АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Принципы функционирования межсетевых экранов

Читайте также:
  1. I. Структурные принципы
  2. II. Принципы процесса
  3. II. Принципы средневековой философии.
  4. II. ЦЕЛИ, ЗАДАЧИ И ПРИНЦИПЫ ДЕЯТЕЛЬНОСТИ ВОИ
  5. II.4. Принципы монархического строя
  6. III. Принципы конечного результата
  7. III. Принципы конечного результата.
  8. VI. Биоэнергетические принципы аналитической терапии
  9. Анализ деятельности Финской спортивной федерации по модели процесса эффективности функционирования
  10. Астральное Каратэ: Принципы и практика
  11. Базовые принципы хорошего корпоративного управления
  12. Барокко как выр-е кризиса Ренессанса. Осн худ принципы Барокко.

Межсетевой экран (Firewall, брандмауэр) – программное (программно-аппаратное) средство для контроля за потоками информации. Функции: перехват пакетов информации, анализ в соответствии с политикой (заданными правилами), отправка далее или блокирование пакета (рис. 4).

 

 

Рис. 4. Действие межсетевого экрана

 

Например, можно запретить передачу на компьютер рекламы, картинок определенного типа, размера, названия, сайтов с определенными именами или содержанием (проверяется наличие в тексте определенных пользователем слов) (рис. 5). Кроме того, опознаются известные типы атак со стороны сети, защищаются любые порты компьютера, контролируется доступ в сеть со стороны программ: все программы, которые обращаются в сеть, делятся на категории: доверенные, которым любой доступ разрешен, пользовательского уровня (решение принимает пользователь) и запрещенные.

 

Рис. 5. Пример настройки межсетевого экрана

 

Без защиты МЭ не стоит и думать о постоянном подключении к Internet. Даже если вы считаете, что у вас нет секретов от других, всегда в Internet найдутся люди, желающие «зайти» на ваш сервер либо из-за желания воспользоваться бесплатными ресурсами, либо просто из любопытства. Скоро вы заметите, что дискового пространства становится маловато, да и канал в Internet перегружен. Некоторые типы атак в сети представлены в таблице 2.

Передаваемые по сети данные разбиваются на пакеты. Каждый пакет имеет исходящий и входящий IP адрес, а также указание на службу TCP / IP, которая будет обрабатывать данный пакет.

Политика доступа специфична для конкретного МЭ и определяет правила, используемые для реализации политики доступа к сервисам. Реализуется одна из двух базовых политик: разрешить доступ для сервиса, если он явно не запрещен; запретить доступ для сервиса, если он явно не разрешен.

Таблица 2. Некоторые типы атак в сети

Сканирование портов Запрашиваются порты компьютера, чтобы определить, к какому можно подсоединиться, чтобы получить контроль
My Address Перехват IP вашего компьютера, имитация его в сети и захват всех соединений
Denial of Service Большое количество данных посылается на порт, чтобы вызвать ошибку или зависание системы
Fragmented Размер пересылаемого пакета больше допустимого, возможно переполнение стека и зависание системы
Short Fragments Пакет разбивается на фрагменты, которые изменяются так, что после сборки пакет приводит к зависанию системы
nuke Попытка захватить соединение и обойти брандмауэр и другие системы обнаружения атак

 

В соответствии с требованием нормативных документов России системы МЭ должны принимать решение на основе как минимум двух атрибутов (адрес отправителя / адрес получателя). Таблица правил может выглядеть следующим образом (табл. 3).

Таблица 3. Пример правил для межсетевого экрана

Адрес отправителя Адрес получателя Действие
194.226.0.0/16 194.85.21.0/24 Разрешить
194.226.55.0/24 194.85.0.0/16 Запретить
0.0.0.0/0 0.0.0.0/0 Запретить

 

МЭ не может защитить от атак, которые исходят из организации, впрочем, флэш-память, диск или распечатка могут быть использованы с таким же успехом, чтобы похитить секретную информацию. Безграмотный пользователь или злоумышленник может передать информацию из организации и по телефону или факсу.

Использование даже самой надежной системы МЭ, не подкрепленное соответствующими административными мерами – это все равно, что ставить дверь из нержавеющей стали на деревянный сарай.

МЭ плохо защищает от вирусов и других вредоносных программ. Чтобы обеспечить эффективную защиту от вирусов, необходим целый комплекс мер (как технических, так и административных), включая установку антивирусных программ на рабочие станции и файл-серверы, обучение сотрудников и выработку системы правил безопасности в организации.

В связи с тем, что, в соответствии со статистическими экспертными данными большинство сетевых проблем безопасности связано с вредоносными программами, это направление защиты рассмотрено отдельно.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.003 сек.)