Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Роль межсетевых экранов в многоуровневой защите сетей

Читайте также:
  1. Анализ воздействий на окружающую среду и мероприятия по защите
  2. Аппаратура локальных сетей
  3. Возможности сетей с различными топологиями
  4. Глава 8 ОБУЧЕНИЕ ЗАЩИТЕ ОТ МАНИПУЛЯЦИИ
  5. Допуск студента к защите выпускной квалификационной работы (проекта)
  6. И ЗАЩИТЕ МЕНЬШИНСТВ
  7. Использование маршрутизаторов для создания рас­ширяемых сетей

Сегодня компьютерная сеть все чаще становится основой информационной системы предприятия. Все большее развитие получают сетевые сервисы, нередко поддерживающие основные бизнес-процессы компании. Это VoIP, электронная почта, интернет-банкинг, видеоконференции и др. Практически все компании имеют доступ к глобальной сети Интернет. С появлением новых услуг и сервисов расширяется список угроз и уязвимостей информационных систем. Так, сеть Интернет по определению считается объектом с низким уровнем доверия. Однако сегодня одним из обязательных требований к ИТ-инфраструктуре становится предоставление доступа легитимным пользователям к локальной сети компании через Интернет, а также выхода в Интернет из ЛВС. Для обеспечения безопасного подключения локальной сети к глобальным сетям необходима надежная система сетевой безопасности, основным компонентом которой является межсетевой экран (МЭ).

В настоящее время для обеспечения эффективной защиты информационной системы компании от возрастающих внешних угроз целесообразно использовать межсетевые экраны в комплексе с решениями по фильтрации трафика, с подсистемами обнаружения и защиты от атак, шифрования трафика, организации удаленного доступа пользователей к ресурсам локальной сети и аутентификации пользователей. Фильтрация трафика осуществляется на основе анализа содержимого полей протоколов прикладного уровня с применением эвристического анализа работы протокола, что необходимо для превентивной защиты системы. Межсетевые экраны поддерживают возможность трансляции IP-адресов локальных сетей в публичные IP-адреса и, наоборот, для организации доступа из локальной сети в Интернет и доступа через Интернет к серверам, расположенным в локальных сетях.

Современные МЭ предоставляют возможность построения виртуальных частных сетей (VPN), которые позволяют компаниям создавать безопасные каналы передачи данных через публичные сети, предотвращая тем самым перехват и искажение передаваемой информации, а также обеспечивая контроль целостности передаваемых данных. При организации VPN-сетей могут применяться различные методы аутентификации, в том числе сертификаты PKI X.509, одноразовые пароли, протоколы RADIUS, TACACS+.

Сегодня обычной практикой является использование систем отказоустойчивости (High Availability) и распределения нагрузки (Load Sharing), основанных на применении кластерных решений.

Одним из ключевых моментов создания сложных комплексных систем сетевой безопасности является наличие понятной и простой в использовании подсистемы мониторинга и управления МЭ, которая должна обеспечивать необходимую функциональность управления устройствами системы для администраторов безопасности.

У крупных компаний зачастую возникает необходимость в использовании нескольких межсетевых экранов и VPN-устройств, находящихся в одной физической точке, но реализующих различные политики безопасности. Развертывание и рабочая эксплуатация большого числа такого рода устройств требуют значительных трудовых и временных затрат. Снизить такого рода затраты позволяет виртуализация защитной системы. Каждая виртуальная система предоставляет те же сервисы и возможности, что и ее физический аналог. Например, система на основе Check Point VPN-1 VSX позволяет создавать и использовать несколько виртуальных межсетевых экранов, маршрутизаторов и коммутаторов. Все настройки виртуальных систем производятся с помощью единого графического интерфейса управления. VSX-модуль представляет собой решение на базе одного физического сервера, которое заменяет собой сегмент сети.

Управление системой VPN-1 VSX может осуществляться с помощью программного обеспечения выделенного управляющего сервера Check Point Provider-1. Решение Check Point Provider-1/SiteManager-1 используется крупными компаниями с разветвленной масштабируемой сетевой инфраструктурой. Данный продукт позволяет существенно снизить затраты на управление большими и сложными сетями. Администратор Provider-1/SiteManager-1 может создавать различные политики для групп межсетевых экранов или высокоуровневую глобальную политику, применяемую ко всем имеющимся межсетевым экранам. Это обеспечивает широкие возможности по масштабированию системы.

