Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Виртуальные локальные сети VLAN

Поиск

VLAN (Virtual Local Area Network–виртуальная локальная сеть). Виртуальной локальной сетью называется логическая группа устройств, имеющих возможность взаимодействовать между собой напрямую на канальном уровне, хотя физически при этом они могут быть подключены к разным сетевым коммутаторам. И наоборот, трафик устройств, находящихся в разных VLАN’ах, полностью изолирован от других узлов сети на канальном уровне, даже если они подключены к одному коммутатору. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса – уникального, группового или широковещательного.

Виртуальные локальные сети обладают следующими преимуществами:

· Гибкость внедрения. VLАN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети.

· VLАN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя.

· VLАN позволяют повысить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей.

Разработка конфигурации межсетевого экрана

Теперь давайте рассмотрим некоторые стандартные сетевые архитектуры и выясним, каким образом следует настраивать сетевой экран в той или иной конкретной ситуации. В этом упражнении подразумевается, что в организации присутствуют указанные ниже системы, и что эти системы принимают входящие соединения из интернета:

· веб-сервер, работающий только через порт 80;

· почтовый сервер, работающий только через порт 25. Он принимает всю входящую и отправляет всю исходящую почту. Внутренний почтовый сервер периодически связывается с данной системой для получения входящей почты и отправки исходящих сообщений.Существует внутренняя система DNS, которая запрашивает системы интернета для преобразования имен в адреса, однако в организации отсутствует своя собственная главная внешняя DNS.Интернет-политика организации позволяет внутренним пользователям использовать следующие службы:

· HTTP;

· HTTPS;

· FTP;

· Telnet;

· SSH.

На базе этой политики можно построить правила политики для различных архитектур.

 

Построение набора правил межсетевого экрана

Качественно созданный набор правил не менее важен, чем аппаратная платформа. Большая часть межсетевых экранов работает по принципу "первого соответствия" при принятии решения о передаче или отклонении пакета. При построении набора правил согласно алгоритму "первого соответствия" наиболее специфичные правила располагаются в верхней части набора правил, а наименее специфичные (т.е. более общие) - в нижней части набора. Такое размещение правил гарантирует, что общие правила не перекрывают собой более специфичные.

 

Архитектура 1: системы за пределами межсетевого экрана, доступные из интернета

Таблица 1. Правила межсетевого экрана для расположенных за пределами межсетевого экрана систем, доступных из интернета.

Исходный IP Конечный IP Служба Действие
Внутренний почтовый сервер Почтовый сервер SMTP Принятие
Внутренняя сеть Почтовый сервер Любой HTTP, HTTPS, FTP, telnet, SSH
Принятие  

 

Внутренняя DNS Любой DNS Принятие
Любой   Любой Любая   Сброс  

Архитектура 2: один межсетевой экран

В данной архитектуре используется один межсетевой экран для защиты как внутренней сети, так и любых других систем, доступных из интернета. Эти системы располагаются в отдельной сети.

Таблица 2. Правила межсетевого экрана для архитектуры с одним межсетевым экраном.

Исходный IP Конечный IP Служба Действие
Любой Веб-сервер HTTP Принятие
Любой Почтовый сервер SMTP Принятие
Почтовый сервер Любой SMTP Принятие
Внутренняя сеть Любой HTTP, HTTPS, FTP, telnet, SSH Принятие
Внутренняя DNS Любой DNS Принятие
Любой Любой Любая Сброс

Как видно из таблицы 2, правила практически аналогичны правилам архитектуры 1. Межсетевой экран дополняет правила, которые использовались в маршрутизаторе в предыдущей архитектуре. Также мы видим, что не существует явного правила, позволяющего внутреннему почтовому серверу подключаться к почтовому серверу в отдельной сети. Причиной этому является правило 2, позволяющее любой системе (внутренней или внешней) подключаться к упомянутой системе.

 

Архитектура 3: двойные межсетевые экраны

Третья архитектура, о которой пойдет речь, использует двойные межсетевые экраны Доступные из интернета системы располагаются между межсетевыми экранами, а внутренняя сеть расположена за вторым межсетевым экраном. В таблице 3 приведены правила для межсетевого экрана 1.

Как видно из таблицы 3, правила в данном случае аналогичны правилам межсетевого экрана в архитектуре 2. Но еще имеется и второй межсетевой экран. Правила для межсетевого экрана 2 приведены в табл. 4.

Таблица 3. Правила межсетевого экрана 1 в архитектуре с двумя межсетевыми экранами

Исходный IP Конечный IP Служба Действие
Любой Веб-сервер HTTP Принятие
Любой Почтовый сервер SMTP Принятие
Почтовый сервер Любой SMTP Принятие
Внутренняя сеть Любой HTTP, HTTPS, FTP, telnet, SSH Принятие
Внутренняя DNS Любой DNS Принятие
Любой Любой Любая Сброс
Таблица 4. Правила межсетевого экрана 2 в архитектуре с двойныммежсетевым экраном  
Исходный IP Конечный IP Служба Действие
Внутренний почтовый сервер Почтовый сервер SMTP Принятие
Внутренняя сеть Почтовый сервер HTTP, HTTPS, FTP, telnet, SSH
Принятие  

 

Внутренняя DNS Любой DNS Принятие
Любой   Любой Любая   Сброс  

 


ТЕХНИКА БЕЗОПАСНОСТИ

ЗАКЛЮЧЕНИЕ

Некоторые межсетевые экраны содержат обработчик набора правил, проверяющий набор на наличие правил, перекрываемых другими правилами. Обработчик информирует об этой ситуации администратора межсетевого экрана перед установкой правил на межсетевой экран. Данный подход хорош в общем плане, однако он не решает проблему производительности межсетевого экрана. Чем больше правил необходимо проверять для каждого пакета, тем больше вычислений должен производить межсетевой экран. При разработке качественного набора правил следует принимать в расчет это обстоятельства, т. к. от него зависит уровень эффективности работы межсетевого экрана. Для повышения эффективности работы экрана следует оценить ожидаемую нагрузку трафика на межсетевой экран и упорядочить трафик по типам. Как правило, наибольший объем занимает трафик HTTP. Для повышения эффективности межсетевого экрана следует разместить правила, относящиеся к HTTP, вверху набора правил. Это означает, что правило, позволяющее внутренним системам использовать HTTP для подключения к любой системе в интернете, и правило, разрешающее внешним пользователям осуществлять доступ к веб-сайту организации, должны быть расположены очень близко к верхней границе набора правил. Единственными правилами, которые должны находиться выше двух упомянутых правил, являются специфичные правила отказа в доступе, относящиеся к протоколу HTTP. Последний абзац начинается с фразы "как правило". Различные производители межсетевых экранов сопоставляют их производительность различными способами. Исторически сложилось так, что межсетевые экраны с пакетной фильтрацией имеют возможность обработки большего объема трафика, нежели межсетевые экраны прикладного уровня, на платформе одного и того же типа. Это сравнение показывает различные результаты в зависимости от типа трафика и числа соединений, имеющих место в процессе тестирования. Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер. Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, межсетевой экран никак не отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не требуется, так как соединения не прерываются на межсетевом экране.

 


СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ:

http://docs.freebsd.org/doc/ru/books/handbook/firewalls.html

http://compress.ru/article.aspx?id=10145



Поделиться:


Последнее изменение этой страницы: 2016-07-16; просмотров: 321; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.144.224.91 (0.006 с.)