КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Компоненты брандмауэра
Возможности брандмауэра
Брандмауэры позволяют маскировать IP -адреса хостов внутри локальной сети с помощью операции, называемой трансляцией сетевых адресов (NAT – Network Address Translation). Маскированные IP адреса становятся невидимыми для внешних пользователей. Брандмауэры позволяют управлять сетевым трафиком, проходящим внутри локальной сети. С помощью брандмауэров можно разделить локальную сеть на домены безопасности – группы компьютеров с одним уровнем защищенности. Наиболее конфиденциальная информация в таком случае хранится на компьютерах наиболее защищенного домена.
Брандмауэры состоят из набора аппаратных и программных компонентов, в числе которых:
· бастионный хост, представляющий собой компьютер, подсоединенный и к локальной и к глобальной сети. На бастионном компьютере устанавливаются все прочие компоненты брандмауэра;
· маршрутизатор с фильтрацией пакетов. Обычный маршрутизатор просто пересылает поступающие IP -пакеты по указанному адресу. Маршрутизатор с фильтрацией пакетов выполняет дополнительную функцию проверки поступающих IP -пакетов. Маршрутизаторы с фильтрацией пакетов называют защищенными маршрутизаторами. Следует учесть, что защищенные маршрутизаторы не проверяют содержимое пакетов, а имеют дело только с заголовочной информацией пакетов, контролируя IP-адреса источника и получателя пакета, используемые протоколы, службы, порты и другую информацию заголовка;
· шлюзы приложений (или прикладные шлюзы), которые исполняются на бастионном хосте и ограничивают подсоединения к отдельным приложениям, например, почтовым клиентам. Для этой цели используются службы-посредники, которые устанавливаются на шлюзе отдельно для каждого приложения, которому разрешено сетевое взаимодействие через брандмауэр. Только те сетевые службы, для которых установлены службы-посредники, могут получать и отправлять сетевой трафик через шлюзы приложений, причем службы-посредники можно настроить на разрешения доступа лишь к определенному, ограниченному набору средств приложения. Примером шлюза прикладного уровня является прокси-сервер, управляющий сетевым трафиком и выполняющий аутентификацию пользователей;
· канальные шлюзы. Они связывают сетевой компьютер с портами TCP/IP бастионного хоста. Такие шлюзы не выполняют никакой проверки сетевого трафика и используются для передачи исходящих сообщений от доверенных внутренних пользователей. Канальные шлюзы позволяют защитить сеть от вторжений и в то же время ускорить работу системы.
Бастионный хост должен быть спроектирован так, чтобы он мог эффективно противостоять атакам хакеров. Для этого может быть применен целый набор технических средств, например, защищенная версия ОС на бастионном хосте, отсутствие каких-либо служб, кроме самых необходимых, например, Telnet, DNS, FTP, SNMP и средств пользовательский аутентификации.
|
|
Дата добавления: 2014-01-15; Просмотров: 766; Нарушение авторских прав?; Мы поможем в написании вашей работы!