Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Основні вимоги до сучасних міжмережевих екранів. Базові технології міжмережевих екранів. (2 години).
Брандмауэр -это подход к безопасности. Он способствует полной безопасности. Брандмауэр представляет собой систему или комбинацию систем, позволяющих разделить сеть на 2 или более частей и реализовать набор правил, определяющих условие прохождения ролей из одной части в другую. Задача защитить внутренние ресурсы от внешних атак. Основная цель Б - управление доступам к внеш. Ат. Он вынуждает проходить все соединения с сетью сер.Б. Схема Откр. внеш. сеть
Функции Брандмауэр Брандмауэр решает две основные задачи: 1) Ограничение доступа внешних (о отношению от защищ. сети)к внутреннему ресурсу сети. 2) Разграничение доступа пользователя защищенной сети к внешним ресурсам. Классификация Брандмауэр (до сих пор не существует четкой классификации) По функциям по уровням модели OSI: - пакетный фильтр (экранизирующий маршр. SCRINING router) - шлюз сеансового уровня (экранизирующий транспорт) - прикладной шлюз(application gateway) - шлюз экспортного уровня (state full inspection firewall) По используемой технологии: - контроль состояния протокола(state full inspection) - на основе модулей посредников (proxy) По исполнению: - аппаратно-программный - программный По схеме подключения: - схема единой защиты сети; - схема защищаемыми закрытыми и не защищаемыми открытыми сегментами сети; - схема с раздельной защитой открытого и закрытого сегмента сети. Фильтрация трафика Что такое фильтр – выборочное пропускание информационных потоков через экран, возможен, с выполнением некоторых преобразований. Фильтрация происходит (осуществляется) на основе набора предварительно загруженных в экран правил соответствующих принятой пол. безопасности. Поэтому МЭ удобно представлять как последовательность фильтров, обработки информации.
Каждый из фильтров предназначен для отдельных правил фильтрации путем выполнения следующих действий: 1) Анализ информации по заданным интерпретируемых правилах критериям направлениям: (адрес получ. отправителям) 2) Принятие на основе интерпретируемых одного из следующих решений: - не пропустить данные - обрабатывать данные от имени получателя и возвратить результат отправителю - передать данные на следующий фильтр для продолжения анализа - пропустить данные, игнорируя следующие фильтры
Правила фильтр. Могут задать и дополнительные действия, которые относятся к функциям посредничествам,направленных (преобразование данных, регистр событий) соответственно правила фильтрации определяют перечень условий, по которым осуществляется: - разрешение или запрешение дальнейшей передачи данных - выполнение дополнительных защитных функций. В качетсве критерием анализа информационного потока используются следующие параметры: - служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные - непосредственное содержимое пакетов сообщений проверяемое, например, на наличие компьютерных вирусов - внешние характеристики потока информации, направление временные частотные характеристики, объем данных. Итог:в общем случае чем выше уровень модель OSI на котором FIRE WALL фильтрует пакеты, тем выше и обеспечиваемый им. Уровень защиты. Выполнение функции посредничества Функция посредничества FIRE WALL выполняется с помощью специальных программ, называемых экранизирующими агентами или программными -посредник. Данные программы являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренне й сетью Пример: FIRE WALL может выполнять функции фильтрации без применения программ- посредников, обеспечивая прозрачное взаимодействие между внутренней и внешней средой. Программы-посредники выполняют следующие функции: - проверку подлинности передаваемых данных (ЭЦП) -фильтрацию и преобразование потоков сообщений (шифров) - разграничение доступа к ресурсам внутренней и внешней сети - копирование данных - идентификацию и аутентификацию данных - трансляцию внутренних сетевых адресов - регистрация событий, реагирование, анализ и генерация отчетов Квалификация по модели OSI - экранирующий маршрутизатор (пакетный фильтр)предназначен для фильтраций пакетов сообщений и обеспечивает прозрачное взаимодействие между внутренней и внешней. Он функционирует на сетевом уровне модели OSI, может также охватывать и транспорт. Уровень.
Решение пропустить или отбраковать данные принимается для каждого пакета независимо на основе заданного правила фильтрации. Для принятия решений анализируется заголовкам межсетевого и транспортного уровней. Поля IP TCP /UDР заголовок которые используют - адрес отправителя - адрес получателя IP - тип пакета - флаг фрагментации - номер порта источника TCP или UDР - номер порта получателя Достоинства: 1) простота реализации 2) высокая производительность 3) прозрачность для программ приложений 4) невысокая стоимость Недостатки: 1) невысокая степень безопасности так как проверяют только заголовки пакетов (не поддерживает аутентификацию), криптограмма закрытия, а также проверку подлинности и целостности 2) уязвимо для такой атаки как подмена исходящих адресов и несанкционированная изменение содержимого пакета 3) службы RPC выбирают порт в процессе загрузки 4) сложность настройки фильтров Вывод: низкая стоимость - слабая защита. Лекция 9
|
|||||||||
Последнее изменение этой страницы: 2016-12-30; просмотров: 104; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.149.233.6 (0.009 с.) |