Underground InformatioN Center [&zametki] 
[network & security news] [RSS & Twitter] [articles, programing info] [books] [links, soft & more...] [soft archive][home]

Межсетевые экраны для корпоративных сетей

Введение
   Межсетевой экран или firewall - одно из наиболее эффективных средств защиты сети от НСД (Несанкционированный доступ), вирусных и DoS (или DDoS) атак. Межсетевой экран часто определяют как набор средств, существующих для запрета нежелательного доступа в локальную сеть или утечки информации из сети. Экран устанавливается на границе защищаемой сети и фильтрует все входящие и исходящие данные, пропуская только разрешенные. При этом межсетевые экраны могут быть установленных и на отдельных компьютерах корпоративной сети для ограничения доступа пользователей к определенным узлам и данным. Межсетевой экран можно считать эффективным, если он удовлетворяет следующим требованиям:

  • Межсетевой экран должен фильтровать все данные входящие/исходящие из сети.
  • Сам межсетевой экран не может быть доступен ни из внешней, ни из внутренней сети.

       В самом начале корпоративная сеть каждого предприятия имевшего выход в интернет, оснащалась одним экраном. Однако, по мере роста количества филиалов и падения цен на цифровые линии xDSL и T1 многие крупные предприятия позволили удаленным офисам соединяться с сетью Internet (а так же другими сетями) напрямую, а не через главный корпоративный межсетевой экран. Это явление потребовало централизованного управления политикой безопасности для всех межсетевых экранов. Как результат появилось три категории межсетевых экранов (в Таблице 1 приведены основные характеристики нескольких продуктов, представленных на российском рынке. Таблицу можно скачать в конце):

  • Межсетевые экраны для предприятий
  • Межсетевые экраны-приложения
  • Встроенные межсетевые экраны

    Межсетевые экраны для предприятий
       Эта категория представляет собой комплекс программных и аппаратных средств, обычно, занимающий одну рабочую станцию. Это обусловлено тем, что под защиту такого экрана попадает более 100 рабочих мест, с выходом во внешнюю сеть.
       Межсетевые экраны этой категории могут фильтровать большое количество протоколов различных типов и подходят для предприятий организующих в своей сети возможности для ведения электронного бизнеса. Также экраны этой категории поддерживают управление всеми межсетевыми экранами (дочерние межсетевые экраны) с единой консоли и поддерживают распределенную архитектуру. Стоимость экранов этой категории колеблется от $10 т. до $30 т (Таблица 1).

    Межсетевые экраны-приложения
       Такие экраны обычно работают на собственном аппаратном обеспечении. Для эксплуатации экрана-приложения не требуется навыков работы с ОС.
    Межсетевые экраны этой категории могут быть классифицированы так:

  • Надзиратели (turnkey solutions) - устанавливаемые на компьютерную систему вместе с ОС.
  • Экраны с ограниченными возможностями (not-quite-firewalls) - использующиеся для защиты конкретных платформ и представляющие из себя прокси.
  • Полнофункциональные экраны (do-it-all firewalls) - представляющие из себя Интернет/Интранет серверы (WEB/DNS/MAIL). Межсетевые экраны этой категории можно разделить на два сегмента. Сегмент дешевых экранов, которые используются для установки простых политик безопасности, в основном для контроля исходящего или входящего трафика. И сегмент дорогих экранов, которые обеспечивают полную функциональность межсетевого экрана с интегрированными возможностями VPN.

    Встроенные межсетевые экраны
       Встроенные межсетевые экраны представляют собой средства для выполнения набора функций межсетевого экрана, встроенного в устройство (built-in device), выполняющее также и другие функции. Такие экраны состоят в основном из персональных экранов, но уже ведутся разработки экранов на ИС, которые можно будет встроить в модем или сетевую карту. Основные характеристики:

  • Низкая стоимость
  • Прозрачность
  • Возможность функционирования с центральным управлением

    Распределенные сетевые экраны
       Появление этого дополнительного не указанного ранее типа вызвано многочисленными сеансами доступа к сети, как извне, так и изнутри. Распределенные firewall’ы расположены по всему периметру корпоративной сети - на web-сайтах, ПК, модемах и т.д. Главная идея распределенных firewall - обеспечить слой защиты от хакеров, планомерно обходящих традиционные firewall :-). Структурно firewall устанавливаются на рабочие станции пользователей и на серверы приложений. В результате получается довольно большое количество firewall. Все они централизованы и по управлению и по настройкам.
       Как и традиционные firewall, распределенные firewall ограничивают трафик, руководствуясь правилами контроля доступа. Правила контроля используются для определения того, какие типы данных могут быть переданы в определенных направлениях и в определенное время. Для firewall, расположенных на серверах приложений, доступ определяется на уровне протоколов и позволяют администраторам видеть какие именно установлены правила.
       Традиционные firewall ограничивают трафик в определенной «точке» сетевого интерфейса, контролируя и проверяя входящие и исходящие потоки. При большой активности (например DoS) может произойти сбой или замедление процессов обмена информацией. Распределенные firewall разносят такую нагрузку на разные компьютеры, что позволяет достичь большей устойчивости к DoS и DDoS атакам. Кроме того структура распределенных firewall позволяет производить фильтрацию внутреннего трафика по сети.

    Посмотреть Таблицу №1 можно здесь.
    Скачать Таблицу №1 можно здесь (Word формат). Скачано 4676 раз.

    [c] Alex Sergeev aka Rook
    rook@uinc.ru
    uinC Member

    Все документы и программы на этом сайте собраны ТОЛЬКО для образовательных целей, мы не отвечаем ни за какие последствия, которые имели место как следствие использования этих материалов\программ. Вы используете все вышеперечисленное на свой страх и риск.

    Любые материалы с этого сайта не могут быть скопированы без разрешения автора или администрации.


  • [network & security news] [RSS & Twitter] [articles, programing info] [books] [links, soft & more...] [soft archive][home]
     Underground InformatioN Center [&zametki] 
    2000-2015 © uinC Team