Технологии межсетевых экранов реферат

Обновлено: 05.07.2024

Популярность Linux постоянно растет. Эта система стала объектом пристального внимания не только администраторов сетей небольших организаций, но и пользователей, выбирающих программные средства для поддержки домашнего компьютера. В настоящее время у многих появилась возможность поддерживать постоянное Internet-соединение, что способствует дальнейшему распространению системы.

Unix может выступать не только как платформа для установки различных серверов, в частности Web-сервера, но и как шлюз, обеспечивая взаимодействие локальной сети с интернет. Через этот шлюз компьютеры под управлением Unix, Windows NT, Macintosh и других систем, а так же сетевые принтеры могут обмениваться информацией с интернет. Имея под рукой такое разнообразие системных средств, администратор вынужден задуматься об обеспечении их безопасности.

Вопросы защиты особенно важны для системы Linux, установленной на компьютере, поддерживающем постоянное соединение с интернет. Подключить компьютер с установленной системой Unix к Интернет – это почти то же самое, что уехать на длительный отдых, оставив двери дома открытыми. Рано или поздно к вам явятся непрошенные гости.

Нежелательному гостю необходимо сначала получить доступ к компьютеру, и только если это удалось, он попытается двигаться дальше и будет пробираться до уровня файлов. Там уже действует второе кольцо обороны – права доступа к файлам и директориям. Firewall, что в переводе означает огненная стена, сам по себе защищает только от сетевых вторжений, но правильная регламентация доступа предохраняет и от локальных злоумышленников. Оба уровня защиты очень важны.

2. Межсетевой экран

В операционных системах Linux в качестве сетевого экрана выступает программа, которая фильтрует информацию на основе определенных правил, в которых должно быть четко прописано, какие пакеты могут обрабатываться или отправляться в сеть, а какие нет. Благодаря этому большинство атак могут захлебнуться уже на входе в компьютер, потому что сетевой экран не позволит сервисам даже увидеть потенциально опасные пакеты. Сетевой экран может быть установлен на каждом компьютере в отдельности или на входе в сеть. Во втором случае Firewall реализует общие настройки безопасности для всех компьютеров в сети.

Если в сети очень много компьютеров, то управлять ими и обновлять политику безопасности становится затруднительным. Установка единого сервера с Firewall позволяет упростить эти процедуры. Лучше всего, если компьютер с сетевым экраном выступает как шлюз или как анонимный прокси-сервер для доступа в Интернет остальных участников сети. В этом случае злоумышленник будет изначально видеть только этот компьютер, а остальные как бы прячутся за занавеской. Чтобы проникнуть на любую машину в сети, злоумышленник должен будет сначала получить доступ к компьютеру с Firewall.

Рис. 1. Firewall для защиты сети

Основными компонентами брандмауэра (сетевого экрана) являются:

1. Политика безопасности сети

2. Механизм аутентификации

3. Механизм фильтрации пакетов

При построении брандмауэра обычно используется, непосредственно подключенный к Интернету и содержащий базовый набор средств, реализующих брандмауэр. Такой компьютер иногда называют бастионом .

1. Брандмауэр с фильтрацией пакетов;

2. Прикладной шлюз;

3. Универсальный Proxy-сервер.

Прикладной шлюз реализуется посредством выбора сетевой архитектуры и конфигурации системы. Сетевой трафик никогда не проходит через компьютер, на котором выполняется прикладной шлюз. Чтобы получить доступ в Интернет, локальный пользователь должен зарегистрироваться на прикладной шлюз. Компьютер, содержащий прикладной шлюз, может быть защищен брандмауэрами с фильтрацией пакетов как извне, так и из локальной сети.

