доморощенные системы защиты сетей, практически невозможно поддерживать их в адекватном современным требованиям состоянии. Специализированные компании, имеющие необходимую инфраструктуру для анализа новых методов взлома систем сетевой безопасности, стараются поддерживать свои продукты на должном уровне и встраивают в них средства защиты от некоторых атак, направленных на узлы внутренней сети. К числу наиболее распространенных атак, противодействие которым реализуется на внешнем периметре сети, обычно относятся:. Создание лавины SYN -пакетов, вызывающей истощение сетевых ресурсов за счет использование полу - открытых сеансов посылка TCP пачки с SYN битом производится с ложного адреса. Например, в МЭ ISA Server от Microsoft реализована возможность обнаруживать следующие виды атак:. Вопрос размещения МЭ в корпоративной сети рассматривается с учетом конкретных особенностей уже имеющихся средств защиты, целей подключения и т. Однако можно выделить несколько общих схем, приемлемых для большинства конфигураций. Схема 1 приведена на рис. Здесь МЭ и маршрутизатор размещены на одном узле. Это удобно, поскольку оба устройства работают на сетевом уровне. В этом случае МЭ является единственной видимой снаружи машиной. Одной из целей подключения к сетям общего пользования является возможность предоставить доступ внешним пользователям к некоторым внутренним ресурсам WWW , FTP и др. Поэтому при расположении МЭ такие ресурсы должны быть доступны снаружи рис. Рано или поздно встаёт вопрос защиты видимых снаружи узлов. По аналогии с защищёнными узлами корпоративной сети в качестве средства защиты используется МЭ. Возникает следующая схема рис. Поэтому возникает следующая схема, третья по распространенности, в которой доступные снаружи узлы подключены к отдельному сетевому интерфейсу МЭ. Поскольку внешние пользователи должны иметь возможность непосредственного доступа к некоторым ресурсам узлов внутренней сети, то возникает опасность, что взломав защиту на этих узлах они смогут использовать их в качестве плацдарма для атаки на другие недоступные снаружи напрямую узлы внутренней сети. Для зашиты от такого рода угроз безопасности применяется метод, основанный на создании так называемой демилитаризованной зоны. DMZ De - Militarized Zone - это специальная область сети, подключенная непосредственно к устройству разграничения доступа, относительно безопасная нейтральная 'область сети пониженного риска', предназначенная для осуществления обмена между внутренними и внешними системами. Обычно это сеть, связанная с дополнительным сетевым интерфейсом на компьютере - шлюзе межсетевом экране. Использование такого решения обеспечивает прохождение любого трафика DMZ через устройство разграничения доступа и контроля, что позволяет реализовать необходимые защитные меры, направленные против атак взломщиков. Без использования DMZ , располагая общедоступные серверы в защищаемой сети, мы подвергаем всю внутреннюю сеть потенциальной опасности: При расположении же общедоступных серверов в DMZ , в случае их взлома нарушитель не получит дополнительных преимуществ по проникновению во внутреннюю сеть, так как доступ из DMZ во внутреннюю сеть контролируется firewall. Такой подход позволяет создавать наиболее безопасные конфигурации подключения к Интернет. Виртуальные частные сети Virtual Private Networks - VPN предназначены для обеспечения безопасного обмена данными между удаленными пользователями и удаленными друг от друга ЛВС организации через сети общего пользования, например, чрез Интернет. VPN позволяют предоставить удаленным мобильным пользователям, где бы они ни находились, безопасный доступ к корпоративным ЛВС, а партнерам и клиентам — безопасный доступ к определенным внутренним информационным ресурсам организации за счет создания криптографически защищенных туннелей для пересылки данных из одной конечной точки в другую. Главными элементами для построения VPN являются криптографические устройства, располагаемые на входах в удаленные друг от друга ЛВС и на компьютерах удаленных мобильных пользователей. Преимущество данного варианта заключается в том, что для защиты потоков данных для всех узлов каждой ЛВС в нем используется только один программно-аппаратный комплекс. Этот вариант является самым доступным, так как реализуется стандартными средствами ОС. Однако для защиты самих узлов сети все равно необходим межсетевой экран. Системы такого типа отличаются высокой производительностью, не требуют сложного администрирования, но в то же время относительно дороги. При выборе средств для построения VPN прежде всего необходимо обращать внимание на следующие вопросы: Существует несколько способов классификации виртуальных частных сетей. Наиболее распространённый -по решаемым