1.2 Основные схемы подключения МЭ
При подключении корпоративной сети к глобальным сетям необходимо разграничить доступ в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть, а также обеспечить защиту подключаемой сети от удаленного НСД со стороны глобальной сети. При этом организация заинтересована в сокрытии информации о структуре своей сети и ее компонентов от пользователей глобальной сети. Работа с удаленными пользователями требует установления жестких ограничений доступа к информационным ресурсам защищаемой сети.
Часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями защищенности:
· свободно доступные сегменты (например, рекламный WWW-сервер);
· сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов);
· закрытые сегменты (например, финансовая локальная подсеть организации).
Для подключения МЭ могут использоваться различные схемы, которые зависят от условий функционирования защищаемой сети, а также от количества сетевых интерфейсов и других характеристик, используемых МЭ. Широкое распространение получили схемы:
· защиты сети с использованием экранирующего маршрутизатора;
единой защиты локальной сети;
· единой защиты локальной сети;
· с защищаемой закрытой и не защищаемой открытой подсетями;
· с раздельной защитой закрытой и открытой подсетей.
Рассмотрим подробнее схему с защищаемой закрытой и незащищаемой открытой подсетями. Если в составе локальной сети имеются общедоступные открытые серверы, то их целесообразно вынести как открытую подсеть до МЭ (рисунок 1).
Этот способ обладает высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до МЭ.
Некоторые МЭ позволяют разместить эти серверы на себе. Однако такое решение не является лучшим с точки зрения безопасности самого МЭ и загрузки компьютера. Схему подключения МЭ с защищаемой закрытой подсетью и не защищаемой открытой подсетью целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети.
Если же к безопасности открытых серверов предъявляются повышенные требования, тогда необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.
Глобальная международная компьютерная сеть Интернет
Основу Интернет составляют каналы большой пропускной способности - backbones, связывающие крупные узлы сети. Существует два основных способа подключения пользователя к сети Интернет: ? постоянное подключение по выделенной линии...
Использование SQL в прикладном программировании
Попав на сайт, пользователь может зарегистрироваться или авторизоваться. Если пользователь попытается подписаться на рассылку без авторизации, то всплывет модальное окно с приглашением войти на сайт...
Исследование организации сети доступа малого предприятия к сети Интернет
Автоматизированное рабочее место (АРМ) можно подключить к глобальной сети различными способами: Подключение второго компьютера к Интернет через роутер Если в офисе имеется стационарный компьютер и был приобретен второй стационарный...
Типичная схема подключения кварцевого резонатора от 3 до 20 МГц к микроконтроллеру AT91SAM7SE приведена на рис. 4. Рис. 4...
Комбинированное звуковое USB-устройство с функциями автономного MP3-плеера и поддержкой Bluetooth
Комбинированное звуковое USB-устройство с функциями автономного MP3-плеера и поддержкой Bluetooth
Питание для F2M03MLA должно выбираться тщательно и может повлиять на уменьшение производительности модуля или даже повредить его. Производитель рекомендует использовать регулятор напряжения XC6209B332MR фирмы Torex...
Основные схемы сетевой защиты на базе межсетевых экранов
При подключении корпоративной или локальной сети к глобальным сетям необходимы: · защита корпоративной или локальной сети от удаленного НСД со стороны глобальной сети; · сокрытие информации о структуре сети и ее компонентов от пользователей...
Проектирование комбинационных схем
Комбинационной схемой (КС) называется схема из логических (переключательных) элементов, реализующая булеву функцию или совокупность булевых функций. В общем случае КС можно представить схемой, приведенной на рис. 1, где х1, х2,....хn -- входы КС, f1, f2,....
Проектирование микропроцессорной системы управления
На рисунке 2.10 приведена схема подключения динамика BA1 для звуковой сигнализации. Транзистор VT1 усиливает по току выходной сигнал с линии RC0 порта. Рисунок 2.10 - Схема подключения аварийного датчика На рисунке 2...
Разработка и реализация вычислительного устройства в программе "Minecraft"
Логические элементы (в майнкрафте они почему-то называются гейты или вентили) являются основой всех механизмов. Элемент NOT (инвертор) возвращает сигнал, противоположный полученному. Это реализация логического НЕ. Рис. 4. Инвертор...
Разработка контроллера для манипулятора-указателя трекбола
Сложность питания оптопары заключается в том, что от +5V нужно питать фотодиод, на который подается +2,5V. Следовательно, нужно добавить два резистора (R4 и R5), чтобы получить делитель напряжения, на них было нужное нам падение напряжения. Рис...
Связь с помощью сетей телекоммуникации
Спутниковый канал. Достаточно высокая скорость работы, мобильность. Для такого подключения необходимо дорогостоящее оборудование и сложная настройка, высокая цена аренды канала, зависимость от погодных условий...
