1. Архитектура и стратегия информационной безопасности Cisco



страница8/24
Дата24.04.2018
Размер1.89 Mb.
Название файлаЧерновой вариант.doc
1   ...   4   5   6   7   8   9   10   11   ...   24

2.1. Классификация межсетевых экранов

Сегодня нет общепринятой и единой классификации межсетевых экранов. Как правило, выделяют следующие классы межсетевых экранов:



  1. Фильтрующие маршрутизаторы.

  2. Шлюзы сеансового уровня.

  3. Шлюзы уровня приложений.

Данные категории играют роль основных компонентов реальных межсетевых экранов. Только небольшая часть межсетевых экранов состоит из названных категорий. Но несмотря на это данные компоненты отражают основные возможности, которые отличают межсетевые экраны друг от друга.

Фильтрующие маршрутизаторы.

Фильтрующий маршрутизатор – это маршрутизатор либо функционирующая на сервере программа, сконфигурированные для фильтрации входящих и исходящих пакетов. Пакеты фильтруются на основе данных, которые содержатся в TCP- и IP-заголовках пакетов.

Как правило, фильтрующий маршрутизатор может фильтровать IP-пакеты, основываясь на группы следующих полей заголовка пакета:



  • порт получателя;

  • IP-адрес получателя;

  • порт отправителя;

  • IP-адрес отправителя.

Фильтрацию можно выполнить разными способами для блокирования соединений с определенными компьютерами либо портами. К примеру, можно блокировать соединения, которые идут от определенных адресов тех сетей и компьютеров, которые относят к ненадежным и враждебным.

Правила фильтрации пакетов формулировать сложно, тем более как правило нет средств для проверки их корректности, за исключением медленного ручного тестирования. При этом в случае отсутствия фильтрующего маршрутизатора средств протоколирования такие пакеты невозможно выявить до обнаружения последствий проникновения. Даже в случае создания администратором сети создания эффективных правил фильтрации, их возможности будет все также ограничены. К примеру, администратор задает правило, согласно которому маршрутизатор будет отбраковывать все пакеты, имеющие неизвестный адрес отправителя. Но в этом случае хакер для того, чтобы проникнуть внутрь защищенной сети, может выполнить атаку - подмену адреса.

В данном случае фильтрующий маршрутизатор не сможет отличить поддельный пакет от настоящего и пропустит его.

К достоинствам фильтрующих маршрутизаторов относят следующие:



  • гибкие правила фильтрации;

  • довольно низкая стоимость;

  • маленькая задержка при прохождении пакетов.

Минусы фильтрующих маршрутизаторов:

  • написание правил фильтрации пакетов весьма трудное дело, требующее хороших знаний технологий UDP и TCP;

  • внутренняя сеть видна из сети Интернет;

  • в случае нарушения работы межсетевого экрана с фильтрацией пакетов все идущие за ним компьютеры остаются недоступными либо полностью незащищенными;

  • нет аутентификации на уровне пользователя.

Шлюзы сеансового уровня.

Данный класс маршрутизаторов является транслятором TCP-соединения. Шлюз принимает запрос клиента на некие услуги и, проверив допустимость запрошенного сеанса, устанавливает соединение с внешним хостом. Затем он копирует пакеты в обоих направлениях, не фильтруя их. Обычно пункт назначения задается заблаговременно, тогда как источников может быть много. Этот тип шлюза дает возможность создать транслятор TCP-соединения для любого определенного пользователем сервиса, основанного на ТСР, контролировать доступ к данному сервису и сбор статистики по его применению.

Шлюз выполняет контроль подтверждение (квитирование) связи между клиентом и внешним хостом, определяя допустимость запрашиваемого сеанса связи. Для выявления допустимости запроса на сеанс связи, шлюз реализует следующую процедуру. Во время запрашивания авторизованным клиентом некоего сервиса, шлюз принимает данный запрос путем проверки условия удовлетворения данным клиентом основным критериям фильтрации. Далее от имени клиента шлюз устанавливает соединение с внешним хостом и контролирует реализацию процедуры квитирования связи по протоколу ТСР. Данная процедура состоит из обмена ТСР-пакетами, помечаемыми флагами SYN (синхронизировать) и АСК (подтвердить).

Отмеченный флагом SYN первый пакет сеанса ТСР, который содержит любое число, к примеру, 500, является запросом клиента на открытие сеанса. Получивший данный пакет внешний хост посылает в ответ другой, помеченный флагом АСК, который содержит число на единицу большее, чем в принятом пакете (в данном случае 501), тем самым подтверждая прием пакета SYN от клиента.

