Основы работы в Интернет. Часть 3 (углубленный уровень подготовки). Кревский И.Г - 56 стр.

UptoLike

ВУЗ: 

ПГУ | Пенза

Составители: 

Рубрика: 

56
Кроме того, появляются и очень ценные новые возможности, такие как отслеживание передачи
информации в рамках дейтаграммных протоколов.
Важным понятием экранирования является зона риска, которая определяется как
множество систем, которые становятся доступными злоумышленнику после преодоления экрана
или какого-либо из его компонентов. Как правило, для повышения надежности защиты экран
реализуют как совокупность элементов, так что "взлом" одного из них еще не открывает доступ ко
всей внутренней сети. Пример возможной конфигурации многокомпонентного экрана представлен
на рис. 3.
Рис. 3. Многокомпонентный экран
Рассмотрим требования к реальной системе, осуществляющей межсетевое экранирование.
В большинстве случаев экранирующая система должна:
Обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над
внешними подключениями и сеансами связи;
Обладать мощными и гибкими средствами управления для полного и, насколько возможно,
простого воплощения в жизнь политики безопасности организации. Кроме того, экранирующая
система должна обеспечивать простую реконфигурацию системы при изменении структуры сети;
Работать незаметно для пользователей локальной сети и не затруднять выполнение ими
легальных действий;
Работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий
трафик в "пиковых" режимах. Это необходимо для того, чтобы firewall нельзя было, образно
говоря, "забросать" большим количеством вызовов, которые привели бы к нарушению работы;
Обладать свойствами самозащиты от любых несанкционированных воздействий, поскольку
межсетевой экран является ключом к конфиденциальной информации в организации;
Если у организации имеется несколько внешних подключений, в том числе и в удаленных
филиалах, система управления экранами должна иметь возможность централизованно
обеспечивать для них проведение единой политики безопасности;
Иметь средства авторизации доступа пользователей через внешние подключения. Типичной
является ситуация, когда часть персонала организации должна выезжать, например, в
командировки, и в процессе работы им требуется доступ, по крайней мере, к некоторым ресурсам
внутренней компьютерной сети организации. Система должна надежно распознавать таких
пользователей и предоставлять им необходимые виды доступа.
Экранирование позволяет поддерживать доступность сервисов внутри информационной
системы, уменьшая или вообще ликвидируя нагрузку, инициированную внешней активностью.
Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально
злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно
тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть 
Кроме того, появляются и очень ценные новые возможности, такие как отслеживание передачи
информации в рамках дейтаграммных протоколов.
       Важным понятием экранирования является зона риска, которая определяется как
множество систем, которые становятся доступными злоумышленнику после преодоления экрана
или какого-либо из его компонентов. Как правило, для повышения надежности защиты экран
реализуют как совокупность элементов, так что "взлом" одного из них еще не открывает доступ ко
всей внутренней сети. Пример возможной конфигурации многокомпонентного экрана представлен
на рис. 3.




                              Рис. 3. Многокомпонентный экран
      Рассмотрим требования к реальной системе, осуществляющей межсетевое экранирование.
В большинстве случаев экранирующая система должна:
      Обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над
внешними подключениями и сеансами связи;
      Обладать мощными и гибкими средствами управления для полного и, насколько возможно,
простого воплощения в жизнь политики безопасности организации. Кроме того, экранирующая
система должна обеспечивать простую реконфигурацию системы при изменении структуры сети;
      Работать незаметно для пользователей локальной сети и не затруднять выполнение ими
легальных действий;
      Работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий
трафик в "пиковых" режимах. Это необходимо для того, чтобы firewall нельзя было, образно
говоря, "забросать" большим количеством вызовов, которые привели бы к нарушению работы;
      Обладать свойствами самозащиты от любых несанкционированных воздействий, поскольку
межсетевой экран является ключом к конфиденциальной информации в организации;
      Если у организации имеется несколько внешних подключений, в том числе и в удаленных
филиалах, система управления экранами должна иметь возможность централизованно
обеспечивать для них проведение единой политики безопасности;
      Иметь средства авторизации доступа пользователей через внешние подключения. Типичной
является ситуация, когда часть персонала организации должна выезжать, например, в
командировки, и в процессе работы им требуется доступ, по крайней мере, к некоторым ресурсам
внутренней компьютерной сети организации. Система должна надежно распознавать таких
пользователей и предоставлять им необходимые виды доступа.
      Экранирование позволяет поддерживать доступность сервисов внутри информационной
системы, уменьшая или вообще ликвидируя нагрузку, инициированную внешней активностью.
Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально
злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно
тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть
                                                56

Страницы