Основы построения и технологии локальных компьютерных сетей


Лекция №10. Экранирование и межсетевые экраны



Pdf көрінісі
бет16/24
Дата07.01.2022
өлшемі0,74 Mb.
#19409
түріКонспект
1   ...   12   13   14   15   16   17   18   19   ...   24
Байланысты:
kt 2

Лекция №10. Экранирование и межсетевые экраны 

 

Цель лекций: углубить и закрепить знания студентов в области сетевой 

безопасности.  Ознакомить  с  принципами  экранирования  и  функциями 

межсетевого экрана. 

 

Экранирование и межсетевые экраны. 

Основные понятия. 

Межсетевой 

экран 


(МЭ) 

представляет 

собой 

локальное 



(однокомпонентное) 

или 


функционально-распределенное 

средство 

(комплекс), реализующее контроль за информацией, поступающей в АС и/или 

выходящей  из  АС,  и  обеспечивает  защиту  АС  посредством  фильтрации 

информации,  то  есть  ее  анализа  по  совокупности  критериев  и  принятия 

решения о ее распространении в (из) АС. 

Мы  будем  использовать  понятия  межсетевой  экран  (МЭ),  брандмауэр, 

firewall, шлюз с установленным дополнительным программным обеспечением 

firewall, как эквивалентные. 

Формальная  постановка  задачи  экранирования,  состоит  в  следующем. 

Пусть имеется два множества информационных систем. Экран – это средство 

разграничения доступа клиентов из одного множества к серверам из другого 

множества.  Экран  осуществляет  свои  функции,  контролируя  все 

информационные  потоки  между  двумя  множествами  систем  (рисунок  8.1). 

Контроль  потоков  состоит  в  их  фильтрации,  возможно,  с  выполнением 

некоторых преобразований. 

 

  

Рисунок 8.1 - Экран как средство разграничения доступа 



 

На следующем уровне детализации экран (полупроницаемую мембрану) 

удобно представлять как последовательность фильтров. Каждый из фильтров, 



 

 

 



 

38 


проанализировав  данные,  может  задержать  (не  пропустить)  их,  а  может  и 

сразу  «перебросить»  за  экран.  Кроме  того,  допускается  преобразование 

данных,  передача  порции  данных  на  следующий  фильтр  для  продолжения 

анализа  или  обработка  данных  от  имени  адресата  и  возврат  результата 

отправителю (рисунок 8.2). 

  

Рисунок 8.2 - Экран как последовательность фильтров 



 

Помимо  функций  разграничения  доступа,  экраны  осуществляют 

протоколирование обмена информацией. 

Межсетевой  экран  располагается  между  защищаемой  (внутренней) 

сетью  и  внешней  средой  (внешними  сетями  или  другими  сегментами 

корпоративной сети). В первом случае говорят о внешнем МЭ, во втором – о 

внутреннем. Межсетевой  экран  –  идеальное  место  для  встраивания  средств 

активного  аудита.  МЭ  способен  реализовать  сколь  угодно  мощную  реакцию 

на подозрительную активность, вплоть до разрыва связи с внешней средой. 

На 


межсетевой 

экран 


целесообразно 

возложить 

идентификацию/аутентификацию  внешних  пользователей,  нуждающихся  в 

доступе к корпоративным ресурсам (с поддержкой концепции единого входа в 

сеть). 

Принципы работы межсетевых экранов. 

Существует  два  основных  способа  создания  наборов  правил 

межсетевого  экрана:  «включающий'»  и  «исключающий».  Исключающий 

межсетевой  экран  позволяет  прохождение  всего  трафика,  за  исключением 

трафика,  соответствующего  набору  правил.  Включающий  межсетевой  экран 

действует  прямо  противоположным  образом.  Он  пропускает  только  трафик, 

соответствующий правилам и блокирует все остальное. 

Включающие  межсетевые  экраны  обычно  более  безопасны,  чем 

исключающие,  поскольку  они  существенно  уменьшают  риск  пропуска 

межсетевым экраном нежелательного трафика. 

Безопасность  может  быть  дополнительно  повышена  с  использованием 

«межсетевого  экрана  с  сохранением  состояния».  Такой  межсетевой  экран 

сохраняет информацию об открытых соединениях и разрешает только трафик 

через  открытые  соединения  или  открытие  новых  соединений.  Недостаток 

межсетевого  экрана  с  сохранением  состояния  в  том,  что  он  может  быть 

уязвим  для  атак  DoS  (Denial  of  Service,  отказ  в  обслуживании),  если 

множество  новых  соединений  открывается  очень  быстро.  Большинство 

межсетевых  экранов  позволяют  комбинировать  поведение  с  сохранением 




 

 

 



 

39 


состояния  и  без  сохранения  состояния,  что  оптимально  для  реальных 

применений. 

 



Достарыңызбен бөлісу:
1   ...   12   13   14   15   16   17   18   19   ...   24




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет