ВУЗ:
Составители:
Рубрика:
Шлюзы линий связи.
Шлюз
линий связи
–
это прокси-сервер, который подтверждает разрешение на
сессию ТСР или UDР, прежде чем линия связи пройдёт через межсетевой экран. Шлюз данного уровня ак-
тивно участвует в формировании канала передачи данных и не позволяет пакетам проходить через него, ес-
ли не соблюдены необходимые правила доступа.
Шлюз линий связи обеспечивает более слабую защиту по сравнению со шлюзом приложений, посколь-
ку первый разрешает сессию ТСР или UDР
без детального анализа приложений, использующих эти транс-
портные службы. Более того, после начала сессии приложение, которому потребовалась транспортировка,
может использовать любую сформированную линию связи. Эта особенность снижает защищённость сети от
атак злоумышленников. В отличие от шлюза соединений шлюз приложений может отделить приложения,
которые следует блокировать, от тех, что необходимо пропустить.
Фильтры пакетов с сохранением адресов. Хотя шлюзы приложений обеспечивают наивысшую
степень безопасности среди рассмотренных ранее межсетевых экранов, выполняемая ими тщательная
проверка снижает производительность сети. Шлюз, фильтрующий пакеты с сохранением адресов, по-
зволяет обеспечить жёсткие требования по безопасности, не снижая производительности сети. В отли-
чие от шлюза приложений он проверяет поступающие пакеты на сетевом уровне, но не обрабатывает
их. Данный брандмауэр сохраняет информацию о режиме каждой сессии. Режим сессии включает фазу
взаимодействия и конечный пункт, в котором находится приложение. Когда фильтр пакетов с сохране-
нием адреса принимает пакет с данными, он проверяет его содержимое на соответствие режиму сессии.
Если содержимое пакета отличается от ожидаемого режима, шлюз блокирует продолжение сессии.
Архитектура межсетевого экрана.
Архитектура МСЭ
–
это способ расположения компонентов
брандмауэра, обеспечивающий эффективную защиту от несанкционированного доступа. Архитектуру
МСЭ определяют уже после того, как разработана стратегия защиты сети, поскольку межсетевой экран
усиливает её [4].
В стратегии защиты сети особое внимание уделяется безопасности её границ, так называемому
пе-
риметру сети.
Корпоративная сеть обычно содержит множество периметров, которые условно можно
разделить на три группы. Это
дальний периметр
сети, один или несколько
внутренних периметров
и
пе-
риметр, ближайший к ядру сети
.
Дальний периметр служит границей между корпоративными ресурса-
ми, которые необходимо защищать, и ресурсами внешних структур, которые компанией не контроли-
руются. Внутренние периметры ограничивают часть корпоративной сети, для которой необходима до-
полнительная защита.
Рис. 2.3. Периметры сети
Взаимосвязь между тремя типами периметров сети показана на рис. 2.3. Здесь представлена только
одна возможная конфигурация МСЭ. Далеко не все сети оборудуются тремя уровнями сетевых пери-
метров. Организации следует подобрать необходимое число межсетевых экранов в соответствии с кон-
кретной стратегией безопасности.
Рассмотрим три наиболее распространённых архитектуры брандмауэров.
Межсетевой экран с двунаправленным хостом
. Данный МСЭ оборудуется двумя интерфейсами.
Один интерфейс соединяет хост с частной сетью, другой обеспечивает подключение к Internet или лю-
бой другой незащищённой сети. Следовательно, весь IР-трафик, поступающий из Internet, прежде чем
Страницы
- « первая
- ‹ предыдущая
- …
- 36
- 37
- 38
- 39
- 40
- …
- следующая ›
- последняя »