Для надежного управления системой ИБ, отслеживания событий и предотвращения инцидентов целесообразно интегрировать подсистему защиты периметра в общую систему информационной безопасности. У компании Check Point имеется продукт Eventia Analyzer, позволяющий осуществлять сбор информации о событиях ИБ с различных устройств и коррелировать их.

В настоящее время появляются МЭ и для небольших компаний, включающие в себя также подсистему антивирусной защиты. В качестве примера можно привести продукт Check Point Express CI, который предоставляет единое решение для обеспечения сетевой безопасности с интегрированными возможностями антивируса. Помимо стандартных функций МЭ продукт содержит средства построения VPN, средства предотвращения вторжений и предоставляет единый интерфейс управления для всех функций безопасности.

Можно также выделить класс МЭ, предназначенных для работы со специальными видами трафика, например, для сетей сотовых операторов. Такой комплекс обеспечивает защиту трафика в сетях GPRS – (2.5G) и UMTS – (3G). Например, продукт Check Point Firewall-1 GX – одно из первых решений для защиты GPRS-сети, которое позволяет осуществлять аудит и протоколирование GPRS-трафика. Сегодня GSM-операторы предоставляют множество услуг, связанных с высокоскоростным доступом в Интернет, мобильные пользователи получают доступ к веб-страницам, электронной почте, внутренним информационным ресурсам компаний. В связи с этим и возникла необходимость в решениях по безопасности для существующей инфраструктуры сотовых операторов. Например, FireWall-1 GX – решение Check Point, использующее технологии Stateful Inspection, которые полностью совместимы с протоколом GPRS Tunneling Protocol (GTP). Кроме того, FireWall-1 GX обеспечивает широкий спектр настроек для протоколирования GTP-трафика.

С появлением новых сервисов и технологий, в частности, мобильного доступа к ЛВС или использования беспроводных сегментов сети, понятие «периметра» начинает терять свое значение. Наиболее уязвимым местом корпоративной сети являются рабочие станции конечных пользователей, особенно мобильных, которые имеют, как правило, низкий уровень защиты. В связи с этим появляются такие технологии, как Total Access Protection (Check Point), Network Admission Control (Cisco), Network Access Protection (Microsoft), которые направлены на установление жесткого контроля защищенности конечных пользователей. Кроме того, создаются «персональные МЭ», интегрированные в систему информационной безопасности и одинаково управляемые. Для защиты удаленного рабочего места необходимо, как минимум, иметь: персональный МЭ, антивирус с актуальными сигнатурами, защиту доступа в корпоративную сеть через VPN. Повысить защиту удаленного доступа в корпоративную сеть можно с помощью системы строгой аутентификации на основе смарт-токенов или биометрических устройств.

Следует также упомянуть о такой проблеме, как обеспечение внутренней безопасности сети. Технология обеспечения внутренней безопасности отличается от технологии защиты периметра. Для отражения атак из внешней по отношению к ЛВС сети существуют весьма эффективные средства, которые помогают защитить рабочие станции пользователей от атак и других подозрительных действий, направленных на получение конфиденциальной информации. А вот отследить и предотвратить атаки, организуемые из локальной сети, по-прежнему достаточно сложно. И опасности, связанные с внутренней безопасностью, постоянно растут. Для защиты рабочих станций пользователей от угроз из ЛВС применяются персональные МЭ и работающие совместно с ними внутренние шлюзы безопасности (например, Check Point Interspect).

Подводя итог, необходимо отметить, что сегодня на рынке представлены комплексные решения по обеспечению безопасности периметра. Но при выборе решения, в первую очередь, следует уделить внимание управлению такой системой. Должна существовать единая точка управления, присутствовать компоненты для мониторинга и анализа событий. Система должна обеспечивать защиту всех элементов сети, в том числе защиту конечного пользователя, особенно в момент его подключения к корпоративной сети, используя технологии TAP или NAC.


Дата добавления: 2015-07-07; просмотров: 259 | Нарушение авторских прав


Читайте в этой же книге: Протокол защищенной передачи сообщений SSL | Самоподписанный сертификат | Описание алгоритма | Термины и определения | Приложения | Контейнеры | Исторические заметки о стеганографических методах | Частотные характеристики открытого и шифртекста. | Метод Фибоначчи с запаздываниями (Lagged Fibonacci generator) | ПроверкаПСЧнаслучайность |
<== предыдущая страница | следующая страница ==>
Двухфакторная аутентификация| Основные положения защиты информации в сетях

mybiblioteka.su - 2015-2024 год. (0.006 сек.)