Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Межсетевые экраны экспертного уровняСодержание книги Поиск на нашем сайте
Включают в себя все вышерассмотренные типы МЭ за исключением управляемых коммутаторов.
Схемы подключения МЭ 1. Dual Homed Межсетевой экран в таком варианте подключения осуществляет физическое и логическое разделение двух сетей, принимая решение о возможности установления соединения между ними. 1.1. Демилитаризованная зона (ДМЗ) В некоторых случаях межсетевым экраном допускается использование нескольких сетевых адаптеров с установленными различными политиками безопасности. Для этого используется ДМЗ.
Как правило, в ДМЗ размещают службы, которые должны быть доступны и клиентам внешней сети, и клиентам защищаемой сети. Поскольку доступ к сервисам ДМЗ должен осуществляться из открытой сети, то в ДМЗ определяются менее жёсткие требования к сетевой безопасности, но достаточные для организации защиты от угроз. Если в сети используются группы пользователей с чётким разграничением доступных сервисов или различными уровнями конфиденциальности обрабатываемой информации, то межсетевой экран может контролировать сетевые потоки не только во внешние сети, но и между внутренними сегментами сети. Выделение ДМЗ, а также поддержка нескольких сетевых интерфейсов позволяет вести централизованное управление защитой сетевых ресурсов с различными принятыми политиками безопасности. Пример: Пусть имеется корпоративный web-сервер осуществляющий публикацию данных компании в корпоративной сети. Эти данные извлекаются web-сервером из внутреннего сервера баз данных. Доступ к серверу баз данных разрешён только во внутренней сети. Для обеспечения работы интерфейса web-системы управления базой данных необходимо разрешить доступ от web-сервера к серверу баз данных. Тогда при получении доступа к web-серверы мы запросто можем получить доступ к серверу баз данных. Выделение web-сервера в ДМЗ не только решает задачи защиты от внешних угроз, но и минимизирует возможность проникновения в локальную сеть.
1.2. Разрешение маршрутизации между сетевыми интерфейсами
В большинстве случаев маршрутизация разрешена между сетевыми интерфейсами на уровне операционной системы, при этом механизмы динамической и статической фильтрации управляются трафиком. В процессе загрузки/перезагрузки операционной системы существует короткий момент времени, в который сетевой стек с загруженным сервисом маршрутизации включен, а межсетевой экран с его правилами фильтрации ещё не загрузился.
1.3. Запрещение маршрутизации между сетевыми интерфейсами
При использовании межсетевым экраном только прикладных посредников необходимость в маршрутизации пакетов отсутствует. В этом случае прикладные посредники устанавливают посредничество между клиентом и сервером без поддержки маршрутизации со стороны ОС. При этом маршрутизацию между сетевыми интерфейсами можно запретить.
1.4. Межсетевой экран в локальной вычислительной сети Межсетевой экранможно использовать для сегментирования локальной вычислительной сети с целью повышения её уровня информационной безопасности и защиты отдельных сетевых сегментов. Сегментирование в локальной сети используется тогда: - когда в локальной сети присутствуют функциональные группы, обрабатывающие информацию с различным уровнем доступа, - когда необходимо осуществлять управляемый доступ к прикладным и служебным сервисах, - когда необходимо контролировать обмен информационными потоками между различными функциональными группами.
2. Экранирующий экран В отличие от межсетевого экранас несколькими интерфейсами, разделяющего две и более сетей, экранирующий экран (бастион хост) подключен только к внутренней сети и имеет один сетевой интерфейс. В такой схеме большое внимание уделяется настройке таблиц маршрутизации таким образом, чтобы весь входящий трафик отправлялся на интерфейс межсетевого экрана, а во внутренней сети в качестве шлюза был указан IP-адрес межсетевого экрана.
Конфигурация экранирующая подсеть добавляет дополнительный уровень безопасности в конфигурацию экранирующего экрана путём внесения сетевого сегмента для улучшения изоляции экранирующей сети.
Технологии МЭ 1. Сетевая трансляция адресов(NАT). При использовании NАT межсетевой экран выступает посредником между двумя IP-узлами, организую 2 канала передачи данных. При этом межсетевой экран использующий NАT взаимодействует с внешним IP-узлом от имени внутреннего, но использую свой IP-адрес. Типы IP-адресации локальных сетей:
NAT обеспечивает простую и надёжную защиту путём установления так называемой «однонаправленной маршрутизации», когда сетевые пакеты передаются через межсетевой экран только из внутренней сети. Сетевая трансляция адресов осуществляется в трёх режимах: - Динамический - Статический - Комбинированный. Различают также трансляцию адреса источника и трансляцию адреса назначения. NAT применяется в следующих случаях: 1. Политика безопасности требует скрытия внутреннего адресного пространства сети 2. Смена адресов хостов в сети невозможна 3. Необходимо подключить сеть с большим количеством хостов, но с ограниченным количеством статических IP-адресов
Динамическая трансляция При динамическом режиме, называемом трансляцией портов, межсетевой экран имеет один внешний адрес. Все обращения в общедоступную сеть со стороны клиента внутренней сети осуществляются с использованием этого адреса. Межсетевой экран при обращении клиента выделяет ему уникальный порт транспортного протокола для внешнего IP-адреса. Количество портов: 65000 Пример: В локальной сети используется не маршрутизируемая сеть с адресным пространством 10.0.0.0. Клиент локальной сети желает установить соединением с web-сервером 207.46.130.149.
ОС формирует обычные IP-пакеты и отправляет их в сеть. При прохождении пакетов через межсетевой экран, последний меняет адрес источника на адрес внешнего интерфейса, а транспортный порт источника – на первый свободный из пула неиспользуемых портов и заново вычисляет контрольную сумму. Для web-сервера клиентом выступает хост, имеющий IP-адрес 200.0.0.1, то есть МЭ. Сервер отвечает клиенту обычным образом.
Динамическая трансляция с динамической выборкой IP-адресов В динамическом режиме с динамической выборкой внешние IP-адреса выделяются динамически из пула внешних адресов. Как и при динамической трансляции, для каждого соединения используется транспортный порт. Отличие заключается в том, что при исчерпании всего пула портов выделяется следующий внешний IP-адрес.
Статическая трансляция адресов При статической трансляции внешнему интерфейсу МЭ назначается столько зарегистрированных IP-адресов, сколько хостов имеется во внутренней сети. Пример: 1. Клиент общедоступного сегмента сети обращается к web-серверу по адресу 200.0.0.21. 2. МЭ находит в своей таблице маршрутизации соответствующее правило и заменяет адрес назначения на 10.0.0.21. 3. Сервер возвращает ответный пакет с адресом источника 10.0.0.21. 4. При выходе из локальной сети МЭ заменяет свой адрес на 200.0.0.21.
Статическая трансляция с динамической выборкой IP-адресов Данный вид трансляции не использует транспортные порты, а каждому клиенту динамически назначается IP-адрес из пула внешних адресов.
|
||||
Последнее изменение этой страницы: 2016-12-30; просмотров: 436; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.144.105.101 (0.008 с.) |