Разработка проекта защиты локальной вычислительной сети учебного заведения. Дипломная (ВКР). Информационное обеспечение, программирование.
👉🏻👉🏻👉🏻 ВСЯ ИНФОРМАЦИЯ ДОСТУПНА ЗДЕСЬ ЖМИТЕ 👈🏻👈🏻👈🏻
Информационное обеспечение, программирование
Вы можете узнать стоимость помощи в написании студенческой работы.
Помощь в написании работы, которую точно примут!
Похожие работы на - Разработка проекта защиты локальной вычислительной сети учебного заведения
Скачать Скачать документ
Информация о работе Информация о работе
Скачать Скачать документ
Информация о работе Информация о работе
Нужна качественная работа без плагиата?
Не нашел материал для своей работы?
Поможем написать качественную работу Без плагиата!
Приднестровский
государственный университет им. Т.Г. Шевченко
студента Кудлаенко Дмитрия Андреевича
1. Тема работы: «Разработка проекта защиты локальной вычислительной сети
учебного заведения» утверждена приказом № 53-ОД от 24.01.2011
2. Срок сдачи студентом законченной работы: 17 июня 2011 г.
3. Исходные данные к проекту (работе): требования к параметрам
работоспособности локальной вычислительной сети, требования к программному
продукту защиты сети.
4. Краткое содержание дипломной работы:
4.1 Исследовательской части: произвести анализ поставленной задачи,
сравнение существующих методологий реализации, найти оптимальный вариант
инструментов для разработки проекта.
4.2 Проектной части: разработка проекта локальной сети
инженерно-технического института с учетом требований информационной
безопасности.
4.3 Программной части: разработка программного средства обеспечения
защиты локальной вычислительной сети.
4.4 Экономической части: рассчитать технико-экономические показатели и
эффективность разработки проекта. Доказать целесообразность внедрения проекта.
.5 Охраны труда: произвести расчеты освещения и заземления
производственного помещения; разработать технические средства и организационные
мероприятия, уменьшающие воздействие на работающих, выявленных вредных
производственных факторов.
Данная дипломная работа посвящена разработке проекта защиты локальной
вычислительной сети инженерно-технического института ПГУ им. Т.Г. Шевченко.
Проект позволяет обеспечить необходимый уровень информационной
безопасности локальной сети института, а также ее надежную и эффективную
работоспособность.
Отдельное внимание было уделено разработке программного средства защиты
локальной сети.
Данный проект предназначен для использования в инженерно-техническом
институте.
The given graduated work is devoted development of a security
project for the local area network of Engineer-Technical Institute based on
Transnistirian State University.project provides the necessary level of
information security of Institute LAN and also its stable and efficient
work.special attention has been given to development of a software solution for
providing network security.project is intended for usage in Engineer-Technical
Institute.
. Анализ
предметной области и выбор средств реализации поставленной задачи
.2 Основные
понятия обеспечения информационной
.3 Программные
методы обеспечения безопасности
.4 Обоснование
выбора средства защиты локальной
. Разработка
проекта локальной вычислительной сети
.1 Постановка и
анализ задачи проектирования
.2 Выбор стандарта
передачи данных внутри сети
.4 Выбор оборудования
и программного обеспечения
. Разработка
программного средства защиты
.1 Постановка и
анализ задачи разработки57
.2 Построение
объектной модели программной системы
.3 Построение
динамической модели системы
.6 Реализация
алгоритма шифрования по протоколу SSL
.
Организационно-экономическая часть
.2 Расчет затрат
на проектирование и внедрение
.3 Определение
экономической эффективности
.1 Организация
рабочего места программиста
Перечень условных
обозначений, символов, единиц и терминов
Обеспечение информационной безопасности на сегодняшний день названо
первой из пяти главных проблем сети Internet, которая представляет собой
эффективную, но вместе с тем и непредсказуемую среду, полную разнообразных
угроз и опасностей. Актуальность проблемы сетевой безопасности не подвергается
никаким сомнениям, так как по имеющимся статистическим данным ущерб, наносимый
по средствам реализации сетевых угроз, растет в геометрической прогрессии.