Proxy-сервер обычно реализуется в виде независимого приложения, управляющего доступом к различным типам сетевых служб. Для клиентов Proxy-сервер выполняет роль сервера, предоставляющего информацию. Вместо того чтобы непосредственно обращаться к удаленным серверам, клиентские программы обращаются к Proxy-серверу. Получив обращение клиента, Proxy-сервер устанавливает связь с удаленным узлом от своего имени, при этом заменяется в пакете адрес клиента своим адресом. Подобный сервер может контролировать целостность данных, осуществлять проверку на наличие вирусов и обеспечивать выполнения правил системной политики, определяющий обмен высокоуровневыми данными.

Помимо этого, брандмауэры можно разделить по типу построения защиты:

1. Пороговый и его разновидность – бастионного типа;

2. Организующий так называемую демилитаризованную зону.

Организация демилитаризованной зоны оправдана тогда, когда в сети выделено несколько специальных компьютеров для интернет - сервисов, предоставляемых большому миру, а так же при отсутствии уверенности в благонадежности собственных сотрудников. Для организации демилитаризованной зоны используются, по меньшей мере, два брандмауэра – один для защиты демилитаризованной зоны от проникновения извне, а второй – от проникновения из собственной локальной сети. Организация демилитаризованной зоны сложнее, чем организация брандмауэра бастионного типа, но взамен можно получть большую защиту данных.

3. Политика организации брандмауэра

3.1. Брандмауэр с фильтрацией пакетов.

Брандмауэр с фильтрацией пакетов может производить с проходящим пакетом всего три действия:

1. Переслать пакет в узел назначения

2. Удалить пакет без уведомления посылающей пакет стороны

Несмотря на простоту таких действий, в большинстве случаев их достаточно для организации эффективной защиты. Как правило, брандмауэр устанавливается для того, чтобы контролировать данные, которыми компьютеры обмениваются с Интернетом. В результате работы фильтрующего брандмауэра отсеиваются недопустимые обращения к узлам внутренней сети и запрещается передача из внутренней сети в Интернет для пакетов, определенных правилами фильтрации.

Похожие страницы:

Firewalls Essay Research Paper The term firewall

. description of a “modern” firewall including use of that name . it. What is a network firewall? A firewall is a system or group . to permit traffic. Some firewalls place a greater emphasis on . blanket for management. Lastly, a firewall can act as your corporate .

Internet Firewalls Essay Research Paper Internet FirewallsIntroductionThe

. permitting traffic. A major Firewall benefit is centralized security through . fault tolerance required by demanding Firewall applications. Packet Filtering – . Anderson, Michael R., “Internet Security – Firewalls & Encryption”, New Technologies, Inc., January .

Меж сетевой экран (МСЭ) или firewall

. использование МежСетевого Экрана (МСЭ) или firewall. МСЭ или брандмауэр (перевод . на немецкий язык англ. Firewall) осуществляет фильтрацию IP пакетов для . внешней среды (Extranet/Internet). Расположение firewall иллюстрирует рисунок 1. Рис. 1. Место .

Network Security And Firewalls Essay Research Paper

Security On The Web Essay Research Paper

. sophisticated; neither were early firewalls. Today, firewalls are sold by many vendors . inside or outside of the firewall? Firewalls are both a blessing and a curse . restricted environment created by the firewall?s administrator. This approach greatly .

* Данная работа не является научным трудом, не является выпускной квалификационной работой и представляет собой результат обработки, структурирования и форматирования собранной информации, предназначенной для использования в качестве источника материала при самостоятельной подготовки учебных работ.

Межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.

Существует мнение, что маршрутизатор также может играть роль межсетевого экрана. Однако между этими устройствами существует одно принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсетевой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку определенного трафика.

Кроме того, межсетевые экраны, как правило, обладают большим набором настроек. Прохождение трафика на межсетевом экране можно настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации. Это не устраняет потребность в обновлении и настройке систем, но позволяет снизить вероятность неправильного конфигурирования одной или нескольких систем, в результате которого эти системы могут подвергнуться атакам на некорректно настроенную службу.