при помощи VPN задачам. Согласно этому критерию выделяют три основных вида виртуальных частных сетей:. Использование сетей общего пользования для организации корпоративных VPN предъявляет дополнительные требования к обеспечению надежной защиты информационных ресурсов предприятия от несанкционированного доступа НСД. Во-первых, подобная защита достигается в VPN -продуктах за счет шифрования передаваемой информации. В России существует законодательные ограничения на применение как зарубежных криптографических алгоритмов и продуктов, так и отечественных не сертифицированных средств шифрования. Невыполнение этого условия может сделать невозможным его применение. Любые способы криптографической защиты передаваемой информации увеличивают количество реально передаваемых данных. Поэтому выбираемый продукт должен обеспечивать минимальное увеличение объема передаваемой информации, чтобы не уменьшать пропускную способность канала связи. Для иллюстрации данного тезиса рассмотрим типовое решение для VPN , построенное на открытом стандарте IPSec , который реализован во всех зарубежных и в ряде отечественных VPN -продуктах. Но особенностью реализации IPSec является добавление байт в зависимости от длины ключа к каждому передаваемому пакету. Например, в платежных системах банков стандартный размер пакета не превышает байт. То есть высокоскоростное устройство более чем в два раза снижает пропускную способность низкоскоростного канала. Кроме увеличения размера передаваемых пакетов IPSec в начале процесса установления каждого TCP соединения предусматривает дополнительный обмен между взаимодействующими сторонами, что еще больше снижает реальную пропускную способность канала. Выходом из данной ситуации является применение продуктов, изначально спроектированных с учетом этих особенностей. НИП 'Информзащита' на основании утвержденного ФАПСИ тактико-технического задания разработало программно-аппаратный шифратор IP - протокола криптошлюз 'Континент-К'. Отличительные особенности этого криптошлюза состоят в том, что он реализует защиту данных по алгоритму ГОСТ , увеличивает размер передаваемых пакетов всего на байтов, не требует дополнительного взаимодействия сторон при установлении каждого логического соединения и позволяет сжимать передаваемые данные. Для приведенного выше примера замедление при передаче данных с использованием комплексов 'Континент-К'. Формат пакета представлен на рис. Комплекс 'Континент-К' включает в свой состав следующие компоненты:. МЭ позволяют эффективно реализовать политику безопасности, касающуюся вопросов обмена информацией с внешним миром. Однако, наряду с очевидными достоинствами, МЭ имеют ряд ограничений:. Введение Межсетевые экраны МЭ обеспечивают безопасность при осуществлении электронного обмена информацией с другими взаимодействующими автоматизированными системами и внешними сетями, разграничение доступа между сегментами корпоративной сети, а также защиту от проникновения и вмешательства в работу АС нарушителей из внешних систем. Основные сведения Межсетевой экран МЭ -это специализированное программное или аппаратное или программно-аппаратное средство, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую. Механизмы защиты, реализуемые МЭ: Фильтрация сетевого трафика Шифрование создание VPN Трансляция адресов Аутентификация дополнительная Противодействие некоторым сетевым атакам наиболее распространённым Управление списками доступа на маршрутизаторах необязательно Основная функция МЭ - фильтрация сетевого трафика Она может осуществляться на любом уровне модели OSI. Типы Принадлежность МЭ к тому или иному типу определяется уровнем модели OSI , информация с которого выступает в качестве критерия фильтрации. Пакетные фильтры Пакетные фильтры осуществляют анализ информации сетевого и транспортного уровней модели OSI. Пакеты проверяются на трех цепочках правил, конфигурируемых администратором. Шлюзы уровня соединения Этот и следующий тип МЭ основан на использовании так называемого принципа посредничества, то есть запрос принимается МЭ, анализируется и только потом перенаправляется реальному серверу. Шлюзы прикладного уровня Шлюзы прикладного уровня application - level proxy , часто называемые proxy -серверами, контролируют и фильтруют информацию на прикладном уровне модели OSI. Технологии Proxy и Stateful inspection В рассмотренных выше типах МЭ, предполагающих посредничество при установлении соединения шлюзах уровня соединения и прикладного реализована так называемая технология Proxy. Таким образом, для обеспечения наивысшего уровня безопасности, МЭ должен уметь считывать, анализировать и использовать следующую информацию: Обработка нового соединения при этом осуществляется следующим образом: Возможности межсетевого экрана