Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Подключение Small Office

Читайте также:
  1. Small-talk
  2. While peeling potatoes my small brother cut .. with a sharp knife.
  3. Подключение датчиков
  4. Подключение параметров
  5. Подключение сетевого диска
  6. Подключение типа мост

Данное решение удобно для обеспечения работы с Интернетом небольших офисов с локальной сетью из 10-20 компьютеров.

Решение основывается на модемном подключении с помощью арендуемого у «Вэб Плас» маршрутизатора. Данное устройство подключается к локальной сети и к обычному модему и обеспечивает доступ к Интернету с любого компьютера локальной сети.

Кроме аренды маршрутизатора в рамках услуги Small Office предоставляется также возможность организовать до 20 почтовых ящиков для сотрудников компании вида your_name@your_ company.sp.ru. При этом обеспечена возможность с помощью обычного броузера Интернета (например, Internet Explorer) добавлять новые ящики и удалять ненужные.

Замечание. Все перечисленные варианты подключения к Интернету могут быть усилены за счет использования специальных аппаратно-программных средств, обеспечивающих защиту мест соединения локальной сети предприятия с Интернетом.

Способы поддержания безопасного и надежного доступа:

В настоящее время существуют четыре основных способа защиты Интернет/интранет систем:

на основе отдельных серверов безопасности;

на основе маршрутизаторов со встроенной системой безопасности;

на основе специализированных маршрутизаторов с обычными листами доступа;

на основе выделенных серверов доступа на основе ОС семейства Unix и реже MS Windows.

Рассмотрим названные способы более подробно.

Защита на основе Firewall

Защита на основе Firewall позволяет получить следующие преимущества:

максимальную безопасность, обеспеченную двунаправленным управлением потоками информации между открытыми и внутренними (закрытыми) сегментами сети предприятия;

высокую надежность, обусловленную использованием отдельных серверов безопасности на основе сертифицированных Гостехкомиссией России аппаратно-программных комплексов (межсетевых экранов).

В этом случае можно реализовать следующие возможности:

фильтрацию на основе сетевых адресов отправителя и получателя;

фильтрацию запросов на транспортном уровне на установление виртуальных соединений;

фильтрацию запросов на прикладном уровне к прикладным сервисам;

локальную сигнализацию попыток нарушения правил фильтрации;

запрет доступа неизвестного субъекта или субъекта, подлинность которого при аутентификации не подтвердилась, и др.

В настоящее время все известные Firewall можно условно разделить на несколько основных групп.

По функционированию на уровнях модели OSI:

шлюз экспертного уровня;

экранирующий шлюз (прикладной шлюз);

экранирующий транспорт (шлюз сеансового уровня);

экранирующий маршрутизатор (пакетный фильтр).

По используемой технологии:

Stateful Inspection (контроль состояния протокола);

на основе модулей-посредников (proxy).

По схеме подключения:

схема единой защиты сети;

схема с защищаемым закрытым и не защищаемым открытым сегментами сети;

схема с раздельной защитой закрытого и открытого сегментов сети.

Цены на Firewall устанавливаются в каждом конкретном случае отдельно и в среднем составляют от 2 100 $ до 19 000 $ и выше.

Пример. Возможный вариант защиты сети на основе межсетевого экрана.

Решение основано на использовании межсетевого экрана Cisco PIX Firewall 520 компании Cisco Systems (рис).

Рис. Подключение с помощью PIX Firewall

Защита на основе маршрутизатора с Firewall

Этот способ защиты основывается на использовании маршрутизатора со встроенной системой безопасности. Данное решение характеризуется высокой эффективностью и безопасностью.

В настоящее время одним из наиболее интересных является вариант защиты на основе маршрутизаторв Cisco серий 1600 и 1700. Так, например, популярно решение на базе Cisco 1600-R (рис. 5).

Предлагаемое решение обладает следующими основными достоинствами:

возможность обеспечения безопасности от точки до точки: брандмауэр, авторизация маршрута и маршрутизатора, замок и ключ, тоннель для маршрута и криптозащита данных;

многопротокольная маршрутизация (IP, IPX, AppleTalk) и прозрачный мост через ISDN, асинхронное и синхронное последовательное соединение, такое как выделенная линия, Frame Relay, SMDS, Switched 56 и X.25;

возможность обеспечения качества услуги от точки до точки посредством протокола резервирования ресурсов (RSVP), очереди с весами (WFQ), IP Multicast и AppleTalk Simple Multicast Routing Protocol (SMRP) для обеспечения таких приложений, как видеоконференции, объединение данных и голоса и др;

расширенные возможности доступа к Интернет/интранет, такие как трансляция сетевых адресов (NAT), IPeXchange шлюз IPX-в-IP, простота и снижение цены доступа к Интернету и интранету;

возможность оптимизации WAN: установление соединения по требованию (DDR), предоставление полосы по требованию (BOD) и OSPF-по-требованию, полустатическая маршрутизация, сжатие и фильтрация.

