Информационная безопасность. Корнюшин П.Н - 136 стр.

UptoLike

ВУЗ: 

ДВФУ | Владивосток

Составители: 

Рубрика: 

137
идентификацию и аутентификацию администратора при запуске КШ (средствами ЭЗ
Соболь”);
контроль целостности программного обеспечения КШ до загрузки операционной системы
(средствами ЭЗСоболь”).
Рис. 7.3. Обработка исходящих IP-пакетов
Обработка исходящих IP-пакетов представлена на рис. 7.3. Все IP-пакеты, поступившие от
внутренних абонентов защищаемого сегмента, вначале подвергаются фильтрации. Фильтрация
IP-пакетов осуществляется в соответствии с установленными администратором правилами на
основе IP-адресов отправителя и получателя, допустимых значений полей заголовка,
используемых портов UDP/TCP и флагов TCP/
IP-пакета. Если пакет не удовлетворят
правилам фильтрации, он отвергается. Отправитель пакета получает ICMP-сообщение о
недоступности абонента. При установке КШ автоматически генерируются правила,
необходимые для обеспечения защищенного взаимодействия с ЦУС, корректной работы
механизма маршрутизации пакетов, обработки управляющего трафика коммуникационного
оборудования и обеспечения возможности начала работы VPN-функций без дополнительного
конфигурирования.
IP-пакеты, удовлетворяющие правилам фильтрации, обрабатываются
блоком криптографической защиты и передаются на внешний интерфейс КШ. КШ-
отправитель обеспечивает его сжатие, шифрование и имитозащиту, инкапсуляцию в новый IP-
пакет, в котором в качестве IP-адреса приемника выступает IP-адрес КШ-получателя, а в
качестве IP-адреса источника выступает IP-адрес КШ-отправителя.
IP-пакеты, адресованные
абонентам, внешним по отношению к VPN-сети (Web-сайты, ftp-серверы), передаются в
открытом виде. Это позволяет использовать КШ при доступе к общедоступным ресурсам
сетей общего пользования в качестве межсетевого экрана пакетного уровня. Обработка
входящих пакетов представлена на рис. 7.4. Входящие
IP-пакеты от открытых абонентов 
•   идентификацию и аутентификацию администратора при запуске КШ (средствами ЭЗ
    “Соболь”);
•   контроль целостности программного обеспечения КШ до загрузки операционной системы
    (средствами ЭЗ “Соболь”).




                          Рис. 7.3. Обработка исходящих IP-пакетов




•   Обработка исходящих IP-пакетов представлена на рис. 7.3. Все IP-пакеты, поступившие от
    внутренних абонентов защищаемого сегмента, вначале подвергаются фильтрации. Фильтрация
    IP-пакетов осуществляется в соответствии с установленными администратором правилами на
    основе IP-адресов отправителя и получателя, допустимых значений полей заголовка,
    используемых портов UDP/TCP и флагов TCP/IP-пакета. Если пакет не удовлетворят
    правилам фильтрации, он отвергается. Отправитель пакета получает ICMP-сообщение о
    недоступности абонента. При установке КШ автоматически генерируются правила,
    необходимые для обеспечения защищенного взаимодействия с ЦУС, корректной работы
    механизма маршрутизации пакетов, обработки управляющего трафика коммуникационного
    оборудования и обеспечения возможности начала работы VPN-функций без дополнительного
    конфигурирования. IP-пакеты, удовлетворяющие правилам фильтрации, обрабатываются
    блоком криптографической защиты и передаются на внешний интерфейс КШ. КШ-
    отправитель обеспечивает его сжатие, шифрование и имитозащиту, инкапсуляцию в новый IP-
    пакет, в котором в качестве IP-адреса приемника выступает IP-адрес КШ-получателя, а в
    качестве IP-адреса источника выступает IP-адрес КШ-отправителя. IP-пакеты, адресованные
    абонентам, внешним по отношению к VPN-сети (Web-сайты, ftp-серверы), передаются в
    открытом виде. Это позволяет использовать КШ при доступе к общедоступным ресурсам
    сетей общего пользования в качестве межсетевого экрана пакетного уровня. Обработка
    входящих пакетов представлена на рис. 7.4. Входящие IP-пакеты от открытых абонентов


                                            137

Страницы