Сравнение аппаратных и программных межсетевых экранов

Для сравнения межсетевых экранов разделим их на два типа:

· 1-й – аппаратные и программно-аппаратные

· 2-й – программные

К аппаратным и программно-аппаратным межсетевым экранам относятся устройства, установленные на границе сети. Программные межсетевые экраны – это те, которые установлены на конечных хостах.

Основные направления, присущие и первому, и второму типам:

· обеспечение безопасности входящего и исходящего трафика;

· значительное увеличение безопасности сети и уменьшение риска для хостов подсети при фильтрации заведомо незащищенных служб;

· возможность контроля доступом к системам сети;

· уведомление о событиях с помощью соответствующих сигналов тревоги, которые срабатывают при возникновении какой-либо подозрительной деятельности (попытки зондирования или атаки);

· обеспечение недорогого, простого в реализации и управлении решения безопасности.

Аппаратные и программно-аппаратные межсетевые экраны дополнительно поддерживают функционал, который позволяет:

· препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб;

· регистрировать попытки доступа и предоставлять необходимую статистику об использовании Интернет;

· предоставлять средства регламентирования порядка доступа к сети;

· обеспечивать централизованное управление трафиком.

Программные межсетевые экраны, кроме основных направлений, позволяют:

· контролировать запуск приложений на том хосте, где установлены;

· защищать объект от проникновения через «люки» (back doors);

· обеспечивать защиту от внутренних угроз.

Межсетевой экран не является симметричным устройством. Он различает понятия: «снаружи» и «внутри». Межсетевой экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды. В то же время межсетевой экран позволяет разграничить доступ к объектам общедоступной сети со стороны субъектов защищенной сети. При нарушении полномочий работа субъекта доступа блокируется, и вся необходимая информация записывается в журнал.

Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей. Если в локальной сети имеются подсети с различной степенью конфиденциальности информации, то такие фрагменты целесообразно отделять межсетевыми экранами. В этом случае экраны называют внутренними.

 

Маршрутизация осуществляется на сетевом уровне OSI, который отвечает за обеспечение связи между любыми хостами в сети. Маршрутизирующие устройства (например, Интернет-маршрутизаторы или межсетевые экраны) объединяют отдельные сети в общую составную сеть. В сложных составных сетях почти всегда существует несколько альтернативных маршрутов для передачи пакетов между конечными хостами. Задачу выбора маршрутов из нескольких возможных решают маршрутизирующие устройства. Правильно выбранная структура сети и настроенная в соответствии с ней маршрутизация гарантируют, что отправленный по сети пакет будет доставлен по назначению.

Что же такое «маршрутизация»?

Маршрутизация (Routing) – процесс определения в коммуникационной сети (наилучшего) пути, по которому пакет может достигнуть адресата или, точнее – это набор правил, определяющих маршрут следования информации в сетях связи. Любые сетевые пакеты направляются в соответствии с набором правил – таблиц маршрутизации. Как правило, маршрутизация сводится к выбору интерфейса и следующего транзитного хоста при следовании пакета между сетями.

Маршрут – это путь, который должен пройти пакет от отправителя до точки назначения через маршрутизирующие устройства.
Маршрутизирующее устройство выбирает маршрут на основании информации о текущей конфигурации сети и соответствующего критерия выбора маршрута. Обычно в качестве критерия выступает метрика, которая отражает приоритет маршрута (наилучший маршрут). При определении наилучшего маршрута и назначения метрики рассматриваются следующие характеристики: время прохождения маршрута, которое в локальных сетях совпадает с длиной маршрута, измеряемой в количестве пройденных узлов маршрутизации; надежность и пропускная способность канала связи; время передачи пакета по каждой линии связи; нагрузка сетевого ресурса.

Маршрутизация может осуществляться статическим или динамическим способом.

Алгоритмы статической маршрутизации представляют таблицы, составленные сетевым администратором. Содержимое этих таблиц может быть изменено только сетевым администратором.

Итак, статическая маршрутизация (Static routing) – это метод маршрутизации в сетях с коммутацией пакетов, при котором данные передаются по заданному пути. При конфигурировании таблиц маршрутизации должны быть указаны все взаимосвязи между логическими сетями, которые остаются неизменными.

Динамическая маршрутизация предполагает, что маршрутизирующее устройство может автоматически определять новые пути либо модифицировать информацию о существующих путях.

Динамическая маршрутизация (Dynamic routing) – это метод выбора маршрута в сетях с коммутацией каналов, учитывающий динамическое состояние выходных каналов хоста (локальная маршрутизация) или сети (глобальная маршрутизация). Алгоритмы динамической маршрутизации адаптируются к изменениям сетевой обстановки, анализируя поступающие сообщения об обновлении маршрутов и используя при этом протоколы маршрутизации такие, как RIP (Routing Information Protocol), OSPF (Open Shortest Path First), BGP (Border GatewayProtocol).

