Основы работы в Интернет. Часть 3 (углубленный уровень подготовки). Кревский И.Г - 54 стр.

UptoLike

ВУЗ: 

ПГУ | Пенза

Составители: 

Рубрика: 

54
32. МЕЖСЕТЕВОЙ ЭКРАН - ИНСТРУМЕНТ РЕАЛИЗАЦИИ
ПОЛИТИКИ БЕЗОПАСНОСТИ
Рассмотрим структуру информационной системы предприятия (организации). В общем
случае она представляет собой неоднородный набор (комплекс) из различных компьютеров,
управляемых различными операционными системами и сетевого оборудования, осуществляющего
взаимодействие между компьютерами. Поскольку описанная система весьма разнородна (даже
компьютеры одного типа и с одной ОС могут, в соответствии с их назначением, иметь
существенно различные конфигурации), вряд ли имеет смысл осуществлять защиту каждого
элемента в отдельности. В связи с этим предлагается рассматривать вопросы обеспечения
информационной безопасности для локальной сети в целом. Это оказывается возможным при
использовании межсетевого экрана (firewall).
Концепция межсетевого экранирования формулируется следующим образом.
Пусть имеется два множества информационных систем. Экран - это средство
разграничения доступа клиентов из одного множества к серверам из другого множества. Экран
выполняет свои функции, контролируя все информационные потоки между двумя множествами
систем (рис. 1).
Рис. 1. Экран как средство разграничения доступа
В простейшем случае экран состоит из двух механизмов, один из которых ограничивает
перемещение данных, а второй, наоборот, ему способствует, то есть осуществляет перемещение
данных. В общем случае экран (полупроницаемую оболочку) удобно представлять себе как
последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и
сразу "перебросить" их "на другую сторону". Кроме того, допускается передача порции данных на
следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат
результата отправителю (рис.2).
Рис. 2. Экран как последовательность фильтров
Помимо функций разграничения доступа, экраны осуществляют также протоколирование
информационных обменов.
Обычно экран не является симметричным, для него определены понятия "внутри" и
"снаружи". При этом задача экранирования формулируется как защита внутренней области от
потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты
локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой
пример экрана - устройство защиты порта, контролирующее доступ к коммуникационному
порту
компьютера и независимо от всех прочих системных защитных средств.
Экранирование позволяет поддерживать доступность сервисов внутренней области,
уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью.
Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний
злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно 
       32.       МЕЖСЕТЕВОЙ ЭКРАН - ИНСТРУМЕНТ РЕАЛИЗАЦИИ
                      ПОЛИТИКИ БЕЗОПАСНОСТИ
      Рассмотрим структуру информационной системы предприятия (организации). В общем
случае она представляет собой неоднородный набор (комплекс) из различных компьютеров,
управляемых различными операционными системами и сетевого оборудования, осуществляющего
взаимодействие между компьютерами. Поскольку описанная система весьма разнородна (даже
компьютеры одного типа и с одной ОС могут, в соответствии с их назначением, иметь
существенно различные конфигурации), вряд ли имеет смысл осуществлять защиту каждого
элемента в отдельности. В связи с этим предлагается рассматривать вопросы обеспечения
информационной безопасности для локальной сети в целом. Это оказывается возможным при
использовании межсетевого экрана (firewall).
      Концепция межсетевого экранирования формулируется следующим образом.
      Пусть имеется два множества информационных систем. Экран - это средство
разграничения доступа клиентов из одного множества к серверам из другого множества. Экран
выполняет свои функции, контролируя все информационные потоки между двумя множествами
систем (рис. 1).




                        Рис. 1. Экран как средство разграничения доступа
       В простейшем случае экран состоит из двух механизмов, один из которых ограничивает
перемещение данных, а второй, наоборот, ему способствует, то есть осуществляет перемещение
данных. В общем случае экран (полупроницаемую оболочку) удобно представлять себе как
последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и
сразу "перебросить" их "на другую сторону". Кроме того, допускается передача порции данных на
следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат
результата отправителю (рис.2).




                        Рис. 2. Экран как последовательность фильтров
      Помимо функций разграничения доступа, экраны осуществляют также протоколирование
информационных обменов.
      Обычно экран не является симметричным, для него определены понятия "внутри" и
"снаружи". При этом задача экранирования формулируется как защита внутренней области от
потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты
локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой
пример экрана - устройство защиты порта, контролирующее доступ к коммуникационному порту
компьютера и независимо от всех прочих системных защитных средств.
      Экранирование позволяет поддерживать доступность сервисов внутренней области,
уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью.
Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний
злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно

                                                54

Страницы