Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

ЛЕКЦИЯ №4




ТЕМА 4. МЭ, ИХ КЛАССИФИКАЦИЯ. КЛАССЫ ЗАЩИЩЕННОСТИ МЭ. СХЕМЫ ПОДКЛЮЧЕНИЯ МЭ. ШЛЮЗЫ СЕТЕВОГО И ПРИКЛАДНОГО УРОВНЕЙ.

МЭ – это система межсетевой защиты, позволяющая разделить общую сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов через границу из одной части сети в другую.

МЭ пропускает через себя весь трафик, принимая для каждого из проходящих пакетов решение пропускать его дальше или отбросить, для этого на МЭ задают набор правил для фильтрующего трафика. Обычно МЭ защищают внутреннюю сеть от НСД из внешней сети. Также они могут быть использованы для ограничения доступа внутренних пользователей к различным подсетям и к внешней сети. МЭ регламентирует использование ресурсов одной сети различными пользователями. Решение о том, каким образом фильтровать пакеты зависит от принятой защищаемой сети политики безопасности. Например, МЭ может запретить доступ по протоколам POP3 и SMTP, т.е. для всех пользователей внутренней сети запретить использование почтового сервера. Таким образом, обращение будет происходить через главный компьютер.

Правила доступа к сетевым ресурсам, в соответствии с которыми задаются параметры. МЭ могут базироваться на одном из следующих принципов:

1) запрещать все, что не разрешено в явной форме

2) разрешать все, что не запрещено в явной форме

Реализация МЭ на основе первого принципа позволяет обеспечить более хорошую защищаемость, но требует больших затрат и доставляет больших неудобств.

Различают несколько видов МЭ:

1) пакетные фильтры

2) шлюзы сетевого уровня

3) шлюзы прикладного уровня

4) экспертные МЭ, включающие в себя свойства всех трех предыдущих

 

1) Данные МЭ осуществляют фильтрацию входящих в сеть и исходящих из сети пакетов на основе информации, содержащейся в их TCP и IP заголовках. Как правило, такой информацией служит IP-адрес отправителя и получателя и порт, к которому идет обращение. Например, порт 21 (FTP) и порт 23 (Telnet). Также могут быть использованы для идентификации сетевых служб.

Основными достоинствами данного типа МЭ является невысокая стоимость и скорость фильтрации. Недостатками является то, что они не скрывают структуру сети и имеют нестойкую процедуру аутентификации по IP-адресу.

2) использование подобных МЭ позволяет исключить прямое взаимодействие между узлами. Данные шлюзы принимают запросы доверенных клиентов и после проверки подлинности устанавливают соединение с требуемым узлом, т.е. выполняют роль посредника, не давая им воздействовать напрямую. Данные МЭ исполняют функцию трансляции адресов (таблица адресов NAT), тем самым скрывая внутреннюю структуру сети от внешних пользователей. Они выполняют преобразование внутренних IP-адресов сети в один надежный IP-адрес, ассоциируемый с МЭ.

Недостатком таких МЭ является невозможность фильтрации трафика внутренних пользователей.

3) данный тип МЭ позволяет пропускать или не пропускать определенные службы, осуществлять фильтрацию трафика внутри. Данные МЭ используют стойкие протоколы аутентификации пользователей, не позволяющие осуществить подмену доверенного источника. Позволяют снизить вероятность взлома системы с использованием уязвимости ПО.

 




Поделиться с друзьями:


Дата добавления: 2014-01-07; Просмотров: 225; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.007 сек.