Большая группа угроз связана с несовершенством протоколов, в частности
протоколов стека TCP/IP. Так как эти протоколы разрабатывались в то время,
когда проблема обеспечения информационной безопасности еще не была актуальной,
это привело к появлению целого ряда критических уязвимостей, которые в дальнейшем
начали активно использоваться злоумышленниками для проведения сетевых атак.
Многообразие угроз порождает многообразие методов защиты. В настоящее
время в компьютерных сетях предприятий используются различные технологии
обеспечения информационной безопасности: аутентификация и авторизация,
шифрование и антивирусные средства, сетевые экраны и прокси-серверы, защищенные
каналы и виртуальные частные сети.
Цель данной дипломной работы - подробно рассмотреть проблему обеспечения
безопасности информационной системы, разработать простой проект локальной
вычислительной сети и подготовить проект программного средства защиты данной
сети от внешних угроз.
Локальная вычислительная сеть (ЛВС; англ. Local Area Network, LAN) -
компьютерная сеть, покрывающая обычно относительно небольшую территорию или
небольшую группу зданий (дом, офис, фирму, институт). Также существуют
локальные сети, узлы которых разнесены географически на расстояния более 12 500
км (космические станции и орбитальные центры). Несмотря на такие расстояния,
подобные сети всё равно относят к локальным.
Существует множество способов классификации сетей. Основным критерием
классификации принято считать способ администрирования. То есть в зависимости
от того, как организована сеть и как она управляется, её можно отнести к
локальной, распределённой, городской или глобальной сети. Управляет сетью или
её сегментом сетевой администратор. В случае сложных сетей их права и
обязанности строго распределены, ведётся документация и журналирование действий
команды администраторов.
Компьютеры могут соединяться между собой, используя различные среды
доступа: медные проводники (витая пара), оптические проводники (оптические
кабели) и через радиоканал (беспроводные технологии). Проводные связи
устанавливаются через Ethernet, беспроводные - через Wi-Fi, Bluetooth, GPRS и
прочие средства. Отдельная локальная вычислительная сеть может иметь шлюзы с
другими локальными сетями, а также быть частью глобальной вычислительной сети
(например, Интернет) или иметь подключение к ней.
Чаще всего локальные сети построены на технологиях Ethernet или Wi-Fi.
Следует отметить, что ранее использовались протоколы Frame Relay, Token ring,
которые на сегодняшний день встречаются всё реже, их можно увидеть лишь в
специализированных лабораториях, учебных заведениях и службах. Для построения
простой локальной сети используются маршрутизаторы, коммутаторы, точки
беспроводного доступа, беспроводные маршрутизаторы, модемы и сетевые адаптеры.
Реже используются преобразователи (конвертеры) среды, усилители сигнала
(повторители разного рода) и специальные антенны.
Существует два основных типа сетей: одноранговые и иерархические - сети
(с разделением функций подключенных компьютеров). В одноранговой сети все
компьютеры равноправны: нет иерархии среди компьютеров и нет выделенного (англ.
dedicated) сервера. Как правило, каждый компьютер функционирует и как клиент, и
как сервер; иначе говоря, нет отдельного компьютера, ответственного за
администрирование всей сети. Все пользователи самостоятельно решают, какие
данные на своем компьютере сделать общедоступным по сети. На сегодняшний день
одноранговые сети бесперспективны, но все еще широко применяются для решения
простых задач. Если к сети подключено более 10 пользователей, то одноранговая
сеть, где компьютеры выступают в роли и клиентов, и серверов, может оказаться
недостаточно производительной. Поэтому большинство сетей использует выделенные
серверы. Выделенным называется такой компьютер, который функционирует только
как сервер (исключая функции клиента или рабочей станции и только предоставляя
ресурсы прочим участникам сети). Они специально оптимизированы для быстрой
обработки запросов от сетевых клиентов и для управления защитой файлов и
каталогов. Иерархические сети стали промышленным стандартом, и именно они будут
рассмотрены в этой работе. Существуют и комбинированные типы сетей, совмещающие
лучшие качества одноранговых сетей и сетей на основе сервера.
