border=0


Строителство на авиационни двигатели Административно право Административно право Беларус Алгебра Архитектура Безопасност на живота Въведение в професията „психолог” Въведение в икономиката на културата Висша математика Геология Геоморфология Хидрология и хидрометрия Хидросистеми и хидравлични машини Машиностроене Медицина Психология икономика дескриптивна геометрия Основи на икономически т Oria професионална безопасност Пожарна тактика процеси и структури на мисълта, Професионална психология Психология Психология на управлението на съвременната фундаментални и приложни изследвания в апаратура социалната психология социални и философски проблеми Социология Статистика теоретичните основи на компютъра автоматично управление теория на вероятностите транспорт Закон Turoperator Наказателно право Наказателно-процесуалния управление модерна производствена Физика Физични феномени Философия Охлаждане и екология Икономика История на икономиката Основи на икономиката Икономика на предприятието Икономическа история Икономическа теория Икономически анализ Развитие на икономиката на ЕС Извънредни ситуации ВКонтакте Однокласници Моят свят Facebook LiveJournal Instagram

Техниката на защитната стена като основен софтуер и хардуерна реализация на политиката за мрежова сигурност в специален сегмент на IP мрежата




Софтуерни и хардуерни методи за защита срещу дистанционни атаки в Интернет

Софтуерните и хардуерните инструменти за осигуряване на информационната сигурност на комуникационните средства в компютърните мрежи включват:

· Кодиращи устройства за мрежов трафик;

· Техника на защитната стена, реализирана на базата на софтуер и хардуер;

· Защитени мрежови крипто-протоколи;

· Анализатори на хардуерния и софтуерния мрежов трафик;

· Сигурни мрежови операционни системи.

Има огромно количество литература, посветена на тези средства за защита, предназначени за използване в интернет (през последните две години статии по тази тема могат да бъдат намерени в почти всеки брой на всяко компютърно списание).

Защитната стена трябва да се разглежда като независима (и фундаментално важна) услуга за сигурност. Мрежовите реализации на тази услуга, наречени защитни стени (предложен превод на английската защитна стена ), са много широко разпространени; съществува терминология, се оформя класификация на механизмите.

Формалната формулировка на проблема със скрининга е следната. Да предположим, че има две групи информационни системи. Екранът е средство за диференциране на клиентския достъп от един комплект към сървър от друг комплект . Екранът изпълнява функциите си, като контролира всички информационни потоци между два комплекта системи.

В най-простия случай екранът се състои от два механизма, единият от които ограничава движението на данни, а вторият, напротив, го улеснява (т.е. извършва движение на данни). В по-общия случай, екранът (полупропусклива черупка) се смята за серия от филтри. Всеки от тях може да забави (да не пропусне) данните и може веднага да ги прехвърли на другата страна. Освен това е позволено да се прехвърли част от данните към следващия филтър, за да се продължи анализът, или да се обработят данни от името на получателя и да се върне резултата на подателя.

В допълнение към функциите за контрол на достъпа, екраните записват и обмен на информация. Обикновено екранът не е симетричен, за него се дефинират понятията „вътре” и „отвън”. В същото време задачата за скрининг е формулирана като защита на вътрешната зона от потенциално враждебната външна област. Затова защитните стени се инсталират, за да защитят локалната мрежа на организацията, която има достъп до отворена среда, подобна на интернет. Друг пример за екран е устройство за защита на портове, което контролира достъпа до комуникационния порт на компютъра преди и независимо от всички други функции за защита на системата.

Екранирането ви позволява да поддържате достъпността на услугите във вътрешната зона, намалявайки или елиминирайки натоварването, предизвикано от външна активност. Уязвимостта на услугите за вътрешна сигурност е намалена, тъй като първоначалният нападател трябва да преодолее екрана, където защитните механизми са конфигурирани особено внимателно и здраво. В допълнение, системата за пресяване, за разлика от универсалната, може да бъде подредена по опростен и следователно по-безопасен начин. Скринингът също така позволява да се контролират информационните потоци, насочени към външната област, което допринася за поддържането на режима на поверителност.


border=0


Важна концепция за скрининг е рискова зона , която се определя като набор от системи, които стават достъпни за нападателя след преодоляване на екрана или някой от неговите компоненти. Като правило, за да се подобри надеждността на защитата, екранът се реализира като колекция от елементи, така че „хакването” на един от тях все още не е отворен достъп до цялата вътрешна мрежа.

Така защитната стена, както от гледна точка на комбинирането с други служби за сигурност, така и от гледна точка на вътрешната организация използва идеята за многостепенна защита, поради което вътрешната мрежа е в рамките на рисковата зона само ако нападателят преодолее няколко, различни от организирани линии за сигурност.

Като цяло методът на защитната стена изпълнява следните три основни функции:

1. Многостепенно филтриране на мрежовия трафик

Филтрирането обикновено се извършва на три нива на OSI:

мрежа (IP);
транспорт (TCP, UDP);
приложение (FTP, TELNET, HTTP, SMTP и др.).



