Призначення міжмережевих екранів

 Призначення, можливості й основні захисні механізми міжмережевих екранів(брандмауерів)

Міжмережевий екран (МЕ) називають локальний або функціонально розподілений програмний (програмно—апаратний) засіб (комплекс), який реалізує контроль за інформацією, що надходить в автоматизовану систему і/або виходить з автоматизованої системи. Також зустрічаються загальноприйняті назви брандмауер і firewall (англ. вогняна стіна).

МЕ виконують такі функції:

  • фізичне відділення робочих станцій і серверів внутрішнього сегмента мережі від зовнішніх каналів зв’язку;
  • багатоетапну ідентифікацію запитів, що надходять в мережу;
  • перевірку повноважень і прав доступу користувача до внутрішніх ресурсів мережі;
  • реєстрацію всіх запитів до компонентів внутрішньої підмережі ззовні;
  • контроль цілісності програмного забезпечення і даних;
  • економію адресного простору мережі;
  • приховування IP—адреси внутрішніх серверів з метою захисту від хакерів.

         Існує три типи firewall: мережного рівня, прикладного рівня і рівня з’єднання. Кожен з цих трьох типів використовує свій, відмінний від інших підхід до захисту мережі.

         Firewall мережного рівня представлений екрануючим маршрутизатором. Він контролює лише дані мережевого і транспортного рівнів (див.Модель OSI) службової інформації пакетів. Мінусом таких маршрутизаторів є те, що ще п’ять рівнів залишаються неконтрольованими. Нарешті, адміністратори, які працюють з екрануючими маршрутизаторами, повинні пам’ятати, що у більшості приладів, що здійснюють фільтрацію пакетів, відсутні механізми аудиту та подачі сигналу тривоги. Іншими словами, маршрутизатори можуть піддаватися атакам і відбивати велику їх кількість, а адміністратори навіть не будуть проінформовані.

          Firewall прикладного рівня також відомий як проксі-сервер (сервер-посередник).Фаєрволи прикладного рівня встановлюють певний фізичний поділ між локальною мережею і Internet,тому вони відповідають найвищим вимогам безпеки. Проте, оскільки програма повинна аналізувати пакети і приймати рішення щодо контролю доступу до них, фаєрволи прикладного рівня неминуче зменшують продуктивність мережі, тому в якості сервера-посередника використовуються більш швидкі комп’ютери.

Фаєрвол рівня з’єднання схожий на фаєрвол прикладного рівня тим, що обидва вони являються серверами-посередниками. Відмінність полягає в тому, що firewall прикладного рівня вимагають спеціального програмного забезпечення для кожної мережевої служби на зразок FTP або HTTP. Натомість, firewall рівня з’єднання обслуговують велику кількість протоколів.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Основні ненавмисні і навмисні штучні загрози

Изображение
 Основні ненавмисні і навмисні штучні загрози Загроза інформаційної безпеки  — сукупність умов і факторів, що створюють небезпеку порушення  інформаційної безпеки [1] . За природою виникнення: Природні  (об'єктивні)  — викликані впливом на інформаційне середовище об'єктивних фізичних процесів або стихійних природних явищ, що не залежать від волі людини; Штучні   (суб'єктивні) — викликані впливом на інформаційну сферу людини. Серед штучних загроз у свою чергу виділяють: Ненавмисні   (випадкові) погрози, помилки програмного забезпечення, персоналу, збої в роботі систем, відмови обчислювальної та комунікаційної техніки;                             Декілька прикладів: ненавмісні дії, что приводять до часткової або повної відмові системи або руйнування апаратних, програмних, інформаційних ресурсов системи (ненавмісне псування обладнання, відалення, спотворення файлів з важлівою ...
Далее...

Технічні й програмні засоби добування інформації

Изображение
  Засоби добування інформації Легальні засоби одержання цінної інформації, тобто так зване   безневинне шпигунство, відрізняються правовою безпекою й не   вимагають великих витрат. В основі цих методів лежить аналітична робота фахівців, аналітиків під опублікованими й загальнодоступними матеріалами.  Напівлегальні засоби ·           Бесіди з фахівцями ·          Неправдиві конкурси і наймання ·          Використання фондів і товариств ·          Зманювання провідних спеціалістів ·           Використання наукових зв’язків ·          Гра на почуттях Нелегальні засоби       ·       злодійство;                    ...
Далее...

Система аналізу вмісту поштового і веб-трафіку

Изображение
  Система аналізу вмісту поштового і веб-трафіку Система mail-контент Система являє собою набір політик, правил, фільтрів для аналізу вхідного і вихідного поштового трафіку. Існує два способи роботи системи: 1. «В розриві»; 2. «В відгалуженні» У «розриві» — це режим, при якому вся вхідна та вихідна кореспонденція обов’язково проходить крізь контент — систему, яка, працюючи в online режимі, здійснює аналіз пошти і приймає рішення: відправка / затримка ітд. У «відгалуженні» — це режим, при якому система отримує копію поштового потоку. Аналіз вмісту і реакція на порушення політик йде як постфактум. Система mail-контент складається з двох груп серверів: -розбору поштового потоку; -зберігання поштових повідомлень. Ось простий приклад політики: Вхідна кореспонденція проходить обов’язкові фільтри: -антиспаму (тільки Вашу електронну пошту); -антивіруса (вхідна та вихідна); далі відбувається контент-перевірка: -листи від Топ менеджменту (акціонери і керівники компанії) не проходять перевірк...
Далее...