Определение типов межсетевых экранов

Существуют два основных типа межсетевых экранов: межсетевые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией. В их основе лежат различные принципы работы, но при правильной настройке оба типа устройств обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещенного трафика.

Межсетевые экраны прикладного уровня

Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой программные пакеты, базирующиеся на операционных системах общего назначения (таких как Windows NT и Unix) или на аппаратной платформе межсетевых экранов. Межсетевой экран обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.

Правила политики безопасности усиливаются посредством использования модулей доступа. В межсетевом экране прикладного уровня каждому разрешаемому протоколу должен соответствовать свой собственный модуль доступа. Лучшими модулями доступа считаются те, которые построены специально для разрешаемого протокола. Например, модуль доступа FTP предназначен для протокола FTP и может определять, соответствует ли проходящий трафик этому протоколу и разрешен ли этот трафик правилами политики безопасности.

При использовании межсетевого экрана прикладного уровня все соединения проходят через него. Как показано на рисунке, соединение начинается на системе-клиенте и поступает на внутренний интерфейс межсетевого экрана. Межсетевой экран принимает соединение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам политики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой-сервером.

Межсетевые экраны прикладного уровня используют модули доступа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю. Таким образом, межсетевой экран защищает системы от атак, выполняемых посредством приложений.

Рис. 1. Соединения модуля доступа межсетевого экрана прикладного уровня

Здесь подразумевается, что модуль доступа на межсетевом экране сам по себе неуязвим для атаки. Если же программное обеспечение разработано недостаточно тщательно, это может быть и ложным утверждением.

Межсетевой экран также скрывает адреса систем, расположенных по другую сторону от него. Так как все соединения инициируются и завершаются на интерфейсах межсетевого экрана, внутренние системы сети не видны напрямую извне, что позволяет скрыть схему внутренней адресации сети.

Большая часть протоколов прикладного уровня обеспечивает механизмы маршрутизации к конкретным системам для трафика, направленного через определенные порты. Например, если весь трафик, поступающий через порт 80, должен направляться на веб-сервер, это достигается соответствующей настройкой межсетевого экрана.

Межсетевые экраны с пакетной фильтрацией

Межсетевые экраны с пакетной фильтрацией могут также быть программными пакетами, базирующимися на операционных системах общего назначения (таких как Windows NT и Unix) либо на аппаратных платформах межсетевых экранов. Межсетевой экран имеет несколько интерфейсов, по одному на каждую из сетей, к которым подключен экран. Аналогично межсетевым экранам прикладного уровня, доставка трафика из одной сети в другую определяется набором правил политики. Если правило не разрешает явным образом определенный трафик, то соответствующие пакеты будут отклонены или аннулированы межсетевым экраном.

Правила политики усиливаются посредством использования фильтров пакетов. Фильтры изучают пакеты и определяют, является ли трафик разрешенным, согласно правилам политики и состоянию протокола (проверка с учетом состояния). Если протокол приложения функционирует через TCP, определить состояние относительно просто, так как TCP сам по себе поддерживает состояния. Это означает, что когда протокол находится в определенном состоянии, разрешена передача только определенных пакетов. Рассмотрим в качестве примера последовательность установки соединения. Первый ожидаемый пакет - пакет SYN. Межсетевой экран обнаруживает этот пакет и переводит соединение в состояние SYN. В данном состоянии ожидается один из двух пакетов - либо SYN ACK (опознавание пакета и разрешение соединения) или пакет RST (сброс соединения по причине отказа в соединении получателем). Если в данном соединении появятся другие пакеты, межсетевой экран аннулирует или отклонит их, так как они не подходят для данного состояния соединения, даже если соединение разрешено набором правил.