Филтрирането на мрежовия трафик е основната функция на системите за защитна стена и позволява на администратора за мрежова сигурност централизирано да внедрява необходимата политика за мрежова сигурност в специален сегмент на IP мрежата, т.е. чрез съответно задаване на защитната стена можете да разрешите или блокирате достъпа на потребителите до външната мрежа към съответните хост услуги или Хостове, разположени в защитения сегмент, и потребителите имат достъп от вътрешната мрежа до съответните ресурси на външната мрежа. Възможно е да се направи аналогия с локалния администратор на ОС, който, за да приложи политиката за сигурност в системата, подходящо определя подходящи отношения между субекти (потребители) и системни обекти (файлове, например), което позволява да се разграничи достъпа на субектите на системата до неговите обекти в съответствие с правата за достъп, зададени от администратора. , Същото се отнася и за филтрирането на защитната стена: IP адресите на хостовете на потребителите ще действат като обекти на взаимодействие, а IP адресите на хостовете, използваните транспортни протоколи и услугите за отдалечен достъп ще бъдат използвани като обекти за достъп.

2. Прокси-схема с допълнителна идентификация и удостоверяване на потребителя на хоста на защитната стена

Прокси схемата позволява, на първо място, при достъп до защитения сегмент на Firewall мрежата, е възможно да се извърши допълнителна идентификация и удостоверяване на отдалечения потребител, и второ, това е основа за създаване на частни мрежи с виртуални IP адреси. Смисълът на прокси схемата е да се създаде връзка с крайния получател чрез междинен прокси сървър ( прокси от пълномощника ) на хоста на защитната стена. На този прокси-сървър може да се извърши и допълнителна идентификация на абоната.

3. Създаване на частни мрежи (частна виртуална мрежа - PVN) с "виртуални" IP адреси (NAT - Превод на мрежови адреси)

В случай, че администраторът на мрежова сигурност смята, че е желателно да скрие истинската топология на неговата вътрешна IP мрежа, той може да бъде посъветван да използва системата за защитна стена за създаване на частна мрежа (PVN мрежа). На хостовете в PVN мрежата се задават "виртуални" IP адреси. За адресиране към външна мрежа (чрез защитната стена) е необходимо да се използват описаните по-горе прокси сървъри на хоста на защитната стена или да се използват специални маршрутизиращи системи (маршрутизиране), само чрез които е възможно външно адресиране. Това се дължи на факта, че виртуалният IP адрес, използван във вътрешната PVN мрежа, очевидно не е подходящ за външно адресиране (външното адресиране е адресирано до абонати извън мрежата PVN). Следователно прокси сървърът или инструментът за маршрутизация трябва да комуникират с абонатите от външната мрежа от нейния реален IP адрес. Между другото, тази схема е удобна, ако сте имали недостатъчен брой IP адреси, за да създадете IP мрежа (в IPv4 стандарта това се случва през цялото време, следователно, за да създадете пълноправна IP мрежа, използвайки прокси схема, имате нужда само от един специален IP адрес. адреси за прокси сървъра).

Така че всяко устройство, което изпълнява поне една от тези функции на техниката на защитната стена, е устройство за защитна стена. Например, нищо не ви пречи да използвате компютъра си като операционна система FreeBSD или Linux като хост на защитната стена, който трябва да компилира съответно ядрото на операционната система. Този тип защитна стена ще осигури само многостепенно филтриране на IP трафика. Друго нещо е, че мощните комплекси Firewall, направени на базата на компютър или мини-компютър, предлагани на пазара, обикновено изпълняват всички функции на Firewall-метода и са напълно функционални Firewall системи. Следващата фигура показва мрежов сегмент, отделен от външната мрежа от пълнофункционален хост на защитната стена.


Фиг. 7.5. Обобщена схема на пълнофункционален хост на защитната стена.

Въпреки това, администраторите на IP мрежи, поддаващи се на рекламните системи Firewall, не се бърка с факта, че Firewall е гаранция за абсолютна защита срещу дистанционни атаки в Интернет. Защитната стена не е толкова инструмент за сигурност, колкото възможността за централно прилагане на мрежова политика за ограничаване на отдалечения достъп до наличните ресурси в мрежата.





; Дата на добавяне: 2014-02-02 ; ; Видян: 762 ; Публикуваните материали нарушават ли авторските права? | | Защита на личните данни | РАБОТА ЗА ПОРЪЧКА


Не намерихте това, което търсите? Използвайте търсенето:

Най-добрите думи: Когато вземате лабораторни упражнения, студентът се преструва, че знае всичко; учителят се преструва, че му вярва. 8989 - | 7171 - или прочетете всички ...

Вижте също:

  1. I. Концепцията на системата за защита на сигурността
  2. II.2. Методът за изграждане на налягане и пиезометрични линии
  3. SKIP-технологията и SSL, S-HTTP криптопротоколите като основно средство за защита на връзката и предаване на данни в интернет
  4. Абсолютна ефективност. Индикатори, метод на изчисление
  5. Аграрна реформа ПА Столипин. Основната насока на тази реформа е разрушаването на селяните
  6. Администрация по сигурността
  7. Администрация по сигурността
  8. Акумулаторни плащания, генериране на карти за еднократна употреба, интернет карти. Един прост начин за решаване на проблема с високата цена на транзакциите - тяхното натрупване
  9. Съответствие на дисциплината. Режими за безопасност на живота
  10. Спешността на проблема със здравето и безопасността на медицинските
  11. Алгоритъм на социалната политика
  12. Анализ и оптимизация на мрежовия модел


border=0
2019 @ edubook.site

Генериране на страницата над: 0.002 сек.