Затем выполняется обратная процедура и процесс квитирования связи завершается.

Шлюз сеансового уровня признает завершенное соединение допустимым лишь тогда, когда при реализации процедуры квитирования связи флаги SYN и АСК, и содержащиеся в ТСР-пакетах числа оказываются логически связанными друг с другом.

После определения шлюзом факта, что внешний хост и доверенный клиент являются участниками сеанса ТСР, и проверки на его допустимость, он выполняет установление соединения. Начиная с этого времени шлюз копирует и перенаправляет пакеты в оба направления без фильтрации, поддерживая таблицу установленных соединений и пропуская данные, относящиеся к одному из сеансов связи, зафиксированных в данной таблице. После завершения сеанса шлюз удаляет соответствующий элемент из таблицы и разрывает сеть, которая была использована в текущем сеансе.

К минусу шлюзов сеансового уровня можно отнести то, что не проверяется содержимое передаваемых пакетов, благодаря чему нарушитель может проникнуть через такой шлюз.

Шлюзы уровня приложений.

Для защиты ряда уязвимых мест, которые присущи фильтрующим маршрутизаторам, межсетевые экраны должны применять прикладные программы для фильтрации соединений с такими сервисами, как FTP и Telnet. Такое приложение носит название proxy-службы, а хост, на котором функционирует proxy-служба – шлюза уровня приложений. Такой шлюз исключает прямое взаимодействие между внешним хостом и авторизованным клиентом. Шлюз выполняет фильтрацию всех входящих и исходящих пакетов на прикладном уровне.

После того, как шлюз приложений обнаружил сетевой сеанс, он останавливает сеанс и вызывает уполномоченное приложение для того, чтобы оказать завершаемую услугу. В целях достижения высокого уровня гибкости и безопасности можно объединить шлюзы уровня приложений и фильтрующие маршрутизаторы в межсетевом экране.

Шлюзы прикладного уровня дают возможность обеспечить надежную защиту, так как взаимодействие с внешним миром выполняется через небольшое количество уполномоченных приложений, которые целиком контролируют весь входящий и исходящий трафик.

В сравнении с работающими в традиционном режиме шлюзы прикладного уровня обладают рядом достоинств:


  • невидимость структуры защищаемой сети из Интернета. Шлюз прикладного уровня может быть единственным хостом, имя которого будут знать внешние системы;

  • надежная регистрация и аутентификация. Перед тем, как прикладной трафик достигнет внутренних хостов, он может быть аутентифицирован, и зарегистрирован более эффективно, чем при помощи стандартной регистрации;

  • соотношение стоимости и эффективности. Дополнительные аппаратные и программные средства регистрации и аутентификации необходимо устанавливать лишь на шлюзе прикладного уровня;

  • простые правила фильтрации. Правила на фильтрующем маршрутизаторе легче, чем на маршрутизаторе, самостоятельно фильтрующем прикладной трафик и отправляющим его множеству внутренних систем. Маршрутизатор должен пропускать прикладной трафик, который предназначен лишь для шлюза прикладного уровня, и блокировать весь остальной;

  • возможность организации множества проверок. Благодаря защите на уровне приложений можно реализовывать множество дополнительных проверок с целью снижения вероятности взлома с применением «дыр» в программном обеспечении.

К минусам шлюзов уровня приложений можно отнести:

  • относительно низкую производительность в сравнении с фильтрующими маршрутизаторами. При применении клиент-серверных протоколов, подобных Telnet, необходима двухшаговая процедура для входных и выходных соединений;

  • высокая стоимость в сравнении с фильтрующими маршрутизаторами.

Аутентификация – один из немаловажных элементов концепции межсетевых экранов, то есть пользователь сможет воспользоваться сервисом лишь после установления его личности. При этом считается, что сервис для этого пользователя разрешен.

При получении запроса на применение сервиса от имени определенного пользователя межсетевой экран проверяет, какой способ аутентификации определен для этого субъекта, после чего передает управление серверу аутентификации. После того, как получен положительный ответ от сервера аутентификации межсетевой экран реализует запрашиваемое пользователем соединение. Обычно многие коммерческие межсетевые экраны поддерживают ряд различных схем аутентификации, тем самым позволяя администратору сетевой безопасности выбрать наиболее приемлемую в данной конкретной ситуации схемы.