Рассмотрим преимущества, получаемые при сетевом объединении персональных
компьютеров в виде внутрипроизводственной вычислительной сети.
) Разделение ресурсов: ресурсов позволяет экономно использовать ресурсы,
например, управлять периферийными устройствами, такими как печатающие
устройства, внешние устройства хранения информации, модемы и т.д. со всех
подключенных рабочих станций;
) Разделение данных: предоставляет возможность доступа и управления
базами данных с периферийных рабочих мест, нуждающихся в информации;
) Разделение программных средств: предоставляет возможность
одновременного использования централизованных, ранее установленных программных
средств.
) Разделение ресурсов процессора: делает возможным использование
вычислительных мощностей для обработки данных другими системами, входящими в
сеть. Предоставляемая возможность заключается в том, что на имеющиеся ресурсы
не «набрасываются» моментально, а только лишь через специальный процессор,
доступный каждой рабочей станции.
) Многопользовательский режим: содействует одновременному использованию
централизованных прикладных программных средств, обычно, заранее установленных
на сервере приложения (англ. Application Server).
Таким образом, сеть дает возможность отдельным сотрудникам организации
взаимодействовать между собой и обращаться к совместно используемым ресурсам;
позволяет им получать доступ к данным, хранящимся на персональных компьютерах,
как в удаленных офисах, так и соседних ПК. Кроме того, правильная организация
ЛВС обеспечивает информационную безопасность (исключает несанкционированный
доступ к информационным блокам).
С помощью современного оборудования можно передавать большие
информационные потоки данных не только по проводным линиям, но и по
радиоканалу, что увеличивает эффективность и гибкость создаваемых локальных и
корпоративных сетей связи.
Вложенные на этапе организации финансовые средства обеспечивают системе
долговечность и эффективность, в дальнейшем сеть быстро окупается и требует
минимальных затрат на эксплуатацию.
) Открытость - возможность подключения дополнительных компьютеров и
других устройств, а также линий (каналов) связи без изменения технических и
программных средств существующих компонентов сети;
) Гибкость - сохранение работоспособности при изменении структуры в
результате выхода из строя любого компьютера или линии связи;
) Эффективность - обеспечение требуемого качества обслуживания
пользователей при минимальных затратах.
В настоящее время локальные вычислительные сети также довольно широко
используются в учебных заведениях различного плана. Благодаря технологиям
локальных сетей становится возможным организация компьютерных классов в школах
или вычислительных центров в институтах.
Использование ЛВС внутри учебного заведения, также как и любого другого
предприятия, позволяет выполнять следующие функции:
) Создание единого информационного пространства, способного охватить всех
пользователей и предоставить им информацию, созданную в разное время и в разном
программном обеспечении для ее обработки, а также осуществлять
распараллеливание и жесткий контроль данного процесса.
) Повышение достоверности информации и надежности ее хранения путем
создания устойчивой к сбоям и потери информации вычислительной системы, а так
же создание архивов данных которые можно использовать в дальнейшем, но на
текущий момент необходимости в них нет.
) Обеспечения эффективной системы накопления, хранения и поиска
технологической, технико-экономической и финансово-экономической информации по
текущей работе и проделанной некоторое время назад (архивная информация) с
помощью создания глобальной базы данных.
) Обработка документов и построения на базе этого действующей системы
анализа, прогнозирования и оценки обстановки с целью принятия оптимального
решения и выработки глобальных отчетов.
) Обеспечивать прозрачный доступ к информации авторизованному
пользователю в соответствии с его правами и привилегиями.
Таким образом, в настоящее время без локальной вычислительной сети
невозможно представить себе эффективную работу даже самой скромной по размерам
организации, а тем более учебного заведения, что приводит к необходимости
выполнения работ по проектированию компьютерной сети, ее монтажу и
тестированию, а также выделения денежных средств на реализацию проекта.
При проектировании локальной вычислительной сети необходимо особое
внимание уделять обеспечению ее информационной безопасности, что существенно
повысит эффективность ее функционирования.
Под информационной безопасностью понимается состояние защищенности
информационной системы, включая собственно информацию и поддерживающую ее
инфраструктуру. Информационная система находится в состоянии защищенности, если
обеспечена ее конфиденциальность, доступность и целостность.
Конфиденциальность (confidentiality) - это гарантия того, что секретные данные будут доступны
только тем пользователям, которым этот доступ разрешен; такие пользователи
называются легальными или авторизованными.
Доступность (availability) -
это гарантия того, что авторизованные пользователи всегда получат доступ к
данным.
Целостность (integrity) - это гарантия сохранности данными правильных
значений, которая обеспечивается запретом неавторизованным пользователям
каким-либо образом изменять, модифицировать, разрушать или создавать данные.
Данные, находящиеся как в локальной, так и в глобальной сети, постоянно
находятся под воздействием различного рода угроз. Угрозой называется любое
действие, которое может быть направлено на нарушение информационной безопасности
системы. Реализованная угроза, в свою очередь, называется атакой. Вероятностная
оценка величины возможного ущерба, который может понести владелец
информационного ресурса в результате успешно проведенной атаки, называется
риском. Стоит отметить, что угрозы могут исходить как от внешних
злоумышленников, так и от легальных пользователей сети. Таким образом, выделяют
внешние и внутренние угрозы безопасности информационной системы. Внутренние
атаки обычно наносят меньший ущерб, нежели внешние. Внутренние угрозы, в свою
очередь, делятся на умышленные и неумышленные.
К умышленным угрозам можно отнести, например, осуществление мониторинга
системы с целью получить доступ к персональным данным других сотрудников
(идентификаторов или паролей), а также к конфигурационным параметрам
оборудования. Неумышленные угрозы представляют собой ошибки, допущенные
персоналом при работе, которые могут привести к повреждению сетевых устройств,
данных или программного обеспечения.
Внешние угрозы по определению являются умышленными и часто
квалифицируются как преступления.
Различают следующие типы атак, проводимых с целью нарушить безопасность
информационной системы:
атаки отказа в обслуживании (DoS-атаки);
перехват и перенаправление трафика;
внедрение в систему вредоносных программ (вирусов, троянских программ,
шпионских программ и т.д.);
Обеспечение информационной безопасности - это деятельность, направленная
на достижение состояния защищенности (целостности, конфиденциальности и
доступности) информационной среды, а также на прогнозирование, предотвращение и
смягчение последствий любых случайных или злонамеренных воздействий,
результатом которых может явиться нанесение ущерба самой информации, ее
владельцам или поддерживающей инфраструктуре.
Бурный рост информационных источников, новые технологии поиска и
отображения данных в сети Internet, а также коммерциализация этой сети делают ее все более и более
привлекательной для различных групп пользователей, включая крупные корпорации и
физические лица. Все большее число компаний принимают решения о включении своей
локальной сети в Internet. Однако
сразу после этого в дополнение к уже имеющимся обязанностям администратор сети
получает целый спектр новых проблем: как защитить локальную сеть от
несанкционированного доступа со стороны "хакеров"; как скрыть
информацию о структуре своей сети и ее компонентов от внешних пользователей;
какими средствами разграничить права доступа внешних пользователей,
обращающихся из Internet к своим FTP, WWW серверам, а также и своих пользователей, запрашивающих
сервисы Сети.
Проект обеспечения информационной безопасности локальной вычислительной
сети любого объекта подразумевает наличие целой системы элементов защиты,
которая включает в себя правовой, организационный, инженерно-технический,
программно-аппаратный и криптографический методы защиты.
Правовой элемент системы защиты информации основывается на нормах
информационного права и предполагает юридическое закрепление взаимоотношений
объекта и государства по поводу правомерности использования системы защиты
информации, предприятия и персонала по поводу обязанности персонала соблюдать
установленные собственником информации ограничительные и технологические меры
защитного характера, а также ответственности персонала за нарушение порядка
защиты информации. Этот элемент предполагает:
наличие в организационных документах предприятия, правилах внутреннего
трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и
рабочих инструкциях положений и обязательств по защите конфиденциальной информации;
Рисунок 1.1 - Основные элементы системы защиты информации
формулирование и доведение до сведения всех сотрудников предприятия (в
том числе не связанных с конфиденциальной информацией) положения о правовой
ответственности за разглашение конфиденциальной информации, несанкционированное
уничтожение или фальсификацию документов;
разъяснение лицам, принимаемым на работу, положения о добровольности
принимаемых ими на себя ограничений, связанных с выполнением обязанностей по
защите информации.
