Автор работы: Пользователь скрыл имя, 17 Мая 2013 в 15:14, реферат
Согласно руководящему документу, межсетевые экраны - однокомпонентные или функционально распределенные средства, реализующие контроль за информацией, поступающей или исходящей в или из АС. Межсетевой экран разделяет сеть на две или более части и реализует набор правил - политику безопасности, определяющие условия прохождения пакетов из одной части сети в другую, а так же разрешенные службы и типы доступа.
Границы защищаемой сети обычно проводятся на стыке корпоративной сети и сети Интернет. Но можно располагать их и внутри корпоративной сети, например для защиты подразделений, где обрабатывается более конфиденциальная информация.
МЕЖСЕТЕВЫЕ ЭКРАНЫ.
Согласно руководящему
документу, межсетевые экраны - однокомпонентные
или функционально
Границы защищаемой сети обычно проводятся на стыке корпоративной сети и сети Интернет. Но можно располагать их и внутри корпоративной сети, например для защиты подразделений, где обрабатывается более конфиденциальная информация.
Самой простой политикой безопасности является предоставление доступа к интернету всем внутренним компьютерам корпоративной сети и полный запрет доступа из внешних к внутренним сетям.
Особенности межсетевых экранов
Недостатки:
Межсетевые экраны можно классифицировать в зависимости от уровня модели OSI, на котором они работают.
Коммутаторы
Позволяет привязать mac адреса сетевых карт компьютера к определенным портам коммутатора. Если считать информацию на основе адреса сетевых карт отправителя или получателя, реализуя при этом виртуальные локальные сети VLAN.
Коммутаторы могут позволять реализовывать VLAN на уровне портов своего.
Коммутатор может выступать в качестве межсетевого экрана канального уровня.
Недостатки:
Организация VLAN на уровне портов коммутатора более надежна, но не устраняет первый недостаток.
Межсетевые экраны с фильтрацией пакетов
Работают на сетевом
уровне и являются наиболее распространенным
простым средством для
Анализируется протокол сеансового уровня, информация о котором так же имеется в айпи-заголовках пакетов. В более развитых межсетевых экранах анализируется информация о TCP/UDP портах отправителя или получателя, которые относятся к сеансовому или транспортному уровню. Это позволяет реализовать доступ к компьютеру только определенным службам, запрещая доступ остальным.
Политика безопасности в виде следующей таблицы.
Тип пакета |
Адрес отправителя |
Порт отправителя |
Адрес получателя |
Порт получателя |
Действие |
Действия: разрешить, запретить
или отбросить. В последнем случае
пакет отбрасывается или
Последнее правило обычно - правило, запрещающее весь остальной трафик. В целом, межсетевые экраны продолжают проверку пока не найдут правило, которому соответствует обрабатываемый пакет. Если обрабатывается пакет, не соответствующий ни одному из правил таблицы, используется правило по умолчанию, в котором должно быть явно прописано, которое отбрасывает все пакеты, неудовлетворяющие низлежащим правилам.
Положительные достоинства данных межсетевых экранов - низкая стоимость, гибкие правила фильтрации, минимальная задержка при прохождении экрана, обеспечивается некоторый уровень безопасности при минимальной цене.
Недостатки - локальная
сеть видна или маршрутизируется
из интернета, при большом числе
правил их труднее тестировать, адреса
и порты отправителя и
Межсетевые экраны сеансового уровня
Они следят заа подтверждением связи между авторизованным клиентом и внешним компьютером, определяя, является ли запрашиваемый сеанс допустимым, при этом анализируется информация из заголовков пакетов сеансового уровня.
При запросе от клиентов, межсетевые экраны проверяют, удовлетворяет ли клиент базовым критериям фильтрации.
пропустил всю процедуру. :(
Продвинутые межсетевые экраны сеансового уровня способны обеспечить борьбу с дос атаками. Одним из ее примеров является атака synflood.
