ЛЕКЦИЯ №4

ТЕМА 4. МЭ, ИХ КЛАССИФИКАЦИЯ. КЛАССЫ ЗАЩИЩЕННОСТИ МЭ. СХЕМЫ ПОДКЛЮЧЕНИЯ МЭ. ШЛЮЗЫ СЕТЕВОГО И ПРИКЛАДНОГО УРОВНЕЙ.

МЭ – это система межсетевой защиты, позволяющая разделить общую сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов через границу из одной части сети в другую.

МЭ пропускает через себя весь трафик, принимая для каждого из проходящих пакетов решение пропускать его дальше или отбросить, для этого на МЭ задают набор правил для фильтрующего трафика. Обычно МЭ защищают внутреннюю сеть от НСД из внешней сети. Также они могут быть использованы для ограничения доступа внутренних пользователей к различным подсетям и к внешней сети. МЭ регламентирует использование ресурсов одной сети различными пользователями. Решение о том, каким образом фильтровать пакеты зависит от принятой защищаемой сети политики безопасности. Например, МЭ может запретить доступ по протоколам POP3 и SMTP, т.е. для всех пользователей внутренней сети запретить использование почтового сервера. Таким образом, обращение будет происходить через главный компьютер.

Правила доступа к сетевым ресурсам, в соответствии с которыми задаются параметры. МЭ могут базироваться на одном из следующих принципов:

1) запрещать все, что не разрешено в явной форме

2) разрешать все, что не запрещено в явной форме

Реализация МЭ на основе первого принципа позволяет обеспечить более хорошую защищаемость, но требует больших затрат и доставляет больших неудобств.

Различают несколько видов МЭ:

1) пакетные фильтры

2) шлюзы сетевого уровня

3) шлюзы прикладного уровня

4) экспертные МЭ, включающие в себя свойства всех трех предыдущих

1) Данные МЭ осуществляют фильтрацию входящих в сеть и исходящих из сети пакетов на основе информации, содержащейся в их TCP и IP заголовках. Как правило, такой информацией служит IP-адрес отправителя и получателя и порт, к которому идет обращение. Например, порт 21 (FTP) и порт 23 (Telnet). Также могут быть использованы для идентификации сетевых служб.

Основными достоинствами данного типа МЭ является невысокая стоимость и скорость фильтрации. Недостатками является то, что они не скрывают структуру сети и имеют нестойкую процедуру аутентификации по IP-адресу.

2) использование подобных МЭ позволяет исключить прямое взаимодействие между узлами. Данные шлюзы принимают запросы доверенных клиентов и после проверки подлинности устанавливают соединение с требуемым узлом, т.е. выполняют роль посредника, не давая им воздействовать напрямую. Данные МЭ исполняют функцию трансляции адресов (таблица адресов NAT), тем самым скрывая внутреннюю структуру сети от внешних пользователей. Они выполняют преобразование внутренних IP-адресов сети в один надежный IP-адрес, ассоциируемый с МЭ.

Недостатком таких МЭ является невозможность фильтрации трафика внутренних пользователей.

3) данный тип МЭ позволяет пропускать или не пропускать определенные службы, осуществлять фильтрацию трафика внутри. Данные МЭ используют стойкие протоколы аутентификации пользователей, не позволяющие осуществить подмену доверенного источника. Позволяют снизить вероятность взлома системы с использованием уязвимости ПО.

Дата добавления: 2014-01-07; Просмотров: 203; Нарушение авторских прав?; Мы поможем в написании вашей работы!