Компоненты брандмауэра

Управление внутрисетевым трафиком.

Брандмауэры позволяют управлять сетевым трафиком, проходящим внутри локальной сети. С помощью брандмауэров можно разделить локальную сеть на домены безопасности – группы компьютеров с одним уровнем защищенности. На компьютерах наиболее защищенного домена следует хранить конфиденциальную информацию, например учетные записи пользователей, документы финансовой отчетности и сведения о текущей производственной деятельности и т.д.

Это тем более важно, если персонал организации потенциально может быть вовлечен в кражу конфиденциальных сведений (весьма распространенное явление). Разделение доступа пользователей к сетевым ресурсам разной степени секретности уже само по себе резко повышает уровень безопасности сети. Если к тому же настроить брандмауэр так, чтобы доступ к выделенному сетевому сегменту был максимально ограниченным, то можно в значительной степени обезопасить хранимую в сегменте информацию от раскрытия конфиденциальности.

Брандмауэры отнюдь не являются чем-то единым и неделимым – они состоят из набора аппаратных и программных компонентов, в число которых входят следующие:

· Бастионный хост, представляющий собой компьютер, подсоединенный и к локальной, и к глобальной сети. На бастионном компьютере устанавливаются все прочие компоненты брандмауэра.Примером бастионного хоста является компьютер с двумя сетевыми платами, каждая из которых подсоединена к отдельной сети.

· Маршрутизатор с фильтрацией пакетов. Как вы знаете, обычный маршрутизатор просто пересылает поступающие IP-пакеты по указанному адресу. Маршрутизатор с фильтрацией пакетов выполняет дополнительную функцию проверки поступающих IP-пакетов. Маршрутизаторы с фильтрацией пакетов контролируют IP-адреса источника и получателя пакета, используемые протоколы, службы, порты и другую информацию, указанную в списке ACL.

· Шлюзы приложений (иногда называемые прикладными шлюзами), которые исполняются на бастионном хосте и ограничивают подсоединения к отдельным приложениям, например почтовым клиентам. Для этой цели используются службы-посредники, которые устанавливаются на шлюзе отдельно для каждого приложения, которому разрешено сетевое взаимодействие через брандмауэр. Только те сетевые службы, для которых установлены службы-посредники, могут получать и отправлять сетевой трафик через шлюзы приложений, причем службы-посредники можно настроить на разрешение доступа лишь к определенному, ограниченному набору средств приложения. Таким образом, шлюзы приложений значительно усиливают возможности создания такой политики безопасности, которая обеспечит аутентификацию сетевых пользователей и ведение журнала регистрации. Примером шлюза прикладного уровня является прокси-сервер, управляющий сетевым трафиком и выполняющий аутентификацию пользователей.

· Канальные шлюзы, связывающие сетевой компьютер с портами TCP/IP бастионного хоста. Такие шлюзы не выполняют никакой проверки сетевого трафика и используется для передачи исходящих сообщений от внутренних пользователей. При этом для входящих сообщений по-прежнему используются

· шлюзы приложений. Канальные шлюзы позволяют защитить сеть от вторжений и в то же самое время ускорить работу системы. Бастионный хост должен быть спроектирован так, чтобы он мог эффективно противостоять атакам хакеров. Для этого может быть применен целый набор технических приемов. Например, компьютер, реализующий бастионный хост, должен использовать защищенную версию операционной системы. Также на бастионном хосте следует устанавливать только существенно необходимые службы, поскольку при отсутствии службы ее нельзя использовать для проникновения в систему. Наиболее распространенным типом брандмауэра является маршрутизатор с фильтрацией пакетов, которые выполняют свои функции, опираясь на правила фильтрации пакетов.

Дата добавления: 2013-12-12; Просмотров: 737; Нарушение авторских прав?; Мы поможем в написании вашей работы!