Когда сервер получает пакет с флагом syn, он выделяет дополнительную память для нового соединения. Обычно имеются ограничения на число создаваемых соединений. Резервирование памяти под соединение продолжается пока сервер не получит пакет с установленными флгами SYN и ACK или RST. Атака synflood предусматривает посылку на сервер множество TCP пакетов с флагом syn от имени несуществующих или неработающих компьютеров. Используется технология подмена айпи адресов. Важно чтобы пакеты отправлялись от имени нерабочего компьютера, так как если запрос идет от работоспособного компьютера, то когда сервер пошлет ему пакет с флагами SYN и ACK, тот сильно удивится и пошлет в ответ пакет с флагом RST, говорящий о том что ты мне совсем не нужен и я тобой не интересовался. При данной атаке, выделенная под установку нового соединения память быстро исчерпывается и сервер зависает.
Могут использоваться межсетевые экраны сеансового уровня.
В состав межсетевого экрана.
Еще один вариант защиты от dos-атак.
Прежде чем передавать пакет SYN на сервер, экран сам устанавливает соединение с внешним клиентом. Лишь после установления соединения, он инициализирует соединение с самим сервером.
Так же, к числу межсетевых
экранов можно отнести прокси-
При использовании NAT, внутренняя сеть имеет серые айпи-адреса, которые невидимы и недоступны в интернете. ЗЛО не сможет получить доступ к такому компьютеру. Для защиты компьютера корпоративной сети интернета, межсетевой экран перехватывает запрос, который поступает от имени клиента, посылая пакет от своего внешнего айпи-адреса. Полученный ответ передается внутреннему компьютеру, при этом межсетевой экран подставляет уже внутренний айпи-адрес. Это позволяет достичь сразу двух целей - обеспечить регулирование доступа к корпоративной сети и уменьшить число белых айпи-адресов, за которые в частности нужно платить правами.
Имеется несколько режимов NAT:
Межсетевой экран имеет один внешний айпи-адрес. Все обращения в доступную сеть со стороны клиентов внутренней сети осуществляются с использованием данного внешнего айпи-адреса, при этом при обращении клиента, межсетевой экран выделяет ему уникальный программный код транспортного протокола для одного и того же внешнего айпи-адреса. Динамический режим предназначен для компьютеров, которым необходим доступ в интернет.
Надо иметь в виду, что сервера, к которым должен быть доступ извне размещают в специальной зоне - демилитаризованной зоне. При этом, к этим серверам имеется доступ извне, но даже если ЗЛО сумеет их взломать, он не получит доступ в корпоративную сеть.
При статическом NAT межсетевой экран транслирует внутренние айпи-адреса во внешние и наоборот. Он используется когда во внутренней сети меется сервер, к которому должен быть доступ извне.
Недостатки:
Межсетевые экраны прикладного уровня
Они как и межсетевые экраны сеансового уровня, экраны прикладного уровня перехватывают входящие и исходящие пакеты, используя программы, которые перенаправляют информацию через межсетевой экран, исключая прямые соединения между клиентом и сервером, однако посредники, используемые экранами прикладного уровня имеют заметные отличия от посредников или прокси экранов сеансового уровня.
Образуется два соединения
- от клиента до экрана и от экрана
до сервера. При описании правил доступа,
анализируется служба или протокол,
имя пользователя и пароль, а так
же допустимый временной интервал использования
службы и компьютера или пользователя,
у которых возможен доступ. При
этом возможны различные схемы
Достоинства таких экранов:
Недостатки:
МЕЖСЕТЕВЫЕ ЭКРАНЫ КОНТЕКСТНОГО УРОВНЯ (stateful inspection firewall)
Включают в себя элементы трех ранее описанных межсетевых экранов.
Как и экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI и фильтруют пакеты на основе информации об ip-адресах, портах, источниках и клиентах. Они выполняют функцию межсетевых экранов сеансового уровня, определяя относятся ли пакеты к соответствующему сеансу. Они выполняют функции прикладного уровня, оценивая содержимое каждого пакета в соответствии с выбранной политикой безопасности, анализируя информацию прикладного уровня. Но если экраны прикладного уровня устанавливают два соединения, одно между клиентом и экраном, а второе между экраном и сервером, то межсетевые экраны экспортного уровня допускают прямое соединение между клиентом и сервером, используя вместо применения программ посредников специальный алгоритм распознавания и обработки данных на уровне приложений. При этом они сравниваются с известными шаблонами данных, что потенциально обеспечивает высокую эффективность фильтрации данных. Они прозрачны для пользователя и не требуют внесения изменений в клиентское ПО.