Check Point Firewall -1 Общие сведения Комплект продуктов сетевой безопасности, называемый Check Point FireWall -1, обеспечивает контроль доступа в сетях Интернет, интранет, экстранет, а также удаленного доступа с расширенными функциями авторизации и установления подлинности пользователей. Работа Check Point FireWall -1 прозрачна для пользователей и обеспечивает рекордную производительность практически для любого I Р протокола и высокоскоростной технологии передачи данных Архитектура FireWall-1 Рис. Архитектура Fire Wall -1 FireWall -1 базируется на архитектуре Stateful Inspection , обеспечивающей наилучший уровень защиты. Управление объектами После установки межсетевого экрана FireWall -1 необходим процесс конфигурирования. Определение сетевых объектов К сетевым объектам относятся отдельные узлы, сети, подсети, шлюзы, маршрутизаторы и т. Для демонстрации определены следующие объекты: Задание правил фильтрации Определение правил - достаточно простой процесс. Для этого необходимо выполнить следующие действия: В целом порядок работы правил следующий: Обычные, то есть заданные явно правила, кроме последнего 4. Последнее правило, заданное явно 6. Все остальные пакеты уничтожаются Анализ содержимого пакетов Механизмы проверки содержимого фильтруемых информационных пакетов Content Security , реализованные во многих межсетевых экранах, расширяют функции инспекции данных до наивысшего уровня обеспечения информационной безопасности. Поддержка почтового протокола SMTP SMTP -протокол был изначально разработан для обеспечения максимально гибких возможностей взаимодействия пользователей почтовой системы. Механизмы межсетевых экранов, основанные на детальном контроле SMTP -соединений, предоставляют следующие возможности: Ревизия HTTP - пакетов. Межсетевые экраны производят следующие действия над обнаруженным кодом Java и ActiveX: Ревизия файлов, передаваемых по протоколу FTP Сервер безопасности FTP обеспечивает не только проверку подлинности пользователя, но и проверку безопасности информации, обмен которой происходит по этому протоколу. Трансляция сетевых адресов Механизм трансляции преобразования, замены адресов Network Address Translation позволяет полностью скрыть внутреннее устройство сети предотвратить распространение информации об адресах вашей корпоративной сети от пользователей Интернет. МЭ реализуют три основных метода установления подлинности пользователя: Современные межсетевые экраны поддерживают следующие варианта схем авторизации пользователей: Противодействие некоторым сетевым атакам На сегодня известно, хорошо изучено и документировано достаточно много различных атак, но, тем не менее, новые варианты атак появляются практически каждый день. К числу наиболее распространенных атак, противодействие которым реализуется на внешнем периметре сети, обычно относятся: Например, в МЭ ISA Server от Microsoft реализована возможность обнаруживать следующие виды атак: Раздельное подключение маршрутизатора и МЭ. Организация доступа снаружи к отдельным узлам. Защита видимых снаружи узлов. Организация DMZ на отдельном интерфейсе МЭ. Виртуальные частные сети Виртуальные частные сети Virtual Private Networks - VPN предназначены для обеспечения безопасного обмена данными между удаленными пользователями и удаленными друг от друга ЛВС организации через сети общего пользования, например, чрез Интернет. Виды виртуальных частных сетей Существует несколько способов классификации виртуальных частных сетей. Согласно этому критерию выделяют три основных вида виртуальных частных сетей: Решения компании Checkpoint Checkpoint поддерживает два типа VPN: IKE При этом поддерживаются алгоритмы шифрования: AES VPN на основе криптошлюза 'Континент-К' Использование сетей общего пользования для организации корпоративных VPN предъявляет дополнительные требования к обеспечению надежной защиты информационных ресурсов предприятия от несанкционированного доступа НСД. Комплекс 'Континент-К' включает в свой состав следующие компоненты: Однако, наряду с очевидными достоинствами, МЭ имеют ряд ограничений: Угрозы, уязвимости и атаки в сетях Вверх Тема Записки смотрителя Мои рассказы Недобрые сказки Истинный Учитель Истины Чердачная Библиотека Комиксы и картинки Неми Swine Sinfest Gigiks Воины интернета Ролевые игры Информационная безопасность Забытые Вещи. Поиск Поиск на сайте:
Тема 25: Межсетевые экраны
Земляника деройял описание сорта отзывы
Определение схемы подключения межсетевого экрана
Макропен 400 инструкция по применению
Перевод слова на английский слово учителя
Классификация межсетевых экранов
Финики химический состав и пищевая ценность
Duty calls скачать торрент на русском языке
Схемы сетевой защиты на базе межсетевых экранов
Инвестиционные компании челябинска