2.2. Основные способы развертывания межсетевых экранов в корпоративных сетях

При подключении локальной либо корпоративной сети к глобальным сетям перед администратором сетевой безопасности стоит ряд следующих задач:



  • защита локальной либо корпоративной сети от несанкционированного удаленного доступа со стороны сети Интернет;

  • скрытие данных о структуре сети от пользователей Интернет;

  • разграничение доступа в защищаемую сеть из глобальной наоборот.

Работа с удаленными пользователями требует установления жестких ограничений доступа к информационным ресурсам защищаемой сети. На предприятии нередко возникает потребность иметь в составе внутренней сети ряд сегментов, имеющих разные уровни защищенности:

  • сегменты, имеющие ограниченный доступ;

  • сегменты со свободным доступом;

  • закрытые сегменты.

В целях защиты локальной либо корпоративной сети могут быть использованы следующие схемы организации межсетевых экранов:

  1. Межсетевой экран, представленный в виде фильтрующего маршрутизатора.

  2. Межсетевой экран, основой которого является двухпортовый шлюз.

  3. Межсетевой экран, основой которого является экранированный шлюз.

  4. Межсетевой экран с экранированной подсетью.

Межсетевой экран, представленный в виде фильтрующего маршрутизатора.

Основанный на фильтрации пакетов межсетевой экран – это наиболее распространенный и самый простой в осуществлении. Он является фильтрующим маршрутизатором, который находится между защищаемой сетью и Интернетом и предназначен для фильтрации или блокирования входящих и исходящих пакетов путем анализа их портов и адресов.

Находящиеся в защищаемой сети компьютеры обладают прямым доступом в глобальную сеть, тогда как значительная доля доступа к ним из Интернета блокируется. Фильтрующий маршрутизатор может осуществлять любую из описанных политик безопасности. Но в случае, если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то при реализации политики «запрещено все, что не разрешено» могут возникнуть определенные проблемы.

Основанные на фильтрации пакетов межсетевые экраны имеют те же минусы, что и фильтрующие маршрутизаторы.


Межсетевой экран на основе двухпортового шлюза.


Межсетевой экран, основой которого является двухпортовой прикладной шлюз – это хост с двумя сетевыми интерфейсами. Основняа фильтрация происходит при передаче данных между данными интерфейсами. В целях обеспечения дополнительной защиты между Интернетом и прикладным шлюзом размещают фильтрующий маршрутизатор. В итоге между маршрутизатором и прикладным шлюзом образуется внутренняя экранированная подсеть. Данная подсеть может быть использована для того, чтобы разместить доступный извне информационный сервер. Благодаря размещению информационного сервера увеличивается безопасность сети, так как даже при проникновении на него злоумышленник не получит доступ к системам сети через шлюз с двумя интерфейсами.

По сравнению со схемой межсетевого экрана с фильтрующим маршрутизатором, прикладной шлюз целиком блокирует IP-трафик между защищаемой сетью и Интернетом. Лишь уполномоченные приложения, которые находятся на прикладном шлюзе, могут предоставлять услуги и доступ пользователям.

Этот вариант межсетевого экрана осуществляет политику безопасности, которая основана на принципе «запрещено все, что не разрешено в явной форме»; пользователь при этом имеет доступ лишь к тем службам, для которых имеются соответствующие полномочия.

Подобный подход обеспечивает высокий уровень безопасности, поскольку маршруты к защищенной подсети знает только межсетевой экран и они являются скрытыми от внешних систем.

Анализируемая схема организации межсетевого экрана является эффективной и простой. Так как межсетевой экран применяет хост, на нем можно установить программы для усиленной аутентификации пользователей. Также благодаря способности межсетевого экрана протоколировать доступ, попытки атак и зондирования системы, благодаря чему можно выявить действия злоумышленников.

Межсетевой экран на основе экранированного шлюза.


Данный вид межсетевого экрана является более гибким в отличии от межсетевого экрана на основе шлюза с двумя интерфейсами. Но данная гибкость достигается за счет некоего уменьшения безопасности. В состав межсетевого экрана входят прикладной шлюз и фильтрующий маршрутизатор. Прикладной шлюз осуществляется на хосте и обладает лишь одним сетевым интерфейсом.

В этой схеме первичная безопасность обеспечивается фильтрующим маршрутизатором, блокирующим либо фильтрующим потенциально опасные протоколы для того, чтобы они не могли достичь прикладного шлюза и внутренних систем. В фильтрующем маршрутизаторе пакетную фильтрацию можно осуществить следующими способами:



  • внутренним хостам разрешается открывать соединения с хостами в сети Интернет для определенных сервисов;

  • запрещаются все соединения от внутренних хостов.

В такой конфигурации межсетевым экраном может быть использована комбинация двух политик, на соотношение которых влияет конкретная принятая во внутренней сети политика безопасности. Так, пакетную фильтрацию на фильтрующем маршрутизаторе можно организовать таким образом, чтобы прикладной шлюз обеспечивал для систем защищаемой сети сервисы типа FTP, Telnet, SMTP.

Главным минусом схемы межсетевого экрана с экранированным шлюзом состоит в том, что в случае проникновения атакующего нарушителя в хост, у него откроется доступ к системам внутренней сети. Еще одним минусом является возможная компрометацией маршрутизатора. В случае, если маршрутизатор окажется скомпрометированным, нарушителю откроется доступ к внутренней сети.


Межсетевой экран с экранированной подсетью.


Данный экран, в состав которого входит экранированная подсеть, является развитием схемы межсетевого экрана на базе экранированного шлюза. Для того, чтобы создать экранированную подсеть, применяются два экранирующих маршрутизатора, внешний из которых помещают между экранируемой подсетью и Интернетом, а внутренний – между экранируемой подсетью и защищаемой внутренней сетью. В экранируемую подсеть кроме прикладного шлюза могут входить информационные серверы и иные системы, которые требуют контролируемого доступа. Благодаря организации экранированной подсети данная схема межсетевого экрана обеспечивает высокий уровень безопасности, а также еще лучше изолирует внутреннюю защищаемую сеть от Интернета.

Внешний маршрутизатор защищает от внешних атак и внутреннюю сеть, и экранированную подсеть. Внешний маршрутизатор запрещает доступ из Интернета к системам внутренней сети и блокирует весь трафик к Интернету, который идет от систем, не являющимися инициаторами соединений.

Внутренний маршрутизатор служит для защиты внутренней сети от несанкционированного доступа из Интернета, а также внутри экранированной подсети. Помимо этого, он реализует значительную часть пакетной фильтрации, управляет трафиком к системам внутренней сети и от них.

Межсетевой экран с экранированной подсетью отлично подходит для защиты сетей, имеющих высокие скорости объема либо большие объемы трафика.

Минусом можно назвать то, что для пары фильтрующих маршрутизаторов требуется огромное внимание для того, чтобы обеспечить требуемый уровень безопасности, так как вследствие ошибок в их конфигурировании возможны провалы в системе безопасности всей сети. Помимо этого, возможен доступ в обход прикладного шлюза.

Недостатки использования межсетевых экранов.


Межсетевые экраны применяются при организации защищенных виртуальных частных сетей. Несколько подключенных к глобальной локальных сетей объединяются в одну защищенную виртуальную частную сеть. Передача данных между данными локальными сетями невидима для пользователей, а целостность и конфиденциальность передаваемых данных должны быть обеспечены путем применения цифровой подписи, средств шифрования и т.д. При передаче данных можно шифровать кроме самого содержимого пакета также некоторые поля заголовка.

Межсетевой экран не способен решить все проблемы безопасности корпоративной сети. Кроме изложенных выше преимуществ межсетевых экранов есть некоторые ограничения в их применении. Также есть угрозы безопасности, против которых межсетевые экраны бессильны. Рассмотрим самые значительные ограничения в использовании межсетевых экранов:



  • множество остающихся уязвимых мест. Межсетевые экраны не могут защитить от черных входов в сети. К примеру, если можно реализовать неограниченный доступ по модему в защищенную межсетевым экраном сеть, злоумышленники могут эффективно обойти межсетевой экран;

  • неудовлетворительная защита от атак работников предприятия. Как правило, межсетевые экраны не обеспечивают защиты от внутренних угроз;

  • ограничение в доступе к необходимым сервисам. Самым очевидным минусом межсетевого экрана является то, что им может быть заблокирован ряд сервисов, используемых пользователями –FTP, Telnet и др. Для того, чтобы решить такие проблемы, нужно провести хорошо продуманную политику безопасности, где будет соблюдаться баланс между потребностями потребителей и требованиями безопасности;

  • сосредоточение средств обеспечения безопасности в едином месте. Благодаря этому нетрудно реализовать администрирование работы межсетевого экрана.



