Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Безопасность или производительность

Симметричные методы шифрования | Электронная цифровая подпись | Подсистема обеспечения целостности | Архитектуры системы хранения данных | Подсистема антивирусной защиты | Обзор российского законодательства в области информационной безопасности | Роль ведомственных документов и стандартов информационной безопасности | Пакет руководящих документов Гостехкомиссии России | Пояснительные записки к эскизному, техническому проектам |


Читайте также:
  1. I. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РОССИЙСКОЙ ФЕДЕРАЦИИ
  2. Olgerd Символы в сновидениях и информационная безопасность
  3. А. Внешняя безопасность.
  4. Б. Внутренняя безопасность.
  5. Безопасность
  6. Безопасность
  7. Безопасность

На рынке корпоративных МЭ представлены два базовых механизма межсетевого экранирования: фильтрации пакетов с проверкой состояния протокола (Stateful Packet-Filter - SPF) и использование для фильтрации трафика приложений модулей-посредников (application proxy). SPF-устройства, такие как FireWall-1 NG компании Check Point Software Technologies, PIX компании Cisco и продукты компании NetScreen, проверяют пакеты вплоть до 4-го уровня (Layer 4), а в некоторых случаях идут даже несколько дальше, например, некоторые из них могут обрабатывать трафик FTP. Межсетевые экраны типа SPF имеют, как правило, более высокую производительность, так как выполняют минимальную обработку потока данных.

Межсетевые экраны типа application proxy, такие как Gauntlet компании Network Associates Technology, Sidewinder компании Secure Computing и Enterprise Firewall компании Symantec (известный прежде под именем Raptor -- продукт компании Axent), проверяют каждый пакет данных целиком вплоть до прикладного уровня, что обеспечивает более полный контроль трафика, пропускаемого на внутренние серверы. Например, модуль-посредник HTTP может быть сконфигурирован таким образом, чтобы разрешать команды get, но запрещать команды post, а также ограничивать длину URL-ссылок, преграждая таким образом путь атакам типа "переполнение буфера", или вводить ограничения на типы MIME, например, удалять исполняемые вложения и прочий опасный контент. МЭ на базе модулей-посредников обычно работают медленнее, чем МЭ на базе SPF, так как выполняют больший объем обработки данных.

Модули-посредники, обеспечивают более высокую степень безопасности, но делают это за счет производительности. Если ваш МЭ подсоединен к территориально-распределенной сети, например, линией T3 или более медленной, и вам не нужно поддерживать десятки тысяч одновременных сеансов, то МЭ application proxy действительно лучший для вас выбор. Вам следует знать нынешний уровень вашего трафика и его прогнозируемое значение, чтобы сообщить эту информацию вашему поставщику, тогда он сможет вам помочь в выборе подходящего оборудования. Вы, разумеется, всегда сможете сбалансировать нагрузку на МЭ при помощи внешних распределителей нагрузки (load-balancers).

Если же вы поддерживаете популярный Web-сайт и возникновение "пробок" для вас недопустимо, то выбирайте SPF-устройство. Такие МЭ лучше масштабируются и поддерживают большее число соединений, но они пропускают любой трафик, отвечающий установленным для протоколов правилам, так что атакам типа "переполнение буфера" и уровня приложений путь будет открыт. Если вам нужна производительность, обеспечиваемая решениями SPF, то позаботьтесь о том, чтобы ваши Web-серверы и серверы БД были хорошо защищены и снабжены самыми последними "заплатами".

Проблема производительности встанет еще острее, если вам потребуется выполнять процессы, сильно загружающие ЦПУ, например, при развертывании виртуальных частных сетей (VPN). Шифрование может "поставить на колени" самый мощный процессор, тем самым сведя на нет производительность МЭ. Практически все МЭ, имеющиеся на рынке, поддерживает VPN, и подчас их использование для организации виртуальных частных сетей оправдано. Однако если вы будете поддерживать большое число сетей или обширный список пользователей, то для обслуживания VPN-процессов следует применять оборудование, специально спроектированное для максимизации производительности операций шифрования (криптоакселераторы).

МЭ, использующие ЦПУ общего назначения, такие как FireWall-1 компании Check Point и PIX компании Cisco, не отвечают требованиям поддержки приложений среднего уровня пропускной способности (midlevel-bandwidth applications) даже при использовании криптоакселераторов. Некоторые МЭ, например, продукты компании NetScreen, выполняют большую часть обработки на аппаратном уровне и VPN-процессы им, таким образом, не мешают, но за это приходится платить некоторым снижением гибкости системы.


Дата добавления: 2015-10-24; просмотров: 57 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Обзор и классификация межсетевых экранов| Высокая готовность

mybiblioteka.su - 2015-2024 год. (0.007 сек.)