Организационный элемент системы защиты информации включает в себя
необходимость:
формирования и организации деятельности службы безопасности;
составления и регулярного обновления перечня защищаемой информации
предприятия, составления и ведения перечня описи защищаемых бумажных,
машиночитаемых и электронных документов предприятия;
наличия разрешительной системы разграничения доступа персонала к
защищаемой информации;
использования методов отбора персонала для работы с защищаемой информацией,
методики обучения и инструктирования сотрудников;
формирования направлений и методов воспитательной работы с персоналом и
контроля соблюдения сотрудниками порядка защиты информации;
технологии защиты, обработки и хранения бумажных, машиночитаемых и
электронных документов предприятия (делопроизводственной, автоматизированной и
смешанной технологий); внемашинной технологии защиты электронных документов;
порядка защиты ценной информации предприятия от случайных или умышленных
несанкционированных действий персонала;
ведения всех видов аналитической работы;
порядка защиты информации при проведении совещаний, заседаний,
переговоров, приеме посетителей, работе с представителями рекламных агентств,
средств массовой информации;
оборудования и аттестации помещений и рабочих зон, выделенных для работы
с конфиденциальной информацией, лицензирования технических систем и средств
защиты информации и охраны, сертификации информационных систем, предназначенных
для обработки защищаемой информации;
пропускного режима на территории, в здании и помещениях предприятия,
идентификации персонала и посетителей;
системы охраны территории, здания, помещений, оборудования, транспорта и
персонала предприятия;
действий персонала в экстремальных ситуациях;
организационных вопросов приобретения, установки и эксплуатации
технических средств защиты информации и охраны;
организационных вопросов защиты персональных компьютеров, информационных
систем, локальных сетей;
работы по управлению системой защиты информации;
критериев и порядка проведения оценочных мероприятий по установлению
степени эффективности системы защиты информации.
Элемент организационной защиты является стержнем, основной частью
комплексной системы безопасности предприятия. По мнению большинства
специалистов, меры организационной защиты информации составляют 50-60% в
структуре большинства систем защиты информации.
Инженерно-технический элемент системы защиты информации предназначен для
пассивного и активного противодействия средствам технической разведки и
формирования рубежей охраны территории, здания, помещений и оборудования с
помощью комплексов технических средств. При защите информационных систем этот
элемент имеет весьма важное значение, хотя стоимость средств технической защиты
и охраны велика. Элемент включает в себя:
сооружения инженерной защиты от проникновения посторонних лиц на
территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые
замки, идентификаторы, сейфы и др.);
средства защиты технических каналов утечки информации, возникающих при
работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других
приборов и офисного оборудования, при проведении совещаний, заседаний, беседах
с посетителями и сотрудниками, диктовке документов и т.п.;
средства защиты помещений от визуальных способов технической разведки;
средства обеспечения охраны территории, здания и помеще-ний (средства
наблюдения, оповещения, охранной и пожарной сигнализации);
средства обнаружения приборов и устройств технической разведки
(подслушивающих и передающих устройств, тайно установленной миниатюрной
звукозаписывающей и телевизионной аппаратуры и т.п.).
Программно-аппаратный элемент системы защиты информации предназначен для
защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и
рабочих станциях локальных сетей и различных информационных системах. Однако
фрагменты этой защиты могут применяться как сопутствующие средства в
инженерно-технической и организационной защите. Элемент включает в себя:
автономные программы, обеспечивающие защиту информации и контроль степени
ее защищенности;
программы защиты информации, работающие в комплексе с программами
обработки информации;
программы защиты информации, работающие в комплексе с техническими
(аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при
нарушении системы доступа, стирающие данные при несанкционированном входе в
базу данных и др.);
Криптографический элемент системы защиты информации предназначен для
защиты конфиденциальной информации методами криптографии. Элемент включает:
регламентацию использования различных криптографических методов в ЭВМ и
локальных сетях;
определение условий и методов криптографирования текста документа при
передаче его по незащищенным каналам почтовой, телеграфной, телетайпной,
факсимильной и электронной связи;
регламентацию использования средств криптографирования переговоров по
незащищенным каналам телефонной и радио связи;
регламентацию доступа к базам данных, файлам, электронным документам
персональными паролями, идентифицирующими командами и другими методами;
регламентацию доступа персонала в выделенные помещения с помощью
идентифицирующих кодов, шифров.
В каждом элементе системы защиты могут быть реализованы на практике
только отдельные составные части в зависимости от поставленных задач защиты
информации циркулирующей на объекте.
В данном дипломном проекте необходимо спроектировать локальную сеть
учебного заведения с учетом требований информационной безопасности, а также
разработать программное средство защиты информации внутри этой сети. Для более ясной
постановки задачи рассмотрим подробнее программные методы обеспечения
информационной безопасности.
Для решения задач безопасности ЛВС часто используются политики безопасности,
различные методы шифрования трафика, средства аутентификации, средства
антивирусной защиты и т.д. Одними из наиболее часто используемых средств,
обеспечивающих комплексный подход к решению проблемы безопасности сети,
являются сетевые экраны (брандмауэры).
Брандмауэр - это система или комбинация систем, позволяющие разделить
сеть на две или более частей и реализовать набор правил, определяющих условия
прохождения пакетов из одной части в другую (рисунок 1.2). Как правило, эта
граница проводится между локальной сетью предприятия, хотя ее можно провести и
внутри. В результате брандмауэр пропускает через себя весь трафик и для каждого
проходящего пакета принимает решение пропускать его или отбросить. Для того
чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор
правил.
Рисунок
1.2 - Структура организации межсетевого экрана
Обычно брандмауэры функционируют на какой-либо UNIX-платформе - чаще всего это BSDI, Linux, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, Windows NT, а из аппаратных платформ Intel, Mips Rxxxx, SPARC, RS6000, Alpha, PA-RISC. Помимо Ethernet многие брандмауэры поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, а также
различные последовательные устройства. Требования к оперативной памяти и объему
жесткого диска зависят от количества машин в защищаемом сегменте сети, но чаще
всего рекомендуется иметь не менее 32 Мбайт ОЗУ и 500 Мбайт на диске.
Как правило, в операционную систему, под управлением которой работает
брандмауэр, вносятся изменения, цель которых - повышение защиты самого
брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы
конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей,
а следовательно, и потенциальных дыр - только раздел администратора. Некоторые
брандмауэры работают только в однопользовательском режиме, а многие имеют
систему проверки целостности программных кодов. При этом контрольные суммы
программных кодов хранятся в защищенном месте и сравниваются при старте
программы во избежание подмены программного обеспечения.
Все брандмауэры можно разделить на три типа:
серверы прикладного уровня (application gateways);
серверы уровня соединения (circuit gateways).
Все типы могут одновременно встретиться в одном брандмауэре. Брандмауэры
с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить,
просматривая в заголовке этого пакета все IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта - это информация соответственно сетевого и
транспортного уровней, но пакетные фильтры используют и информацию прикладного
уровня (все стандартные сервисы в TCP/IP ассоциируются с определенным номером
порта).
Брандмауэры серверов прикладного уровня используют серверы конкретных
сервисов - TELNET, FTP, прокси-сервер и т.д., запускаемые на брандмауэре и
пропускающие через себя весь трафик, относящийся к данному сервису. Таким
образом, между клиентом и сервером образуются два соединения: от клиента до
брандмауэра и от брандмауэра до места назначения.
Полный набор поддерживаемых серверов различается для каждого конкретного
брандмауэра, однако чаще всего встречаются серверы для следующих сервисов:
терминалы (Telnet, Rlogin), передача файлов (Ftp), электронная почта (SMTP, POP3),
WWW (HTTP), Gopher,
Wais, X Window System (X11),
Принтер, Rsh, Finger, новости (NNTP) и т.д.