Если протоколом соединения является UDP, межсетевой экран с пакетной фильтрацией не может использовать присущее протоколу состояние, вместо чего отслеживает состояние трафика UDP. Как правило, межсетевой экран принимает внешний пакет UDP и ожидает входящий пакет от получателя, соответствующий исходному пакету по адресу и порту, в течение определенного времени. Если пакет принимается в течение этого отрезка времени, его передача разрешается. В противном случае межсетевой экран определяет, что трафик UDP не является ответом на запрос, и аннулирует его.

При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на межсетевом экране (см. рис. 2), а направляются непосредственно к конечной системе. При поступлении пакетов межсетевой экран выясняет, разрешен ли данный пакет и состояние соединения правилами политики. Если это так, пакет передается по своему маршруту. В противном случае пакет отклоняется или аннулируется.

Рис. 2. Передача трафика через межсетевой экран с фильтрацией пакетов

Межсетевые экраны с фильтрацией пакетов не используют модули доступа для каждого протокола и поэтому могут использоваться с любым протоколом, работающим через IP. Некоторые протоколы требуют распознавания межсетевым экраном выполняемых ими действий. Например, FTP будет использовать одно соединение для начального входа и команд, а другое - для передачи файлов. Соединения, используемые для передачи файлов, устанавливаются как часть соединения FTP, и поэтому межсетевой экран должен уметь считывать трафик и определять порты, которые будут использоваться новым соединением. Если межсетевой экран не поддерживает эту функцию, передача файлов невозможна.

Как правило, межсетевые экраны с фильтрацией пакетов имеют возможность поддержки большего объема трафика, т. к. в них отсутствует нагрузка, создаваемая дополнительными процедурами настройки и вычисления, имеющими место в программных модулях доступа.

Последний абзац начинается с фразы "как правило". Различные производители межсетевых экранов сопоставляют их производительность различными способами. Исторически сложилось так, что межсетевые экраны с пакетной фильтрацией имеют возможность обработки большего объема трафика, нежели межсетевые экраны прикладного уровня, на платформе одного и того же типа. Это сравнение показывает различные результаты в зависимости от типа трафика и числа соединений, имеющих место в процессе тестирования.

Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер. Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, межсетевой экран никак не отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не требуется, так как соединения не прерываются на межсетевом экране.

Гибридные межсетевые экраны

Как и многие другие устройства, межсетевые экраны изменяются и совершенствуются с течением времени, т. е. эволюционируют. Производители межсетевых экранов прикладного уровня в определенный момент пришли к выводу, что необходимо разработать метод поддержки протоколов, для которых не существует определенных модулей доступа. Вследствие этого увидела свет технология модуля доступа Generic Services Proxy (GSP). GSP разработана для поддержки модулями доступа прикладного уровня других протоколов, необходимых системе безопасности и при работе сетевых администраторов. В действительности GSP обеспечивает работу межсетевых экранов прикладного уровня в качестве экранов с пакетной фильтрацией.

Производители межсетевых экранов с пакетной фильтрацией также добавили некоторые модули доступа в свои продукты для обеспечения более высокого уровня безопасности некоторых широко распространенных протоколов. На сегодняшний день многие межсетевые экраны с пакетной фильтрацией поставляются с модулем доступа SMTP.

В то время как базовая функциональность межсетевых экранов обоих типов осталась прежней, (что является причиной большинства "слабых мест" этих устройств), сегодня на рынке присутствуют гибридные межсетевые экраны. Практически невозможно найти межсетевой экран, функционирование которого построено исключительно на прикладном уровне или фильтрации пакетов. Это обстоятельство отнюдь не является недостатком, так как оно позволяет администраторам, отвечающим за безопасность, настраивать устройство для работы в конкретных условиях.

Разработка конфигурации межсетевого экрана

Теперь давайте рассмотрим некоторые стандартные сетевые архитектуры и выясним, каким образом следует настраивать сетевой экран в той или иной конкретной ситуации. В этом упражнении подразумевается, что в организации присутствуют указанные ниже системы, и что эти системы принимают входящие соединения из интернета:

веб-сервер, работающий только через порт 80;

Существует внутренняя система DNS, которая запрашивает системы интернета для преобразования имен в адреса, однако в организации отсутствует своя собственная главная внешняя DNS.

Интернет-политика организации позволяет внутренним пользователям использовать следующие службы:

На базе этой политики можно построить правила политики для различных архитектур.

Архитектура 1: системы за пределами межсетевого экрана, доступные из интернета

На рис. 3 показано размещение доступных из интернета систем между сетевым экраном и внешним маршрутизатором. В таблице 1 приведены правила межсетевого экрана.

Рис. 3. Системы за пределами межсетевого экрана, доступные из Интернета.

Таблица 1. Правила межсетевого экрана для расположенных за пределами межсетевого экрана систем, доступных из интернета

Основные задачи МЭ:

МЭ можно классифицировать по различным признакам:

  1. По использованию различных уровней модели стека межсетевых протоколов:
  2. Пакетный фильтр (Экранирующий маршрутизатор)
  3. Сеансовый шлюз (Экранирующий транспорт)
  4. Прикладной шлюз
  5. Шлюз экспертного уровня
  6. По применяемой технологии
  7. Контроль состояний протокола
  8. Технология посредников ( proxy)
  9. По реализации
  10. Аппаратно-программный
  11. Программный
  12. По схеме включения
  13. Схема единой защиты сети
  14. Схема с защищаемым (закрытым) и не защищаемым (открытым) сегментами сети
  15. Схема с раздельной защитой закрытого и открытого сегментов сети

Фильтрация обычно заключается в выборочном пропускании информационных потоков через экран с возможным осуществлением некоторых преобразований. МЭ удобно представлять как последовательность фильтров.


Каждый фильтр осуществляет:

  1. Анализ проходящей информации по критериям, заданным в правилах фильтрации. Критерии могут относится к различным структурным составляющим. Это могут быть адреса отправителя и получателя, тип приложения, использующего проходящую информацию и т.п.
  2. Принятие одного из установленного в правилах решений:
  3. Не пропускать
  4. Обработать от имени получателя и возвратить отправителю
  5. Передать на следующий фильтр
  6. Пропустить, игнорируя следующие фильтры

Кроме того, правила фильтрации могут задавать и другие действия, задавая функции посредничества МЭ, например регистрация событий, преобразование данных и т.п.

В качестве критериев анализа информационного потока могут использоваться такие параметры как:

  1. Содержание служебных полей пакетов – сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и др.
  2. Содержимое самих пакетов, проверяемое, например на наличие вирусов
  3. Внешние характеристики потока информации, например временные, частотные, объем данных и т.п.

При этом, чем выше уровень модели OSI , на котором осуществляется фильтрация, тем выше уровень защиты.

Функции посредничества МЭ выполняет с помощью специальных программ, называемых Экранирующими агентами. При поступлении запроса на доступ устанавливается логическое соединение с программой- посредником, которая проверяет допустимость межсетевого взаимодействия и устанавливает соединение с требуемым компьютером. В дальнейшем обмен происходит через программного посредника, осуществляющего защитные функции. МЭ может осуществлять фильтрацию и без применения программ-посредников, вместе с тем, посредники могут и не осуществлять фильтрацию.

В общем случае программы-посредники осуществляют:

Способы разграничения доступа к ресурсам внутренней сети практически не отличаются от способов, реализуемых на уровне операционной системы. Для разграничения доступа к внешней сети используются различные способы:

  1. Разрешение доступа по заданным адресам
  2. Разрешение доступа на основе обновляемых списков недопустимых запросов
  3. Блокировка поиска информации по нежелательным ключевым словам
  4. Накопление санкционированных ресурсов внешней сети
  5. Полный запрет на доступ во внешнюю сеть

Накопление (кэширование) входной информации может использоваться для разграничения доступа. В этом случае все санкционированные информационные ресурсы внешней сети накапливаются на proxy - сервере и пользователи получают доступ только к этим ресурсам.

При анализе содержимого пакетов важно, чтобы посредник умел автоматически распаковывать проходящие пакеты. МЭ с посредниками позволяют также организовывать защищенные Виртуальные частные сети ( VPN ), например, объединять несколько локальных сетей, подключенных к интернет в одну виртуальную сеть.

Кроме разрешения или запрещения допуска различных приложений в сеть, МЭ могут выполнять аналогичные действия для пользователей. Аутентификация пользователя может осуществляться с применением технологии одноразовых паролей ( SecurID ). Большинство программ- посредников требуют начальную аутентификацию пользователя.


Ряд МЭ поддерживают Kerberos – большинство коммерческих МЭ поддерживают несколько различных систем аутентификации.

Для реализации атак злоумышленнику часто надо знать адрес своей жертвы. Чтобы скрыть адреса и топологию сети МЭ использует функцию трансляции внутренних сетевых адресов ( network address translation ).


Для всех пакетов, следующих во внешнюю сеть, выполняется преобразование IP адресов отправителей в IP адрес МЭ. В результате топология и внутренние адреса внутренней сети скрыты от внешних пользователей. Помимо повышения уровня безопасности это позволяет расширить адресное пространство для внутренней сети и ликвидировать дефицит адресов.

Особенности функционирования МЭ на различных уровнях сетевого протокола.

МЭ можно представить как совокупность экранов, функционирующих на различных уровнях сетевого протокола. Можно выделить следующие составляющие МЭ:

  1. Экранирующий маршрутизатор
  2. Шлюз сеансового уровня (экранирующий транспорт)
  3. Шлюз прикладного уровня (экранирующий шлюз)

Следует отметить, что эта классификация не является жесткой, поскольку используемые протоколы ( TCP / IP , SPX / IPX ) не полностью соответствуют модели ISO - OSI . Например, прикладной экран может осуществлять функцию шифрования, то есть функционировать и на уровне представления. Шлюз сеансового уровня охватывает транспортный и сетевой уровни.


Прикладной или экранирующий шлюз ваполняет ряд функций экранирования верхнего прикладного уровня:


Основными достоинствами шлюза программного уровня являются:

  1. Высокий уровень защиты за счет функции посредничества
  2. Уровень приложений позволяет выполнять большое количество дополнительных проверок, ограничивающих вероятность атак за счет недостатков программного обеспечения
  3. Нарушение работоспособности шлюза приводит к блокированию сквозного прохождения пакетов, что не нарушает функционирование внутренней сети и сохраняет уровень безопасности.

Относительными недостатками программного шлюза являются:

В настоящее время широкое распространение получили распространение специализированные программно-аппаратные комплексы межсетевого взаимодействия. При этом, используется мощный, физически защищенный (отдельное охраняемое помещение) компьютер, обладающий специализированными средствами защиты доступа для несанкционированного пользователя.

Обычно, при этом, используются средства защиты, обеспечивающие:

  1. Разграничение доступа к ресурсам
  2. Запрет на привилегированный доступ из локальной сети
  3. Блокировка доступа к ресурсам в обход программного интерфейса
  4. Мониторинг и аудит всех административных действий.

Формирование политики межсетевого взаимодействия.

Политика межсетевого взаимодействия подразумевает формирование:

  1. Политики доступа к сетевым сервисам
  2. Политики работы МЭ

Политика работы МЭ определяет базовые принципы управления межсетевым взаимодействием. При этом можно выбрать один из двух возможных принципов:

  1. Запрещено все, что не разрешено
  2. Разрешено все, что не запрещено.

Выбор принципа – это выбор компромисс между удобством использования и степенью безопасности. Первый принцип автоматически обеспечивает минимизацию привилегий. При этом Администратор задает правила доступа на каждый тип разрешенного взаимодействия. Правила доступа, созданные по этому принципу, могут создавать пользователям определенные неудобства.