Системы управления базой данных на предприятии
В отделе ПО установлены машины класса Pentium IV с процессорами Intel Pentium 2.6 и Intel Celeron 1.7 Такие компьютеры используются для сложных вычислений, написания программ, обработки информации. Периферийные устройства состоят из плоттера, лазерного принтера...
Техническое обслуживание многофункциональных устройств
Подключение МФУ к сети изображено на рисунке 3 Рисунок 3 - Подключение МФУ к сети Если подключение осуществляется без сети, то подключение производится без маршрутизатора. Это используется...
Удаленное управление компьютером с мобильного устройства
Перед запуском пульта необходимо убедиться, что присутствует доступ в сеть(WiFi или GRPS, в зависимости от личных предпочтений). При запуске приложения вы увидите следующий экран (Рисунок 4.5): Размещено на http://www.allbest.ru/ Размещено на http://www.allbest...
анализ и фильтрацию проходящих через него сетевых пакетов. В зависимости от установленных правил, МЭ пропускает или уничтожает пакеты, разрешая или запрещая таким образом сетевые соединения. МЭ является классическим средством защиты периметра компьютерной сети: он устанавливается на границе между внутренней (защищаемой) и внешней (потенциально опасной) сетями и контролирует соединения между узлами этих сетей. Но бывают и другие схемы подключения, которые будут рассмотрены ниже.Английский термин, используемый для обозначения МЭ - firewall . Поэтому в литературе межсетевые экраны иногда также называют файервол или брандмауэр (немецкий термин, аналог firewall ).
Как уже было отмечено, фильтрация производится на основании правил. Наиболее безопасным при формировании правил для МЭ считается подход "запрещено все, что явно не разрешено". В этом случае, сетевой пакет проверяется на соответствие разрешающим правилам, а если таковых не найдется - отбрасывается. Но в некоторых случаях применяется и обратный принцип: "разрешено все, что явно не запрещено". Тогда проверка производится на соответствие запрещающим правилам и, если таких не будет найдено, пакет будет пропущен.
Фильтрацию можно производить на разных уровнях эталонной модели сетевого взаимодействия OSI . По этому признаку МЭ делятся на следующие классы [ , ]:
- экранирующий маршрутизатор;
- экранирующий транспорт (шлюз сеансового уровня);
- экранирующий шлюз (шлюз прикладного уровня).
Экранирующий маршрутизатор (или пакетный фильтр ) функционирует на сетевом уровне модели OSI , но для выполнения проверок может использовать информацию и из заголовков протоколов транспортного уровня. Соответственно, фильтрация может производиться по ip-адресам отправителя и получателя и по ТСР и UDP портам. Такие МЭ отличает высокая производительность и относительная простота - функциональностью пакетных фильтров обладают сейчас даже наиболее простые и недорогие аппаратные маршрутизаторы. В то же время, они не защищают от многих атак, например, связанных с подменой участников соединений.
Шлюз сеансового уровня работает на сеансовом уровне модели OSI и также может контролировать информацию сетевого и транспортного уровней. Соответственно, в дополнение к перечисленным выше возможностям, подобный МЭ может контролировать процесс установки соединения и проводить проверку проходящих пакетов на принадлежность разрешенным соединениям.
Шлюз прикладного уровня может анализировать пакеты на всех уровнях модели OSI от сетевого до прикладного, что обеспечивает наиболее высокий уровень защиты. В дополнение к ранее перечисленным, появляются такие возможности, как аутентификация пользователей, анализ команд протоколов прикладного уровня, проверка передаваемых данных (на наличие компьютерных вирусов, соответствие политике безопасности ) и т.д.
Рассмотрим теперь вопросы, связанные с установкой МЭ. На рис. 6.1 представлены типовые схемы подключения МЭ. В первом случае ( рис. 6.1), МЭ устанавливается после маршрутизатора и защищает всю внутреннюю сеть . Такая схема применяется, если требования в области защиты от несанкционированного межсетевого доступа примерно одинаковы для всех узлов внутренней сети. Например, "разрешать соединения, устанавливаемые из внутренней сети во внешнюю, и пресекать попытки подключения из внешней сети во внутреннюю". В том случае, если требования для разных узлов различны (например, нужно разместить почтовый сервер , к которому могут подключаться "извне"), подобная схема установки межсетевого экрана не является достаточно безопасной. Если в нашем примере нарушитель, в результате реализации сетевой атаки, получит контроль над указанным почтовым сервером, через него он может получить доступ и к другим узлам внутренней сети.
В подобных случаях иногда перед МЭ создается открытый сегмент сети предприятия (6.1b), а МЭ защищает остальную внутреннюю сеть . Недостаток данной схемы заключается в том, что подключения к узлам открытого сегмента МЭ не контролирует.
Более предпочтительным в данном случае является использование МЭ с тремя сетевыми интерфейсами (6.1c). В этом случае, МЭ конфигурируется таким образом, чтобы правила доступа во внутреннюю сеть были более строгими, чем в открытый сегмент. В то же время, и те, и другие соединения могут контролироваться МЭ. Открытый сегмент в этом случае иногда называется "демилитаризованной зоной" - DMZ .
Еще более надежной считается схема, в которой для защиты сети с DMZ задействуются два независимо конфигурируемых МЭ (6.1d). В этом случае, MЭ 2 реализует более жесткий набор правил фильтрации по сравнению с МЭ1. И даже успешная атака на первый МЭ не сделает внутреннюю сеть беззащитной.
В последнее время стал широко использоваться вариант установки программного МЭ непосредственно на защищаемый компьютер . Иногда такой МЭ называют "персональным". Подобная схема позволяет защититься от угроз исходящих не только из внешней сети, но из внутренней.
МЭ - это комплекс аппаратных и программных средств в комп сети, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Осн задача - защита сети или отдельных её узлов от НСД.
Функциональные требования к МЭ: треб к фильтрации на сетевом и прикладном уровнях, по настройке правил фил-ции; треб к серверам средствам сетевой аутент; треб по администрированию и внедрению журналов/учёту.
Эффективность защиты внутренней сети с помощью МЭ зависит от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, от рациональности выбора и исп основных компонентов МЭ.
Существуют два основных типа МЭ: прикладного ур и с пакетной фильтрацией, кот обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещенного трафика.
МЭ прикладного уровня (прокси-экраны) - программные пакеты, базирующиеся на ОС общего назначения (Windows и Unix) или на аппаратной платформе МЭ. В таком МЭ каждому разрешаемому протоколу д соотв свой собственный модуль доступа. При использовании данного МЭ все соединения проходят через него.
МЭ принимает соединение, анализирует содержимое пакета и используемый протокол, определяет, соотве ли данный трафик правилам политики безопасности.
Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю®защищает системы от атак, выполняемых посредством приложений. Такие МЭ содержат модули доступа для наиб часто используемых протоколов: HTTP, SMTP, FTP и telnet. Некоторые модули доступа могут отсутствовать, что запрещает конкретному протоколу использоваться для соединения через МЭ.
МЭ с пакетной фильтрацией
м б программными пакетами, базирующимися на ОС общего назначения либо на аппаратных платформах МЭ. Правила политики усиливаются посредством исп фильтров пакетов, которые изучают пакеты и определяют, является ли трафик разрешенным, согласно правилам политики и состоянию протокола (проверка с учетом состояния). При исп такого МЭ соединения не прерываются на МЭ, а направляются непосредственно к конечной системе. При поступлении пакетов МЭ выясняет, разрешен ли данный пакет и состояние соединения правилами политики. Если да, пакет передается по своему маршруту, иначе, пакет отклоняется или аннулируется. Не исп модули доступа для каждого протокола ® м исп-ся с любым протоколом, работающим через IP. В основном, МЭ с фильтрацией пакетов имеют возможность поддержки большего объема трафика, т. к. в них отсутствует нагрузка, создаваемая дополнительными процедурами настройки и вычисления, имеющими место в программных модулях доступа.
Гибридные МЭ.
Производители МЭ приклад уровня, из-за быстрого развития IT, пришли к выводу, что необх разработать метод поддержки протоколов, для которых не существует определенных модулей доступа ® технология модуля доступа GSP. GSP обеспечивает работу МЭ прикладного ур в качестве экранов с пакетной фильтра-цией. Сегодня фактически невозможно найти МЭ, функционирование кот построено исключ на прикладном ур или фильтрации пакетов, т.к. оно позволяет администраторам, отвеч за безопасность, настраивать устройство для работы в конкретных условиях.
Для подключения МЭ используются различные схемы. МЭ м исп-ся в качестве внешнего роутера, используя поддерживаемые типы устройств для подключения к внешней сети.
Иногда исп-ся схема, но пользоваться ей следует только в крайнем случае, т.к. требуется очень аккуратная настройка роутеров и небольшие ошибки м образовать серьезные дыры в защите.
Чаще всего подключение осуществляется через внешний маршрутизатор, поддерживающий два Ethernet интерфейса (две сетевые карточки в одном комп).
Между внешним роутером и брандмауэром имеется только один путь, по кот идет весь трафик. Роутер настраивается так, что брандмауэр является единственной видимой снаружи машиной. Схема наиб предпочтительна с точки зрения безопасности и надежности защиты.
При МЭ защищается только одна подсеть из нескольких выходящих из роутера. В незащищаемой МЭ области часто располагают серверы, которые д б видимы снаружи (WWW, FTP и т.д.).
Существуют решения, которые позволяют организовать для серверов, которые д б видимы снаружи, третью сеть; это позволяет обеспечить контроль за доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.
Для уровня защищенности исп в одной сети несколько брандмауэров, стоящих друг за другом.