 

DHCP И DNS Сервисы

DHCP (Dynamic Host Configuration Protocol – протокол динамической конфигурации узла) – это сетевой протокол, позволяющий хостам автоматически получать IP-адреса и другие параметры, необходимые для работы в сети TCP/IP. Эти адреса выбираются из предопределенного пула IP-адресов, который управляется сервером DHCP. Данный протокол работает по модели «клиент – сервер». Для автоматической конфигурации хост-клиент (DHCP-клиент) на этапе конфигурации сетевого устройства обращается к DHCP-серверу и получает от него нужные параметры (например: IP-адрес, имя домена, период аренды IP-адреса). Чтобы адрес не «простаивал», DHCP-сервер предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора DHCP-клиент запрашивает его возобновление, и DHCP-сервер продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес, арендный договор истекает, и адрес возвращается в пул адресов для повторного использования.

В состав системы NetDefendOS включена функция DHCP-клиент (DHCP Client), которая отвечает за динамическое получение адреса от DHCP-сервера (например, в случае подключения к Интернет-провайдеру по DHCP). Используя данную функцию, можно получить IP-адрес интерфейса, адрес локальной сети, к которой относится данный интерфейс, IP-адрес шлюза по умолчанию и IP-адреса DNS-серверов.

Опция DHCP Client может быть включена или отключена администратором в свойствах интерфейса. По умолчанию это свойство отключено на всех Ethernet-интерфейсах, за исключением WAN1-порта (илиWAN-порта, в зависимости от модели).

Если функция DHCP-клиент активирована на каком-либо ethernet-интерфейсе, то IP-адресация, относящая к данному интерфейсу (IP-адрес интерфейса/адрес сети/ IP-адреса шлюза и DNS), не может быть изменена или удалена. Для изменения этих адресов необходимо отключить опцию DHCP Client.

DHCP-сервер в межсетевых экранах NetDefend.

Как уже упоминалось выше, DHCP-сервер распределяет IP-адреса из определенного пула IP-адресов и управляет ими. В системе NetDеfendOSa DHCP-серверы не ограничены использованием одного диапазона IP-адресов, а могут применять любой диапазон IP-адресов, который определен как объект IP-адрес.

В NetDеfendOS администратор имеет возможность настроить один или несколько логических DHCP-серверов. Фильтрация запросов DHCP-клиентов к разным DHCP-серверам зависит от двух параметров:

· Интерфейс (Interface)

Каждый интерфейс в системе NetDеfendOS может иметь, по крайней мере, один логический одиночный DHCP-сервер. Другими словами, NetDеfendOS может предоставить DHCP-клиентам IP-адреса из разных диапазонов в зависимости от интерфейса клиента.

· IP-адрес ретранслятора (Relayer IP)

IP-адрес ретранслятора, передаваемый в IP-пакете, также используется для определения подходящего сервера. Значение по умолчанию all-nets (все сети) делает все IP-адреса допустимыми, и тогда выбор DHCP-сервера зависит только от интерфейса.

Список DHCP-серверов формируется по мере занесения в него новых строк. Когда в системе NetDеfendOS выбирается DHCP-сервер для обслуживания запроса клиента, поиск по списку осуществляется сверху вниз. Выбор падает на верхний по списку сервер, соответствующий комбинации параметров (интерфейс и IP-адрес устройства, выполняющего функцию DHCP Relay). Если совпадений в списке не найдено, запрос игнорируется.

DNS (Domain Name System – система доменных имён) – служба преобразования текстового доменного имени в цифровой IP-адрес. Например, текстовое имя поискового сервера yandex.ru соответствует IP-адресу 213.180.204.11, а сервера dlink.ru > 213.234.241.211. Доменные имена, также как и IP-адреса одной сети, уникальны, т.е. в глобальной сети нет двух одинаковых доменных имен.

DNS – это сеть серверов с базами данных, распределенная в сети Интернет. Все серверы связаны между собой, и при поступлении запроса на расшифровку и невозможности по какой-либо причине определить его самостоятельно, сервер передает этот другим подобным серверам по специально разработанным схемам до тех пор, пока доменное имя не будет переведено в IP-адрес.

Для выполнения DNS-решений в системе NetDefendOS предусмотрена встроенная опция DNS-клиент, которую можно настраивать на использование трех DNS-серверов: Primary Server (первый сервер),Secondary Server (второй сервер) и Tertiary Server (третий сервер). Для функционирования DNS необходимо настроить хотя бы Primary Server. Рекомендуется настраивать первый и второй серверы для непрерывной работы при отказе первичного сервера: