Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3 Архитектура Биология География Другое Иностранные языки Информатика История Культура Литература Математика Медицина Механика Образование Охрана труда Педагогика Политика Право Программирование Психология Религия Социология Спорт Строительство Физика Философия Финансы Химия Экология Экономика Электроника

Объясните понятие межсетевого экрана и охарактеризуйте возможности использования.

Межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.Межсетевой экран в отличии от маршрутизатора, представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку определенного трафика.Существуют два основных типа межсетевых экранов: межсетевые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией. Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой программные пакеты, базирующиеся на операционных системах общего назначения (таких как Windows NT и Unix) или на аппаратной платформе межсетевых экранов. Межсетевой экран обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.Правила политики безопасности усиливаются посредством использования модулей доступа. В межсетевом экране прикладного уровня каждому разрешаемому протоколу должен соответствовать свой собственный модуль доступа. Лучшими модулями доступа считаются те, которые построены специально для разрешаемого протокола. Например, модуль доступа FTP предназначен для протокола FTP и может определять, соответствует ли проходящий трафик этому протоколу и разрешен ли этот трафик правилами политики безопасности.При использовании межсетевого экрана прикладного уровня все соединения проходят через него (см. рис. 1). Соединение начинается на системе-клиенте и поступает на внутренний интерфейс межсетевого экрана. Межсетевой экран принимает соединение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам политики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой-сервером.Межсетевые экраны прикладного уровня используют модули доступа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю. Таким образом, межсетевой экран защищает системы от атак, выполняемых посредством приложений.Дополнительным преимуществом архитектуры данного типа является то, что при ее использовании очень сложно, если не невозможно, "скрыть" трафик внутри других служб. Например, некоторые программы контроля над системой, такие как NetBus и Back Orifice, могут быть настроены на использование любого предпочитаемого пользователем порта. Если модуль доступа отсутствует, то конкретный протокол не может использоваться для соединения через межсетевой экран.Межсетевой экран также скрывает адреса систем, расположенных по другую сторону от него. Так как все соединения инициируются и завершаются на интерфейсах межсетевого экрана, внутренние системы сети не видны напрямую извне, что позволяет скрыть схему внутренней адресации сети. Межсетевые экраны с пакетной фильтрацией могут также быть программными пакетами, базирующимися на операционных системах общего назначения (таких как Windows NT и Unix) либо на аппаратных платформах межсетевых экранов. Межсетевой экран имеет несколько интерфейсов, по одному на каждую из сетей, к которым подключен экран. Аналогично межсетевым экранам прикладного уровня, доставка трафика из одной сети в другую определяется набором правил политики. Если правило не разрешает явным образом определенный трафик, то соответствующие пакеты будут отклонены или аннулированы межсетевым экраном.Правила политики усиливаются посредством использования фильтров пакетов. Фильтры изучают пакеты и определяют, является ли трафик разрешенным, согласно правилам политики и состоянию протокола (проверка с учетом состояния). Если протокол приложения функционирует через TCP, определить состояние относительно просто, так как TCP сам по себе поддерживает состояния. Это означает, что когда протокол находится в определенном состоянии, разрешена передача только определенных пакетов. Если протоколом соединения является UDP, межсетевой экран с пакетной фильтрацией не может использовать присущее протоколу состояние, вместо чего отслеживает состояние трафика UDP. Как правило, межсетевой экран принимает внешний пакет UDP и ожидает входящий пакет от получателя, соответствующий исходному пакету по адресу и порту, в течение определенного времени. Если пакет принимается в течение этого отрезка времени, его передача разрешается. В противном случае межсетевой экран определяет, что трафик UDP не является ответом на запрос, и аннулирует его.При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на межсетевом экране, а направляются непосредственно к конечной системе. При поступлении пакетов межсетевой экран выясняет, разрешен ли данный пакет и состояние соединения правилами политики. Если это так, пакет передается по своему маршруту. В противном случае пакет отклоняется или аннулируется.Как правило, межсетевые экраны с фильтрацией пакетов имеют возможность поддержки большего объема трафика, т. к. в них отсутствует нагрузка, создаваемая дополнительными процедурами настройки и вычисления, имеющими место в программных модулях доступа.Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер. Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, межсетевой экран никак не отреагирует на атаку.Качественно созданный набор правил не менее важен, чем аппаратная платформа. Большая часть межсетевых экранов работает по принципу "первого соответствия" при принятии решения о передаче или отклонении пакета. При построении набора правил согласно алгоритму "первого соответствия" наиболее специфичные правила располагаются в верхней части набора правил, а наименее специфичные (т. е. более общие) - в нижней части набора. Такое размещение правил гарантирует, что общие правила не перекрывают собой более специфичные. Межсетевые экраны прикладного уровня: Шлюзы сеансового уровня, Посредники прикладного уровня Межсетевые экраны с пакетной фильтрацией: Коммутаторы, Пакетные фильтры

43. Файл - это именованная область памяти на одном из дисков, в которой может храниться текст программы, какое-либо из ее промежуточных представлений, исполняемая программа или данные для ее работы. В файлах могут содержаться также любые текстовые документы, электронные таблицы или закодированные графические изображения. Наконец, файл может содержать в себе целую базу данных или ее часть.В современных ОС файлы обычно представляют собой неструктурированную последовательность байтов (длина записи равна 1) и считывание очередного байта осуществляется с так называемой текущей позиции, которая характеризуется смещением от начала файла. КАТАЛОГ - это поименованное место на диске, в котором хранятся файлы. Файлы на диске образуют иерархическую древовидную структуру. Основные функции файловой системы: 1. Идентификация файлов. Связывание имени файла с выделенным ему пространством внешней памяти;2. Распределение внешней памяти между файлами. Для работы с конкретным файлом не требуется иметь информацию о местоположении этого файла на внешнем носителе информации. Например, для того, чтобы загрузить документ в редактор с жесткого диска нам не требуется знать на какой стороне какого магнитного диска и на каком цилиндре и в каком секторе находится требуемый документ;3. Обеспечение надежности и отказоустойчивости. Стоимость информации может во много раз превышать стоимость компьютера;4. Обеспечение защиты от НСД;5. Обеспечение совместного доступа к файлам, не требуя от пользователя специальных усилий по обеспечению синхронизации доступа;6. Обеспечение высокой производительности. Группы пользователей в Windows. Группа пользователей представляет собой набор учетных записей пользователей, имеющих одинаковые права безопасности. Иногда группы пользователей называют группами безопасности.Учетная запись может входить в одну или несколько групп. Двумя наиболее распространенными группами пользователей являются группа стандартных пользователей и группа администраторов. Учетную запись часто называют по имени группы, в которую она входит (например, учетная запись, входящая в группу стандартных пользователей, называется стандартная учетная запись). Используя учетную запись администратора, можно создавать новые группы пользователей, перемещать учетные записи из одной группы в другую, добавлять учетные записи в различные группы или удалять их. При создании новой группы пользователей можно самостоятельно определить, какие права к ней будут применены.-Откройте консоль управления Microsoft: нажмите кнопку Пуск, в поле Поиск введите mmc и нажмите клавишу ВВОД.‌ Введите пароль администратора или подтверждение пароля, если появится соответствующий запрос.-В левой области выберите Локальные пользователи и группы;--Если локальные пользователи и группы не отображаются; сли локальные пользователи и группы не отображаются, то, возможно, в консоль управления не была добавлена оснастка. Чтобы установить оснастку;--В консоли управления щелкните меню Файл и выберите команду Добавить или удалить оснастку.;-Нажмите Локальные пользователи и группы, а затем нажмите кнопку Добавить.; -Нажмите Локальный компьютер, а затем нажмите кнопку Готово; -Нажмите кнопку ОК; -Дважды щелкните папку Группы; -Щелкните Действие, затем щелкните Создать группу;-Введите имя группы и описание;-Щелкните Добавить и введите имя учетной записи;-Щелкните Проверить имена, а затем нажмите кнопку ОК;-Щелкните Создать. Контроль доступа к файлам: Наличие в системе многих пользователей предполагает организацию контролируемого доступа к файлам. Выполнение любой операции над файлом должно быть разрешено только в случае наличия у пользователя соответствующих привилегий. Обычно контролируются следующие операции: Read, Write, Execute, Append, Delete, List.Как стать владельцем файла. Для того, чтобы получить доступ к защищенному файлу, необходимо быть его владельцем. Если доступ ограничен другим пользователем, а вы являетесь администратором компьютера, можно получить доступ к файлу, став его владельцем; -Чтобы стать владельцем файла, выполните следующие действия;-Щелкните правой кнопкой значок файла, владельца которого необходимо сменить, и выберите команду Свойства;-Откройте вкладку Безопасность и нажмите кнопку OК, если появится сообщение безопасности;-Нажмите кнопку Дополнительно и перейдите на вкладку Владелец;-В столбце Имя выделите запись Администратор или группу Администраторы и нажмите кнопку OК.Чтобы изменить разрешения для файла, владельцем которого вы являетесь, выполните следующие действия:-Нажмите кнопку Добавить;-В списке Введите имена выбираемых объектов (примеры) введите пользователя или группу, которые должны обладать правом доступа к этому файлу (например, Администратор);-Нажмите кнопку ОК;-В списке Группы или пользователи выделите нужную учетную запись и установите флажки соответствующих разрешений;-По окончании нажмите кнопку OК. Теперь можно получить доступ к файлу. Как стать владельцем папки: Для того, чтобы получить доступ к защищенной папке, необходимо быть ее владельцем. Если доступ ограничен другим пользователем, а вы являетесь администратором компьютера, можно получить доступ к папке, став ее владельцем.Чтобы стать владельцем папки, выполните следующие действия:-Щелкните правой кнопкой значок папки, владельца которой необходимо сменить, и выберите команду Свойства;-Откройте вкладку Безопасность и нажмите кнопку OК, если появится сообщение безопасности;-Нажмите кнопку Дополнительно и перейдите на вкладку Владелец;-В столбце Имя выделите свое имя пользователя или запись Администратор (если вход в систему был выполнен с помощью учетной записи "Администратор") или группу Администраторы. Чтобы стать владельцем содержимого папки, установите флажок Заменить владельца субконтейнеров и объектов;-Нажмите кнопку OК, а после появления указанного ниже сообщения — кнопку Да. Вы не имеете разрешения на чтение содержимого папки имя папки. Хотите заменить разрешения для этой папки так, чтобы иметь права полного доступа? Все разрешения будут заменены, если нажать кнопку Да. -Нажмите кнопку ОК и настройте параметры безопасности для папки и ее содержимого;Чтобы настроить разрешения для общей папки с использованием интерфейса Windows:-Откройте «Управление компьютером»;-В дереве консоли щелкните Служебные, Общие папки, а затем - Ресурсы;-В области сведений щелкните правой кнопкой мыши общую папку и выберите команду Свойства. -На вкладке Разрешения для общего ресурса задайте нужные разрешения: Чтобы предоставить разрешения на доступ к общей папке пользователю или группе, нажмите кнопку Добавить. В диалоговом окне Выбор пользователей, компьютеров» или групп найдите или введите имя пользователя или группы, а затем нажмите кнопку ОК;- Чтобы отменить доступ к общей папке, нажмите кнопку Удалить; - Чтобы задать отдельные разрешения для пользователя или группы, установите соответствующие флажки Разрешить или Запретить в окне Разрешения для группы или пользователя; -Чтобы задать разрешения на доступ к файлам или папкам для пользователей, входящих в систему локально или с использованием служб удаленных рабочих столов, откройте вкладку Безопасность и задайте соответствующие разрешения. Чтобы задать для пользователя разрешения на доступ к файлу с помощью командной строки: cacls /G <user:permission>.Шифрование папки или файла.-Щелкните правой кнопкой мыши папку или файл, которые требуется зашифровать, и щелкните Свойства;-Перейдите на вкладку Общие и щелкните Дополнительно;-Установите флажок Шифровать содержимое для защиты данных и последовательно нажмите кнопку ОК два раза.Аудит доступа к объектам:Этот параметр безопасности определяет, подлежит ли аудиту событие доступа пользователя к объекту — например к файлу, папке, разделу реестра, принтеру и т.п., — для которого задана собственная системная таблица управления доступом (SACL).Чтобы просмотреть журнал безопасности: Откройте окно «Просмотр событий»; В дереве консоли щелкните узел Безопасность. В области сведений будет отображен список отдельных событий безопасности.

44. Виды инф. Дискретная характеризуется последовательными точными значениями некоторой величины, а непрерывная -непрерывным процессом изменения некоторой величины. Непрерывную информацию может, например, выдавать датчик атмосферного давления или датчик скорости автомашины. Дискретную информацию можно получить от любого цифрового индикатора: электронных часов, счетчика магнитофона и т.п. Кодирование - преобразование дискретной информации одним из след. способов:шифрование,сжатие,защита от шума.Перевод непрерыв. в дискретн

частота дискретизации F, определяетпериод (Т = 1/ F) между измерениями значений непрерывной величины. Эту частоту разумно увеличивать только до предела, определяемого теоремой о выборках( для точной дискретизации ее частота должна быть не менее чем в два раза выше наибольшей частоты гармоники, входящей в дискретизируемую величину ). Ухо обычного человека способно различать звуки с частотой до 20КГц

=> записывать более высокие звуки бессмысленно

Мера информации по Шеннону.

1)a = b заключает информацию о том, что a равно b.

a² = b² несет меньшую информацию, чем первое, т.к. из первого следует второе, но не наоборот.Равенство a³ = b³ несет в себе информ. по объему такую же, как и 1-е.

2) некоторые измерения с некоторой погрешностью, чем больше измерений, тем больше информации об измеряемой сущности будет получено

3) Пусть передатчик описывается случайной величиной, X. Тогда из-за помех на приемник будет приходить С.В., Y = X + Z, где – Z-С.В., описывающая помехи.В этой схеме можно говорить о количестве информации, содержащейся в случайной величине Y, относительно X. Чем ниже уровень помех (дисперсия мала), тем больше информации можно получить из Y.При отсутствии помех Y содержит в себе всю информацию об X.

В основе теории информации лежит предложенный Шенноном способ измерения количества информации, содержащейся в одной случайной величине, относительно другой случайной величины. Этот способ приводит к выражению количества информации числом.

Для дискретных случайных величин X и Y, заданных законами распределения P(X = X₁) = Pi, P(Y = Yj) = q_i и совместным распределением, P(X = X_s, X = X_i) = p_ij-количество информации, содержащейся в X относительно Y равно

Для непрерывных случайных величин, X и Y, заданных плотностями распределения вероятностей, Px(t₁), Py(t2) и Pxy(t1t2), количество информации, содержащейся в X относительно Y равно

Энтропия -мера неопределённости, связанной со случайной величиной (с.в.); определяет количество информации, содержавшейся в сообщении (обычно в битах или битах на символ); минимальная длина сообщения, необходимая для передачи информации; также абсолютный предел наиболее возможного сжатия без потерь любого сообщения: при представлении сообщения рядом символов, кратчайшее представление, необходимое для передачи сообщения — это энтропия Шеннона в битах на символ, умноженная на число символов в исходном сообщении.

Энтропия принимает наибольшее значение для равновероятного распределения, когда все вероятности pk одинаковы; т.е. когда неопределённость, разрешаемая сообщением, макс

Энтропия Д.С.В. - это минимум среднего количества бит, которое нужно передавать по каналу связи о текущем значении данной Д.С.В.

Свойсва:1) I(X,Y)≥0, I(X,Y)=0↔X и Y- независимы

2) I(X,Y)=I(Y,X)

3) HX=0↔X-константа

4) I(X,Y)=HX+HY-H(X,Y), -ф-я от Y

Если X - инъективная функция от Y, то I(X,Y)=I(X,X)

Дата добавления: 2015-11-14; просмотров: 34 | Нарушение авторских прав