Второй принцип обеспечивает блокирование только явно запрещенные межсетевые взаимодействия. При этом пользователи имеют возможности обойти МЭ, например, используя доступ к новым сервисам, не запрещенным политикой или запустить запрещенные сервисы на нестандартных портах TCP \ UDP , которые не запрещены политикой. Администратор должен оперативно реагировать на изменения, предсказывая и запрещая межсетевые взаимодействия, отрицательно влияющие на безопасность.

В общем случае работа МЭ основана на выполнении 2 функций:

  1. Фильтрация проходящих потоков
  2. Посредничество при реализации межсетевых взаимодействий

Полнота и правильность управления требуют, чтобы МЭ осуществлял анализ:

  1. Информации о соединениях от всех семи уровней в пакете
  2. Истории соединений – информации от предыдущих соединений
  3. Состояния уровня приложений – информации полученной от других приложений. Например, пользователю можно предоставлять доступ через МЭ только для авторизированных видов сервиса
  4. Агрегирующих вычислений различных выражений, основанных на указанных выше факторах

Основные схемы подключения МЭ .

Часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями закрытости:

  1. Свободно доступный сегмент (например, рекламный сервер)
  2. Сегмент с ограниченным доступом (например для доступа сотрудникам с удаленных узлов)
  3. Закрытый сегмент (например, финансовая группа)

Широко распространены следующие схемы подключения:

  1. Схема экранирующего маршрутизатора
  2. Схема единой защиты локальной сети
  3. Схема защищаемой закрытой и не защищаемой открытой подсетями
  4. Схема с раздельно защищаемыми закрытой и открытой подсетями.

Если в состав локальной сети имеются общедоступные открытые серверы, то их целесообразно вынести в открытую часть подсети.


Если же безопасность открытых серверов нуждается в повышенных требованиях, необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.

Удобным средством организации схемы защиты сети является распределенный МЭ ( distributed firewall ) – централизованно управляемая совокупность сетевых мини-экранов, защищающих отдельные компьютеры сети. Эти средства не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы узла (защищенные каналы VPN ), что позволяет обеспечить защиту сетей с нечетко определенными границами. Для реализации этих функций выпускаются МЭ в двух версиях:

  1. Персональной (для индивидуальных пользователей)
  2. Распределенной (для корпоративных пользователей)

В настоящее время до 50% атак осуществляется изнутри локальных сетей, поэтому корпоративную локальную сеть можно считать защищенной только при наличии МЭ, обеспечивающих безопасность отдельных компьютеров и фрагментов сети.

МЭ не решает все проблемы безопасности корпоративной сети. Отметим наиболее существенные из набора ограничений, связанных с использованием МЭ:

  • Для учеников 1-11 классов и дошкольников
  • Бесплатные сертификаты учителям и участникам

Межсетевое экранирование

4.5.1. Введение

Цели изучения темы

изучить принципы организации межсетевого экранирования как механизма обеспечения безопасности информационных систем;

ознакомиться с классификацией межсетевых экранов.

Требования к знаниям и умениям

Студент должен знать:

механизм межсетевого экранирования.

Студент должен уметь:

выбирать межсетевые экраны для защиты информационных систем.

Ключевой термин

Ключевой термин: межсетевой экран.

Межсетевой экран или брандмауэр (firewall) – программная или программно-аппаратная система, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивающая защиту информационной системы посредством фильтрации информации.

Второстепенные термины

шлюз сеансового уровня;

шлюз прикладного уровня.

Структурная схема терминов

hello_html_33259592.jpg

4.5.2. Классификация межсетевых экранов

Одним из эффективных механизмом обеспечения информационной безопасности распределенных вычислительных сетях является экранирование, выполняющее функции разграничения информационных потоков на границе защищаемой сети.

Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов.

Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации. Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее приеме и/или передаче.

Межсетевые экраны классифицируются по следующим признакам:

по месту расположения в сети – на внешние и внутренние, обеспечивающие защиту соответственно от внешней сети или защиту между сегментами сети;

по уровню фильтрации, соответствующему эталонной модели OSI/ISO.

Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов, например, при использовании сетевой операционной системы Novell Netware, следует принимать во внимание протокол SPX/IPX.

4.5.3. Характеристика межсетевых экранов

Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI. Как правило, чем выше уровень модели OSI, на котором межсетевой экран фильтрует пакеты, тем выше обеспечиваемый им уровень защиты.

Межсетевые экраны разделяют на четыре типа:

межсетевые экраны с фильтрацией пакетов;

шлюзы сеансового уровня;

шлюзы прикладного уровня;

межсетевые экраны экспертного уровня.

Таблица 4.5.1. Типы межсетевых экранов и уровни модели ISO OSI

шлюз прикладного уровня;

межсетевой экран экспертного уровня.

шлюз сеансового уровня.

межсетевой экран с фильтрацией пакетов.

Межсетевые экраны с фильтрацией пакетов представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их со сконфигурированной таблицей правил. Эти межсетевые экраны просты в использовании, дешевы, оказывают минимальное влияние на производительность вычислительной системы. Основным недостатком является их уязвимость при подмене адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.

Шлюзы сеансового уровня контролируют допустимость сеанса связи. Они следят за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функцию трансляции сетевых адресов, которая скрывает внутренние IP-адреса, тем самым, исключая подмену IP-адреса. Однако в таких межсетевых экранах отсутствует контроль содержимого пакетов, генерируемых различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня.

Шлюзы прикладного уровня снижают уровень производительности системы из-за повторной обработки в программе-посреднике. Это незаметно при работе в Интернет при работе по низкоскоростным каналам, но существенно при работе во внутренней сети.

Межсетевые экраны экспертного уровня сочетают в себе элементы всех трех описанных выше категорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу. И, наконец, брандмауэры экспертного уровня берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации.

Вместо применения связанных с приложениями программ-посредников, брандмауэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что теоретически должно обеспечить более эффективную фильтрацию пакетов.

4.5.4. Выводы по теме

Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа экранирование обеспечивает регистрацию информационных обменов.

Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации.

Межсетевые экраны классифицируются по следующим признакам: по месту расположения в сети и по уровню фильтрации, соответствующему эталонной модели OSI/ISO.

Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов.

Межсетевые экраны разделяют на четыре типа:

межсетевые экраны с фильтрацией пакетов;

шлюзы сеансового уровня;

шлюзы прикладного уровня;

межсетевые экраны экспертного уровня.

Наиболее комплексно задачу экранирования решают межсетевые экраны экспертного уровня, которые сочетают в себе элементы всех типов межсетевых экранов.

4.5.5. Вопросы для самоконтроля

В чем заключается механизм межсетевого экранирования?

Дайте определение межсетевого экрана.

Принцип функционирования межсетевых экранов с фильтрацией пакетов.

На уровне каких протоколов работает шлюз сеансового уровня?

В чем особенность межсетевых экранов экспертного уровня?

4.5.6. Ссылки на дополнительные материалы (печатные и электронные ресурсы)

Карпов Е. А., Котенко И. В., Котухов М. М., Марков А. С., Парр Г. А., Рунеев А. Ю. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем и информационно-вычислительных сетей / Под редакцией И. В. Котенко. – СПб.: ВУС, 2000.

Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ. РУ, 2003.

Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.

Медведовский И. Д., Семьянов П. В., Леонов Д. Г., Лукацкий А. В. Атака из Internet. – М.: Солон-Р, 2002.

Спортак Марк, Паппас Френк. Компьютерные сети и сетевые технологии. – М.: ТИД "ДС", 2002.

Читайте также: