Читайте также:
|
|
Политика межсетевого взаимодействия подразумевает формирование:
· Политики доступа к сетевым сервисам
· Политики работы МЭ
Политика доступа к сетевым сервисам устанавливает правила предоставления сервисов защиты информации. Она устанавливает допустимые адреса клиентов для каждого сервиса. Кроме того, в ней устанавливаются правила для пользователей, определяющие когда, кто, каким сервисом и на каком компьютере может воспользоваться. Кроме того задаются ограничения на методы доступа, например, на использование протоколов SLIP (Serial Line Internet Protocol), PPP(Point-to-Point Protocol). Ограничения на методы доступа обеспечивают защиту от несанкционированного использования «запрещенных» сервисов Internet обходными путями. Правила аутентификации пользователей и компьютеров, а также условия работы вне локальной сети должны определяться отдельно.
Политика работы МЭ определяет базовые принципы управления межсетевым взаимодействием. При этом можно выбрать один из двух возможных принципов:
· Запрещено все, что не разрешено
· Разрешено все, что не запрещено.
Выбор принципа – это выбор компромисс между удобством использования и степенью безопасности. Первый принцип автоматически обеспечивает минимизацию привилегий. При этом Администратор задает правила доступа на каждый тип разрешенного взаимодействия. Правила доступа, созданные по этому принципу, могут создавать пользователям определенные неудобства.
Второй принцип обеспечивает блокирование только явно запрещенные межсетевые взаимодействия. При этом пользователи имеют возможности обойти МЭ, например, используя доступ к новым сервисам, не запрещенным политикой или запустить запрещенные сервисы на нестандартных портах TCP\UDP, которые не запрещены политикой. Администратор должен оперативно реагировать на изменения, предсказывая и запрещая межсетевые взаимодействия, отрицательно влияющие на безопасность.
В общем случае работа МЭ основана на выполнении 2 функций:
· Фильтрация проходящих потоков
· Посредничество при реализации межсетевых взаимодействий
Полнота и правильность управления требуют, чтобы МЭ осуществлял анализ:
· Информации о соединениях от всех семи уровней в пакете
· Истории соединений – информации от предыдущих соединений
· Состояния уровня приложений – информации полученной от других приложений. Например, пользователю можно предоставлять доступ через МЭ только для авторизированных видов сервиса
· Агрегирующих вычислений различных выражений, основанных на указанных выше факторах
Основные схемы подключения МЭ.
Часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями закрытости:
· Свободно доступный сегмент (например, рекламный сервер)
· Сегмент с ограниченным доступом (например для доступа сотрудникам с удаленных узлов)
· Закрытый сегмент (например, финансовая группа)
Широко распространены следующие схемы подключения:
· Схема экранирующего маршрутизатора
· Схема единой защиты локальной сети
· Схема защищаемой закрытой и не защищаемой открытой подсетями
· Схема с раздельно защищаемыми закрытой и открытой подсетями.
Если в состав локальной сети имеются общедоступные открытые серверы, то их целесообразно вынести в открытую часть подсети.
Если же безопасность открытых серверов нуждается в повышенных требованиях, необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.
Удобным средством организации схемы защиты сети является распределенный МЭ (distributed firewall) – централизованно управляемая совокупность сетевых мини-экранов, защищающих отдельные компьютеры сети. Эти средства не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы узла (защищенные каналы VPN), что позволяет обеспечить защиту сетей с нечетко определенными границами.
Для реализации этих функций выпускаются МЭ в двух версиях:
· Персональной (для индивидуальных пользователей)
· Распределенной (для корпоративных пользователей)
В настоящее время до 50% атак осуществляется изнутри локальных сетей, поэтому корпоративную локальную сеть можно считать защищенной только при наличии МЭ, обеспечивающих безопасность отдельных компьютеров и фрагментов сети.
МЭ не решает все проблемы безопасности корпоративной сети. Отметим наиболее существенные из набора ограничений, связанных с использованием МЭ:
· Ограничение пропускной способности
· Отсутствие встроенных механизмов защиты от вирусов
· Отсутствие эффективной защиты от потенциально опасных программ (ActiveX и т.п.).
· Отсутствие средств защиты от ошибок администрирования и пользователей
· МЭ по существу являются средствами защиты от прямых состоявшихся атак.
Дата добавления: 2015-09-05; просмотров: 145 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Прикладной шлюз. | | | Регламентация и юрисдикция |