Рис. 5. Пример использования маршрутизатора Cisco 1720

Таблица 1. Сравнение некоторых межсетевых экранов (МЭ)

Защита на основе маршрутизатора

Этот способ защиты основывается на использовании специализированного маршрутизатора и является наиболее распространенным способом на сегодняшний день (рис. 6).

Данное решение обладает высокой эффективностью и достаточной безопасностью. На сегодняшний день наиболее интересными здесь являются решения на базе Cisco серии 1700, например Cisco 1750.

Основные преимущества такого решения заключаются в следующем.

Гибкость

Модульность решения позволяет легко адаптировать конфигурацию к потребностям конкретного предприятия.

Возможность замены WIC-карт избавляет от необходимости обновления платформы в целом при переходе на другие технологии передачи данных.

Слоты для установки голосовых и WAN-карт позволяют при необходимости подстраивать конфигурацию.

Совместимость по модулям с другими моделями уменьшает необходимое количество запасных частей.

Мультисервисный доступ

Возможность интеграции услуг по передаче данных, голоса, факсов и видео.

Экономия средств за счет устранения межофисных междугородных и международных телефонных звонков и взаимодействия с современными мультисервисными приложениями.

Возможность работы с существующей телефонной инфраструктурой - телефонами, факс-аппаратами и офисными АТС.

Более низкая стоимость

Cisco 1750 обеспечивает полное решение для интеграции передачи голоса и данных в одном продукте, избавляя от необходимости установки и поддержки нескольких устройств.

Возможность включения таких дополнительных функций, как голосовой шлюз, firewall, сервер туннелирования VPN, ISDN NT1 и другие для уменьшения эксплуатационных издержек.

Возможность дистанционного управления на основе приложений CiscoWorks или CiscoView.

Рис. Комплексное решение на базе маршрутизаторов Cisco серии 1700 и 2600

Защита инвестиций

Особенности RISC-архитектуры Cisco 1750, ПО Cisco IOS и других модульных конструкций обеспечивают защиту инвестиций для предприятий, которым сегодня нужны только возможности по передаче данных, а в дальнейшем планируется переход к мультисервисной сети или VPN.

Отметим, что все маршрутизаторы доступа Cisco включают специальную операционную систему Cisco Internet work Operating (Cisco IOS). Данная ОС поддерживает множество функций безопасности:

списки доступа, фильтрующие трафик;

средства усиленной аутентификации и авторизации, такие как Password Authentication Pretocol (PAP) и Challenge Handshake Authentication Protocol (CHAP).

Кроме того, аудит и протоколирование событий, шифрование данных, преобразование сетевых адресов (NAT), поддержка виртуальных частных сетей (VPN) еще больше усиливают предлагаемые проекты защиты. корпоративных данных.

Для подключения сети предприятия к Интернету можно использовать все существующие серии маршрутизаторов Cisco. Стартовая стоимость такого решения для небольшого предприятия составляет от 4000 $.

Защита на основе сервера доступа

Этот способ защиты основывается на выделенном сервере доступа к Интернету на базе ПК с ОС семейства Unix или ОС компании Microsoft.

В данном случае ПО выполняет функции маршрутизации, фильтрации, сервисного обслуживания и др.

Данное решение характеризуется минимальной начальной ценой (от 1500 $ за легальное программное обеспечение). Здесь по уровню надежности, безопасности и производительности наиболее предпочтительны решения на основе Unix-подобной операционной системы, например BSD/OS 4.0.

Однако заметим, что затраты на сопровождение данного решения, как правило, сопоставимы, а в ряде случаев даже превосходят стоимость предыдущего варианта защиты.

Проблема защиты корпопативных данных является достаточной сложной и многоплановой. Решить ее исключительно с помощью средств защиты от вторжения извне явно невозможно. Дополнительно здесь нужны системы адаптивного управления безопасностью, например системы обнаружения вторжений, сканирования и выявления уязвимостей фирм AXENT или ISS. Однако это выходит за рамки данной статьи и является предметом отдельного разговора.


Дата добавления: 2015-07-07; просмотров: 196 | Нарушение авторских прав


Читайте в этой же книге: Описание алгоритма | Термины и определения | Приложения | Контейнеры | Исторические заметки о стеганографических методах | Частотные характеристики открытого и шифртекста. | Метод Фибоначчи с запаздываниями (Lagged Fibonacci generator) | ПроверкаПСЧнаслучайность | Двухфакторная аутентификация | Роль межсетевых экранов в многоуровневой защите сетей |
<== предыдущая страница | следующая страница ==>
Основные положения защиты информации в сетях| Общие и функциональные требования

mybiblioteka.su - 2015-2024 год. (0.016 сек.)