ВУЗ:
Составители:
таких как Telnet, FTP, HTTP, RLOGIN, и т.д., независимо от того, какой внутренний хост
запрашивается, должны проходить через соответствующий прокси-сервер на МЭ.
Прикладные шлюзы требуют прокси-сервера для каждого сервиса, такого как FTP,
HTTP и т.д., поддерживаемого МЭ. Когда требуемый сервис не поддерживается прокси,
у организации имеется три варианта действий:
•
отказаться от использования этого сервиса, пока производитель брандмауэра не
разработает для него безопасный прокси-сервер (многие новые сервисы имеют большое
число уязвимых мест);
•
разработать свой прокси – это достаточно сложная задача и должна решаться
только техническими организациями, имеющими соответствующих специалистов;
•
пропустить сервис через МЭ – большинство МЭ с прикладными шлюзами позво-
ляет пропускать большинство сервисов с минимальной фильтрацией пакетов.
Низкий риск. Когда для входящих сервисов внешней сети нет прокси-сервера, но
требуется пропускать его через МЭ, администратор МЭ должен использовать конфигу-
рацию или «заплатку», которая позволит использовать требуемый сервис.
Средний-высокий. Все входящие сервисы внешней сети должны обрабатываться
прокси-сервером на МЭ. Если требуется использование нового сервиса, то его использо-
вание должно быть запрещено до тех пор, пока производитель МЭ не разработает для
него прокси-сервер и он не будет протестирован администратором МЭ. Только по специ-
альному разрешению руководства можно разрабатывать свой прокси-сервер или закупать
его у других производителей.
9.3.3.3. Гибридные или сложные шлюзы
Гибридные шлюзы объединяют в себе два описанных выше типа МЭ и реализуют их
последовательно, а не параллельно. Если они соединены последовательно, то общая
безопасность увеличивается, с другой стороны, если их использовать параллельно, то
общая безопасность системы будет равна наименее безопасному из используемых мето-
дов. В средах со средним и высоким риском гибридные шлюзы могут оказаться идеаль-
ной реализацией.
В табл. 9.2 приводятся рейтинги и риски безопасности различных типов МЭ.
9.2. Рейтинги и риски безопасности межсетевых экранов
Архитектура МЭ Среда с ВР Среда со СР Среда с НР
Фильтрация пакетов 0 1 4
Прикладные шлюзы 3 4 2
Гибридные шлюзы 4 3 2
Примечание: 4 – рекомендованный вариант; 3 – эффективный вариант; 2 – допустимый ва-
риант; 1 – минимальная безопасность; 0 – неприемлемо.
Контрольные вопросы
1. Поясните цели политики безопасности в ИВС.
2.
Перечислите пояса защиты доступа в ИВС. Какие методы и средства защиты в
них используются?
3.
Предложите методы паролирования, которые обеспечивают надежное установ-
ление подлинности.
4.
Какие группы операций установления подлинности Вам известны?
5.
Приведите классификацию характеристик установления подлинности.
6.
В чем проявляется многоуровневая защита ИВС?
10. ЗАЩИТА ОТ ИНФОРМАЦИОННЫХ ИНФЕКЦИЙ. ВИРУСОЛОГИЯ
Информационные инфекции
специфически ориентированы и обладают определен-
ными чертами: противоправны (незаконны), способны самовосстанавливаться и размно-
жаться, а также имеют определенный инкубационный период – замедленное время нача-
ла действия.
Информационные инфекции имеют злонамеренный характер: их действия могут
иметь деструктивный результат (уничтожения набора данных), реже физическое уничто-
жение (резкое включение и выключение дисковода), сдерживающее действие (перепол-
нение канала ввода-вывода, памяти), или просто видоизменяющее влияние на работу
программ.
Самовосстановление и размножение приводит к заражению других программ и рас-
пространению по линиям связи.
Замедленное действие проявляется в том, что работа программы начинается на оп-
Страницы
- « первая
- ‹ предыдущая
- …
- 106
- 107
- 108
- 109
- 110
- …
- следующая ›
- последняя »
