КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Межсетевые экраны. Одним из способов защиты сетевых информационных ресурсов организации, имеющей выход в Internet
 |
Одним из способов защиты сетевых информационных ресурсов организации, имеющей выход в Internet, является использование специальных программных (программно-аппаратных) средств, называемых Fire Wall (огненная стена). В отечественной литературе их принято называть межсетевыми экранами (МЭ). Иногда встречается название «брандмауэр», но сейчас этот термин используется редко.
Межсетевой экран - это программное или программно-аппаратное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС.
Межсетевые экраны первого поколения - фильтры пакетов - появились в конце 1980-х годов. Сегодня ни одна организация, использующая Интернет, не обходится без использования МЭ или отдельных технологий межсетевого экранирования. Современные коммерческие МЭ представляют собой сложные многофункциональные системы, использующие последние достижения в области информационных технологий и защиты информации.
МЭ обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в/из АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС.
Программные МЭ ориентированы на конкретную платформу (Windows, Solaris Sun и другие). Программно-аппаратные МЭ выполняются в виде «черного ящика», конфигурируемого через интерфейсы удалённого управления на основе собственных приложений либо с использованием стандартных интерфейсов.
Различают три основных типа МЭ: сегментные, персональные и встраиваемые.
Под сегментными понимают МЭ, установленные на границе двух и более сетей. Они предназначены для контроля сетевых потоков между двумя и более сетями, то есть выполняют защиту сетей.
Сегментный МЭ можно представить как сетевой маршрутизатор, который не только осуществляет маршрутизацию пакетов между сетями, но и выполняет анализ пакетов и информационных потоков на соответствие требованиям политики безопасности. Пакеты и информационные потоки, не удовлетворяющие этим требованиям, блокируются. Именно сегментные МЭ являются одним из основных средств обеспечения ИБ.
Персональные МЭ защищают рабочие станции пользователей от внешних сетевых угроз и сетевых троянских программ. Персональные МЭ предназначены для защиты рабочих станций пользователей - как отдельно подключенных к сети Интернет, так и функционирующих в составе локальных сетей. В последнем случае персональные МЭ создают дополнительный уровень защиты, в том числе и от внутренних угроз, и не исключают использования сетевых МЭ на границе локальной сети.
Среди персональных МЭ выделяют следующие разновидности экранов: пакетные фильтры, прокси-серверы и гибридные МЭ.
Пакетные фильтры отслеживают только сетевые пакеты на сетевом и транспортном уровне и не могут отслеживать соответствие пакетов и сетевых приложений. Пакетные фильтры требуют высокой квалификации пользователей.
Прокси-серверы отслеживают активность сетевых приложений. Такой подход не требует высокой квалификации пользователей и обеспечивает повышенный уровень защиты (по сравнению с пакетными фильтрами). Прокси-серверы могут иметь в своем составе прикладных посредников.
Гибридные персональные МЭ поддерживают функциональность и пакетных фильтров, и мониторов приложений, что позволяет реализовывать политику безопасности на уровне сетевых приложений и на пакетном уровне.
Встраиваемые МЭ устанавливаются на прикладных серверах и предназначены для их защиты. Иногда возникает необходимость в усилении защиты прикладных служб, реализуемых одним или несколькими серверами. При этом использование сегментных МЭ может быть не оправдано по причине их высокой стоимости или условий эксплуатации. В этом случае можно использовать встраиваемыe МЭ, которые функционируют на одной платформе с защищаемыми серверами, обеспечивая их защиту. Низкая стоимость встраиваемых МЭ позволяет установить их на каждый защищаемый сервер.
Встраиваемые МЭ обеспечивают защиту по принципу персональных фильтрующих МЭ и предоставляют более широкие возможности управления (удаленное управление, резервное копирование, временные ограничения политики безопасности и др.) и анализа событий. Но в отличие от персональных, они не обеспечивают интерактивности взаимодействия с администратором прикладного сервера.
|
|
Дата добавления: 2014-01-20; Просмотров: 1141; Нарушение авторских прав?; Мы поможем в написании вашей работы!