2.3. Организация комплексной защиты корпоративной сети

Для того, чтобы защитить информационные ресурсы и обеспечить оптимальную работу распределенных корпоративных ИС нужно использовать комплексную систему информационной безопасности. Данная система даст возможность эффективно применять преимущества межсетевых экранов и компенсировать их минусы с помощью иных средств безопасности.

Полноценная защита корпоративной сети призвана обеспечить:


  • технологически единый набор мер защиты для сегментированных и распределенных локальных сетей подразделений организации;

  • безопасное взаимодействие пользователей и информационных ресурсов, находящихся в интранет- и экстранет-сетях, с внешними сетями, к примеру с Интернетом;

  • наличие иерархической системы защиты, которая предоставляет адекватные средства обеспечения безопасности для различных сегментов внутренней сети предприятия.

Согласно характеру современной обработки данных в корпоративных системах Интернет/интранет межсетевые экраны должны иметь следующие основные качества:

  • интегрируемость с аппаратно-программными средствами иных производителей;

  • мобильность и масштабируемость относительно различных аппаратно-программных платформ;

  • управление согласно централизованной политике безопасности;

  • отсутствие сложности в установке, конфигурирование и эксплуатации.

В зависимости от масштабов компании и принятой в ней политики безопасности могут быть использованы различные межсетевые экраны. Для организаций небольших размеров, применяющих до десятка узлов, вполне могут быть использованы межсетевые экраны, имеющие удобный графический интерфейс, которые допускают локальное конфигурирование без использования централизованного управления. Для более крупных организаций лучше использовать системы с консолями и менеджерами управления, обеспечивающие оперативное управление локальными межсетевыми экранами и поддержку виртуальных частных сетей.

Увеличение передаваемых по Интернету организациями и частными пользователями потоков данных и потребность в организации удаленного доступа к корпоративным сетям явились причинами того, что постоянно совершенствуются технологии подключения корпоративных сетей к Интернету.

Необходимо отметить, что сегодня нет ни одной технологии подключения, которая бы обеспечила полнофункциональную защиту корпоративной сети, несмотря на высокие характеристики по производительности. Данная задача может быть решена лишь при применении технологии межсетевых экранов, которая организует безопасное взаимодействие с внешней средой.

2.3.1. Защита корпоративной сети от несанкционированного доступа из Интернет

В целях защиты корпоративной сети от несанкционированного доступа при подключении сети компании к Интернету можно использовать одно из следующих решений:



  • маршрутизатор, имеющий встроенный пакетный фильтр;

  • программный либо аппаратно-программный межсетевой экран;

  • специализированный маршрутизатор, осуществляющий механизм защиты на базе списков доступа;

  • ОС семейства UNIX или MS Windows, усиленная утилитами, которые реализуют пакетную фильтрацию.

Защита корпоративной сети на базе межсетевого экрана дает возможность получить высокую степень безопасности и осуществить следующие возможности:

  • фильтрация на базе сетевых адресов получателя и отправителя;

  • семантическая фильтрация циркулирующих потоков данных;

  • фильтрация запросов на транспортном уровне;

  • локальная сигнализация попыток нарушения правил фильтрации;

  • фильтрация запросов к прикладным сервисам на прикладном уровне;

  • запрет доступа субъекта, не подтвержденного при аутентификации;

  • обеспечение полной безопасности: межсетевой экран, авторизация маршрутизатора, криптозащита данных и др.

Необходимо заметить, что благодаря межсетевым экранам можно организовать комплексную защиту внутренней сети компании от несанкционированного доступа, основой которой стала обычная синтаксическая (IP-пакетная) фильтрация контролируемых потоков данных, реализуемая большинством ОС семейства UNIX и Windows, а также и на семантической, доступной лишь коммерческим специальным решениям.

Сегодня для классификации всех существующих межсетевых экранов имеются следующие признаками:



  1. по исполнению:

  • программный;

  • аппаратно-программный.

  1. по функционированию на уровнях модели OSI:

  • экранирующий шлюз;

  • шлюз экспертного уровня;

  • экранирующий транспорт;

  • экранирующий маршрутизатор;

  1. по применяемой технологии:

  • на основе модулей-посредников;

  • контроль состояния протокола.

  1. по схеме подключения:

  • схема с защищаемым закрытым и не защищаемым открытым сегментами сети;

  • схема единой защиты сети;

  • схема, имеющая раздельную защиту открытого и закрытого сегментов сети.

Сегодня популярной защитой корпоративной сети является защита на основе маршрутизатора со списком доступа, основой которой является использование специализированных маршрутизаторов. Эта схема имеет достаточную степень безопасности и высокой эффективностью. Для этих целей весьма популярными являются маршрутизаторы компании Cisco серий 12000, 7600. Также для того, чтобы подключить сеть организации к Интернету, могут быть использованы предыдущие серии маршрутизаторов данной фирмы.

Организация защиты корпоративной сети на базе усиленных функциями пакетной фильтрации ОС, построена на принципе выполнения системного программного обеспечения функций фильтрации, маршрутизации, сервисного обслуживания и т.п. По уровню безопасности, надежности и производительности наиболее предпочтительными являются решения на основе UNIX-подобной ОС.



2.3.2. Организация внутренней политики безопасности корпоративной сети

Сегодня более половины разного рода атак и попыток доступа к данным реализуется изнутри локальных сетей. Корпоративная сеть считается действительно защищенной от несанкционированного доступа лишь при наличии в ней средств защиты точек входа со стороны Интернета, а также решений, которые обеспечивают безопасность корпоративных серверов, отдельных компьютеров, фрагментов локальной сети компании. Их безопасность самым лучшим образом обеспечивают решения на базе персональных и распределенных межсетевых экранов.

Обычно внутренние корпоративные серверы предприятия – это приложения под управлением ОС NetWare, Windows NT/2000 или семейства UNIX. Поэтому корпоративные серверы становятся уязвимыми к разным атакам.

Самым простым способом защиты серверов является установка между Интернетом и серверами межсетевого экрана, к примеру Firewall-1 фирмы Checkpoint. При верной конфигурации многие межсетевые экраны способны защитить внутренние серверы от внешних атак, а часть из них находят и предотвращают атаки типа «отказ в обслуживании». Однако данный подход имеет также недостатки. Когда корпоративные серверы защищены лишь одним межсетевым экраном, все данные и правила контроля доступа становятся сосредоточенными в едином месте. Межсетевой экран становится узким местом и по мере нарастания нагрузки существенно теряет в производительности.

Альтернативой предыдущей схеме является приобретение дополнительных серверов и установка межсетевого экрана Firewall-1 фирмы Checkpoint либо Cisco PIX компании Cisco перед каждым сервером. Благодаря тому, что межсетевой экран становится выделенным ресурсом сервера, уменьшается влияние отказа отдельного межсетевого экрана на состояние сети в общем. Но этот подход тоже не является идеальным, так как резко увеличиваются затраты предприятия на покупку оборудования. Помимо этого, в таком случае растут трудозатраты на администрирование сети и ее обслуживание.

Самым оптимальным решением проблемы защиты корпоративных серверов можно назвать размещение средств безопасности и сервера, который им предстоит защищать, на одной платформе. Данная задача реализуется методом использования персональных либо распределенных межсетевых экранов, к примеру CyberwallPLUS фирмы Network-1 Security Solution. Эти решения значительно дополняют функциональные возможности традиционных межсетевых экранов и могут быть использованы для защиты внутренних и Интернет-серверов.

По сравнению с обычными межсетевыми экранами, которые обычно представляют собой локальные «контрольные точки» контроля доступа к критическим информационным ресурсам предприятия, распределенные межсетевые экраны являются дополнительным программным обеспечением, надежно защищающим корпоративные серверы, к примеру Интернет-сервер.

Выполним сравнительный анализ традиционного и распределенного межсетевых экранов по нескольким показателям.

Эффективность. Традиционный межсетевой экран нередко располагается по периметру, обеспечивая лишь единственный слой защиты. Персональный межсетевой экран действует на уровне ядра ОС, надежно защищая корпоративные серверы путем проверки всех исходящих и входящих пакетов.

Простота установки. Обычный межсетевой экран необходимо устанавливать как часть конфигурации корпоративной сети. Распределенный межсетевой экран – это программное обеспечение, устанавливаемое и удаляемое в короткое время.

Управление. Традиционным межсетевым экраном управляет сетевой администратор. Распределенным межсетевым экран может управлять пользователь локальной сети либо сетевой администратор.

Производительность. Традиционный межсетевой экран – это устройство обеспечения межсетевого обмена с заданным ограничением производительности по пакетам в секунду. Данный экран не подходит для растущих серверных парков, которые соединены друг с другом коммутированными местными сетями. Распределенный межсетевой экран дает возможность наращивать серверные парки, не нанося при этом ущерб принятой политике безопасности.

Стоимость. Обычно традиционные межсетевые экраны обладают фиксированными функциями и довольно высокой стоимостью. Распределенные межсетевые экраны – это программное обеспечение стоимостью от 20 до 10% от стоимости традиционных экранов. Например, стоимость распределенного межсетевого экрана CyberwallPLUS фирмы Network-1 Security Solution составляет шесть тысяч долларов, тогда как стоимость межсетевого экрана Cisco PIX 535 компании Cisco составляет около пятидесяти тысяч долларов.

В распределенных межсетевых экранах сочетаются средства контроля сетевого доступа, имеющие встроенные средства выявления несанкционированного доступа и работающие в режиме ядра, проверяя каждый пакет данных по мере его поступления из сети. Попытки несанкционированного доступа и взлома, а также другие подобные виды деятельности блокируются данным экраном до перехода на уровень приложений сервера.

Главными достоинствами распределенных межсетевых экранов являются:


  • обеспечение масштабируемой архитектуры методом распространения защиты посредством межсетевого экрана на многочисленные серверы;

  • обеспечение безопасности входящего и исходящего трафика;

  • устранение традиционного межсетевого экрана как единственного места сбоев;

  • обеспечение недорогого, простого в осуществлении и управлении решения безопасности.

Итак, межсетевые экраны CyberwallPLUS обеспечивают дополнительный уровень защиты платформ под управлениемОС Windows NT/2000, на которых установлены корпоративные приложения, к примеру Интернет-сервер. Помимо этого, межсетевой экран CyberwallPLUS может предотвратить использование известных типов атак для вторжений на критичные серверы организации и поставить администратора безопасности в известность о подозрительной ситуации в сети.

Таким образом, межсетевой экран:



  • защищает передаваемые данные вне зависимости от средств и среды передачи данных (оптические линии связи, спутниковые каналы, телефонные соединения и др.);

  • осуществляет защиту любых приложений без требований их изменений;

  • является прозрачным для конечных пользователей;

  • дает возможность реализовать масштабируемые системы защиты с возможностью их дальнейшего наращивания и усложнения по мере роста предприятий и совершенствования требований политики безопасности;

  • защищает отдельные сетевые ИС и приложения вне зависимости от используемой ими топологии сетей;

  • защищает информационную систему компании внешних атак;

  • защищает информацию от перехвата и изменения на внешних открытых соединениях, а также внутри сети предприятия;

  • без труда может быть переконфигурирован по мере развития корпоративной политики информационной безопасности компании.


3.1. Организация защиты периметра сети предприятия на базе Cisco ASA 5505.



В составе Cisco ASA 5505 имеется 8 портов, которые для удобства можно группировать в три группы, определяя до трех виртуальных подсетей. Этот подход дает возможность динамически распределять трафик, обеспечивать безопасность данных. Оборудование двумя портами PoE (Power over Ethernet) устройства дает возможность организовать систему IP-телефонии с поддержкой VoIP, а также беспроводной доступ к сети.

После того, как будет активирова функция AIP SSC, система дает возможность противостоять атакам сетевых червей. Благодаря наличию нескольких USB-портов обеспечено развитие системы в будущем, а также выполнение создаваемых функций.

Оборудование модельного типа Cisco ASA 5505 поддерживает различные сервисы, в том числе виртуальные сети (VPN), межсетевой экран, SSL и т.п. Активное применение ASDM (Cisco Adaptive Security Device Manager) дает возможность свести к минимуму издержки на развертывание и эксплуатацию оборудования. Cisco ASA 5505 поддерживает функции восьмипортового коммутатора 10/100 с динамическим перераспределением портов, организацию трех виртуальных сетей, благодаря чему можно выполнять контроль по уникальным правилам трафика для рабочих и домашних сетей, потоков данных с Интернета.

Все это повысит защищенность сетей и динамическое распределение нагрузки между ними. Помимо этого, Cisco ASA 5505 оборудован двумя портами PoE, что позволяет оперативно развернуть системы связи на основе IP телефонов с поддержкой VoIP. Также облегчается подключение и работа беспроводных устройств с сохранением безопасности сети. Приобретая плату AIP SSC, которая отвечает за аппаратное противодействие сетевым атакам, становится практически невозможным вторжение вирусных программ в защищаемые сегменты корпоративных сетей. Благодаря наличию нескольких портов USB можно увеличить функционал устройства, не останавливая работу и не снимая контроля с проходящих информационных потоков.

В целях усиления безопасности корпоративных сетей рекомендуется приобрести лицензию Security Plus. Это даст возможность поддерживать в актуальном состоянии базы сигнатур вредоносных программ, установит повышенный лимит до 25 пользователей при применении IPsec VPN, а также увеличит общую пропускную способность системы. Также имеется возможность объединить сетевую среду с демилитаризованной зоной, применяя функцию туннелирования VLAN.

Приобретение лицензии дает возможность обеспечить непрерывность ведения бизнеса с полной безопасностью. Доступные порты подключений ISP, сервисы, функционирующие в автоматическом режиме с резервированием «активный/резервный» дадут возможность добиться бесперебойной работы внутренней сети.

В случае необходимости можно расширить функционал комплекса за счет специализированной функции удаленного доступа Cisco AnyConnect, что дает возможность подключать к корпоративной сети с установленными правами доступа партнеров, клиентов и удаленных сотрудников. Для того, чтобы расширить возможности подключения AnyConnect VPN можно приобрести лицензию Premium либо Essential, благодаря чему можно будет увеличить количество удаленных подключений до 25 на любом устройстве Cisco ASA 5505.



Поделитесь с Вашими друзьями:
1   ...   4   5   6   7   8   9   10   11   ...   24

Похожие:

1. Архитектура и стратегия информационной безопасности Cisco iconИнформационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии
Именно принятие предупредительных мер по обеспечению конфиденциальности, целостности, а также доступности информации и является наиболее...
1. Архитектура и стратегия информационной безопасности Cisco iconРазработка информационной безопасности на предприятии
Целью настоящего Положения является обеспечение безопасности объектов защиты предприятия от всех видов угроз, внешних и внутренних,...
1. Архитектура и стратегия информационной безопасности Cisco iconМаршрутизаторы Cisco
Филиалы: удаленные работники, небольшие предприятия и филиалы среднего размера. Используются маршрутизаторы Cisco G2 с интегрированными...
1. Архитектура и стратегия информационной безопасности Cisco icon4. Структура условной интегрированной информационной системы
Архитектура системы и реализация основных функций
1. Архитектура и стратегия информационной безопасности Cisco iconОбеспечение безопасности персональных данных
Гост "Защита информации. Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации,...
1. Архитектура и стратегия информационной безопасности Cisco icon1 Проблема определения понятия «Стратегия перевода»
Целью работы является выявить влияние жанра текста на выбор переводческой стратегии. В связи с этим требуется решить следующие задачи:...
1. Архитектура и стратегия информационной безопасности Cisco iconРеализация информационной безопасности
Двухэтажное здание имеющее два входа, на данный момент пропускной режим на предприятии реализован с помощью электронных ключей
1. Архитектура и стратегия информационной безопасности Cisco iconНормативно-правовая основа концепции информационной безопасности
Правовые документы – это документ, содержащий правовую информацию служащие для регулирования отношений между субъектами права. Включает...
1. Архитектура и стратегия информационной безопасности Cisco iconИнформационная безопасность
Отдельные сферы деятельности (системы государственного управления, банки, информационные сети и т п.) требуют специальных мер обеспечения...
1. Архитектура и стратегия информационной безопасности Cisco iconПояснительная записка программа учебной дисциплины «Архитектура ЭВМ и вычислительных систем»
Учебная дисциплина «Архитектура ЭВМ и вычислительных систем» является общепрофессиональной дисциплиной, формирующей базовый уровень...




База данных защищена авторским правом ©refnew.ru 2020
обратиться к администрации

    Главная страница
Контрольная работа
Курсовая работа
Теоретические основы
Методические указания
Методические рекомендации
Лабораторная работа
Рабочая программа
Общая характеристика
Теоретические аспекты
Учебное пособие
Практическая работа
История развития
Пояснительная записка
Дипломная работа
Самостоятельная работа
Общие положения
Экономическая теория
Методическая разработка
Физическая культура
Методическое пособие
Исследовательская работа
Направление подготовки
Общая часть
Теоретическая часть
Общие сведения
Техническое задание
Общие вопросы
Образовательная программа
Управления государственных
Федеральное государственное
Экономическая безопасность
Конституционное право
реакция казахского
Основная часть
Организация работы
Техническое обслуживание
Российская академия
Понятие сущность
Усиление колониальной
прохождении производственной
Обеспечение безопасности
программное обеспечение
Выпускная квалификационная
квалификационная работа
муниципальное управление
Теория государства
Уголовное право
Математическое моделирование
Административное право
Название дисциплины
Земельное право