Читайте также: |
|
Данное решение удобно для обеспечения работы с Интернетом небольших офисов с локальной сетью из 10-20 компьютеров.
Решение основывается на модемном подключении с помощью арендуемого у «Вэб Плас» маршрутизатора. Данное устройство подключается к локальной сети и к обычному модему и обеспечивает доступ к Интернету с любого компьютера локальной сети.
Кроме аренды маршрутизатора в рамках услуги Small Office предоставляется также возможность организовать до 20 почтовых ящиков для сотрудников компании вида your_name@your_ company.sp.ru. При этом обеспечена возможность с помощью обычного броузера Интернета (например, Internet Explorer) добавлять новые ящики и удалять ненужные.
Замечание. Все перечисленные варианты подключения к Интернету могут быть усилены за счет использования специальных аппаратно-программных средств, обеспечивающих защиту мест соединения локальной сети предприятия с Интернетом.
Способы поддержания безопасного и надежного доступа:
В настоящее время существуют четыре основных способа защиты Интернет/интранет систем:
на основе отдельных серверов безопасности;
на основе маршрутизаторов со встроенной системой безопасности;
на основе специализированных маршрутизаторов с обычными листами доступа;
на основе выделенных серверов доступа на основе ОС семейства Unix и реже MS Windows.
Рассмотрим названные способы более подробно.
Защита на основе Firewall
Защита на основе Firewall позволяет получить следующие преимущества:
максимальную безопасность, обеспеченную двунаправленным управлением потоками информации между открытыми и внутренними (закрытыми) сегментами сети предприятия;
высокую надежность, обусловленную использованием отдельных серверов безопасности на основе сертифицированных Гостехкомиссией России аппаратно-программных комплексов (межсетевых экранов).
В этом случае можно реализовать следующие возможности:
фильтрацию на основе сетевых адресов отправителя и получателя;
фильтрацию запросов на транспортном уровне на установление виртуальных соединений;
фильтрацию запросов на прикладном уровне к прикладным сервисам;
локальную сигнализацию попыток нарушения правил фильтрации;
запрет доступа неизвестного субъекта или субъекта, подлинность которого при аутентификации не подтвердилась, и др.
В настоящее время все известные Firewall можно условно разделить на несколько основных групп.
По функционированию на уровнях модели OSI:
шлюз экспертного уровня;
экранирующий шлюз (прикладной шлюз);
экранирующий транспорт (шлюз сеансового уровня);
экранирующий маршрутизатор (пакетный фильтр).
По используемой технологии:
Stateful Inspection (контроль состояния протокола);
на основе модулей-посредников (proxy).
По схеме подключения:
схема единой защиты сети;
схема с защищаемым закрытым и не защищаемым открытым сегментами сети;
схема с раздельной защитой закрытого и открытого сегментов сети.
Цены на Firewall устанавливаются в каждом конкретном случае отдельно и в среднем составляют от 2 100 $ до 19 000 $ и выше.
Пример. Возможный вариант защиты сети на основе межсетевого экрана.
Решение основано на использовании межсетевого экрана Cisco PIX Firewall 520 компании Cisco Systems (рис).
Рис. Подключение с помощью PIX Firewall
Защита на основе маршрутизатора с Firewall
Этот способ защиты основывается на использовании маршрутизатора со встроенной системой безопасности. Данное решение характеризуется высокой эффективностью и безопасностью.
В настоящее время одним из наиболее интересных является вариант защиты на основе маршрутизаторв Cisco серий 1600 и 1700. Так, например, популярно решение на базе Cisco 1600-R (рис. 5).
Предлагаемое решение обладает следующими основными достоинствами:
возможность обеспечения безопасности от точки до точки: брандмауэр, авторизация маршрута и маршрутизатора, замок и ключ, тоннель для маршрута и криптозащита данных;
многопротокольная маршрутизация (IP, IPX, AppleTalk) и прозрачный мост через ISDN, асинхронное и синхронное последовательное соединение, такое как выделенная линия, Frame Relay, SMDS, Switched 56 и X.25;
возможность обеспечения качества услуги от точки до точки посредством протокола резервирования ресурсов (RSVP), очереди с весами (WFQ), IP Multicast и AppleTalk Simple Multicast Routing Protocol (SMRP) для обеспечения таких приложений, как видеоконференции, объединение данных и голоса и др;
расширенные возможности доступа к Интернет/интранет, такие как трансляция сетевых адресов (NAT), IPeXchange шлюз IPX-в-IP, простота и снижение цены доступа к Интернету и интранету;
возможность оптимизации WAN: установление соединения по требованию (DDR), предоставление полосы по требованию (BOD) и OSPF-по-требованию, полустатическая маршрутизация, сжатие и фильтрация.
Рис. 5. Пример использования маршрутизатора Cisco 1720
Таблица 1. Сравнение некоторых межсетевых экранов (МЭ)
Защита на основе маршрутизатора
Этот способ защиты основывается на использовании специализированного маршрутизатора и является наиболее распространенным способом на сегодняшний день (рис. 6).
Данное решение обладает высокой эффективностью и достаточной безопасностью. На сегодняшний день наиболее интересными здесь являются решения на базе Cisco серии 1700, например Cisco 1750.
Основные преимущества такого решения заключаются в следующем.
Гибкость
Модульность решения позволяет легко адаптировать конфигурацию к потребностям конкретного предприятия.
Возможность замены WIC-карт избавляет от необходимости обновления платформы в целом при переходе на другие технологии передачи данных.
Слоты для установки голосовых и WAN-карт позволяют при необходимости подстраивать конфигурацию.
Совместимость по модулям с другими моделями уменьшает необходимое количество запасных частей.
Мультисервисный доступ
Возможность интеграции услуг по передаче данных, голоса, факсов и видео.
Экономия средств за счет устранения межофисных междугородных и международных телефонных звонков и взаимодействия с современными мультисервисными приложениями.
Возможность работы с существующей телефонной инфраструктурой - телефонами, факс-аппаратами и офисными АТС.
Более низкая стоимость
Cisco 1750 обеспечивает полное решение для интеграции передачи голоса и данных в одном продукте, избавляя от необходимости установки и поддержки нескольких устройств.
Возможность включения таких дополнительных функций, как голосовой шлюз, firewall, сервер туннелирования VPN, ISDN NT1 и другие для уменьшения эксплуатационных издержек.
Возможность дистанционного управления на основе приложений CiscoWorks или CiscoView.
Рис. Комплексное решение на базе маршрутизаторов Cisco серии 1700 и 2600
Защита инвестиций
Особенности RISC-архитектуры Cisco 1750, ПО Cisco IOS и других модульных конструкций обеспечивают защиту инвестиций для предприятий, которым сегодня нужны только возможности по передаче данных, а в дальнейшем планируется переход к мультисервисной сети или VPN.
Отметим, что все маршрутизаторы доступа Cisco включают специальную операционную систему Cisco Internet work Operating (Cisco IOS). Данная ОС поддерживает множество функций безопасности:
списки доступа, фильтрующие трафик;
средства усиленной аутентификации и авторизации, такие как Password Authentication Pretocol (PAP) и Challenge Handshake Authentication Protocol (CHAP).
Кроме того, аудит и протоколирование событий, шифрование данных, преобразование сетевых адресов (NAT), поддержка виртуальных частных сетей (VPN) еще больше усиливают предлагаемые проекты защиты. корпоративных данных.
Для подключения сети предприятия к Интернету можно использовать все существующие серии маршрутизаторов Cisco. Стартовая стоимость такого решения для небольшого предприятия составляет от 4000 $.
Защита на основе сервера доступа
Этот способ защиты основывается на выделенном сервере доступа к Интернету на базе ПК с ОС семейства Unix или ОС компании Microsoft.
В данном случае ПО выполняет функции маршрутизации, фильтрации, сервисного обслуживания и др.
Данное решение характеризуется минимальной начальной ценой (от 1500 $ за легальное программное обеспечение). Здесь по уровню надежности, безопасности и производительности наиболее предпочтительны решения на основе Unix-подобной операционной системы, например BSD/OS 4.0.
Однако заметим, что затраты на сопровождение данного решения, как правило, сопоставимы, а в ряде случаев даже превосходят стоимость предыдущего варианта защиты.
Проблема защиты корпопативных данных является достаточной сложной и многоплановой. Решить ее исключительно с помощью средств защиты от вторжения извне явно невозможно. Дополнительно здесь нужны системы адаптивного управления безопасностью, например системы обнаружения вторжений, сканирования и выявления уязвимостей фирм AXENT или ISS. Однако это выходит за рамки данной статьи и является предметом отдельного разговора.
Дата добавления: 2015-07-07; просмотров: 196 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Основные положения защиты информации в сетях | | | Общие и функциональные требования |