Использование серверов прикладного уровня позволяет решить важную задачу
- скрыть от внешних пользователей структуру локальной сети, включая информацию
в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством
является возможность аутентификации - подтверждения действительно ли
пользователь является тем, за кого он себя выдает.
При описании правил доступа используются такие параметры, как название
сервиса, имя пользователя, допустимый период времени использования сервиса,
компьютеры, с которых можно обращаться к сервису, схемы аутентификации. Серверы
протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень
защиты - взаимодействие с внешним миром реализуется через небольшое число
прикладных программ, полностью контролирующих весь входящий и выходящий трафик.
Сервер уровня соединения представляет собой транслятор TCP-соединения. Пользователь
устанавливает соединение с определенным портом на брандмауэре, который
производит соединение с местом назначения по другую от себя сторону. Во время
сеанса этот транслятор копирует байты в обоих направлениях, действуя как
провод. Как правило, пункт назначения задается заранее, в то время как
источников может быть много - соединение типа "один - много".
Используя различные порты, можно создавать различные конфигурации. Данный тип
сервера позволяет создавать транслятор для любого, определенного пользователем
сервиса, базирующегося на TCP,
осуществлять контроль доступа к этому сервису и сбор статистики по его
использованию.
Приведем основные преимущества и недостатки пакетных фильтров и серверов
прикладного уровня.
К положительным качествам пакетных фильтров следует отнести следующие:
гибкость в определении правил фильтрации;
небольшая задержка при прохождении пакетов.
Недостатки у данного типа брандмауэров следующие:
локальная сеть видна (маршрутизируется) из Internet;
правила фильтрации пакетов трудны в описании, поэтому требуются очень -
хорошие знания технологий TCP и UDP;
при нарушении работоспособности брандмауэра все компьютеры за ним
становятся полностью незащищенными либо недоступными;
аутентификацию с использованием IP-адреса можно обмануть при помощи IP-спуфинга, когда атакующая система выдает себя за другую,
используя ее IP-адрес;
отсутствует аутентификация на пользовательском уровне.
К преимуществам серверов прикладного уровня следует отнести следующие:
локальная сеть невидима из Internet;
при нарушении работоспособности брандмауэра пакеты перестают проходить
через брандмауэр, тем самым не возникает угрозы для защищаемых им машин;
защита на уровне приложений позволяет осуществлять большое количество
дополнительных проверок, снижа
Дипломная (ВКР). Информационное обеспечение, программирование.
Массаж При Остеохондрозе Реферат
Английский 2 Класс Контрольные Работы Скачать
Дипломная работа по теме Разработка учебно-методического обеспечения по дисциплине "История костюма и моды"
Реферат: Стрекозы
Реферат: Марокко - сказочная страна. Скачать бесплатно и без регистрации
Курсовая Анализ Оао
Английский 3 Класс Контрольная Работа Модуль 1
Контрольная Работа Английский 7 Класс 1 Четверть
Итоговая Контрольная Работа 8 Класс Человек
Курсовая работа: Шляхи зниження собівартості виробництва молока (на прикладі сільськогосподарського товариства з обмеженою відповідальністю "Агрофірма "Зоря" Оржицького району Полтавської області)
Реферат: Отчет о прохождении экономико-управленческой практики в ООО Дискаунт Травел г. Минск
Практическая Работа На Тему Производство И Механическая Обработка Заготовок
Курсовая работа: Экономические циклы: сущность, классификация, особенности развития
Биология 5 Класс Реферат
Как Начать Эссе По Русскому Языку
Курсовая работа по теме Підсилювач вертикального відхилення осцилографа
Контрольные Работы Аттестация 7 Класс
Точность И Логичность Речи Реферат
Дипломная Работа На Тему Инфаркт Миокарда
Из Чего Состоит Эссе По Обществознанию
Реферат: Summary Of Kant
Отчет по практике: Изучение процесса управления в организации
Реферат: Релігія філософія наука мораль політика право та ін як форми суспільної свідомості