На головну

архітектура

  1. Антична архітектура.
  2. Арифметико-логічний пристрій (АЛП). Класифікація АЛУ. Класична архітектура ЕОМ і принципи фон Неймана
  3. АРХІТЕКТУРА
  4. АРХІТЕКТУРА
  5. архітектура Bluetooth
  6. Архітектура IEEE 802. MAC і LLC, Різновиди протоколів LLC.

Найпростішою архітектурою мережі з мережевим екраном є варіант, коли всі функції мережевого екрану реалізуються одним програмно-апаратним пристроєм, наприклад маршрутизатором або, як показано на рис. 24.23, універсальним комп'ютером.

Мал. 24.23. Мережевий екран на базі двухвходового комп'ютера

Такий спосіб побудови захисту логічно найпростіший, однак він має очевидний недолік, що полягає в повній залежності системи захисту від працездатності однієї ланки, в даному випадку - комп'ютера-брандмауера.

Комп'ютер, який грає роль мережевого екрану, повинен мати, принаймні, два мережевих інтерфейсу, до одного з яких підключається внутрішня, до іншого - зовнішня мережа. Двухвходового комп'ютер виконує функції програмного маршрутизатора, а також ті функції мережевого екрану, конкретний перелік яких визначається встановленим на даному комп'ютері програмним забезпеченням.

Більш надійні схеми мережевих екранів включають кілька елементів. У мережі, показаної на рис. 24.24, на рубежі захисту встановлено два маршрутизатора, між якими розташовується так звана мережа периметра.

Мал. 24.24. Мережевий екран на базі двох маршрутизаторів

мережа периметра, або мережу демілітаризованої зони (DMZ), - це мережа, яку для додавання ще одного рівня захисту внутрішньої мережі розміщують між внутрішньою і зовнішньою мережами як буфер.

У мережі периметра зазвичай розташовуються комп'ютери, які надають загальнодоступні сервіси, наприклад поштовий сервер, зовнішній сервер DNS або зовнішній веб-сервер підприємства. У цій зоні можуть бути розміщені також проксі-сервери. З огляду на, що саме призначення цих комп'ютерів передбачає практично ніяк не обмежуваний доступ до них зовнішніх користувачів (а значить, і зловмисників), їх необхідно захищати особливо ретельно. Головними завданнями при захисті цих комп'ютерів (званих іноді комп'ютерами-бастіонами) Є забезпечення цілісності та доступності розміщених на них даних для користувачів зовнішньої мережі. Цю задачу вирішують «індивідуальні» засоби захисту, що встановлюються на комп'ютерах-бастіонах, такі, наприклад, як антивірусні програми або фільтри спаму.

Щоб пояснити, яким чином мережа периметра підсилює захист внутрішньої мережі, давайте подивимося, що станеться, якщо який-небудь зловмисник зможе «зламати» перший рубіж захисту - зовнішній маршрутизатор - і почне прослуховувати трафік підключеної до нього мережі периметра. Очевидно, що він отримає доступ тільки до трафіку загальнодоступних серверів, який не є секретним.

зовнішній маршрутизатор покликаний фільтрувати трафік з метою захисту мережі периметра і внутрішньої мережі. Однак сувора фільтрація в цьому випадку виявляється незатребуваною. Загальнодоступні сервери за своєю суттю призначені для практично необмеженого доступу. Що стосується захисту внутрішньої мережі, правила фільтрації для доступу до її вузлів і сервісів є одними і тими ж для обох маршрутизаторів, тому зовнішній маршрутизатор може просто покластися в цій справі на внутрішній маршрутизатор.

Зазвичай зовнішній маршрутизатор знаходиться в зоні веденья провайдера, і адміністратори корпоративної мережі обмежені в можливостях його оперативного реконфигурирования. Це є ще однією причиною, по якій функціональне навантаження на зовнішній маршрутизатор зазвичай невелика.

Основна робота по забезпеченню безпеки локальної мережі покладається на внутрішній маршрутизатор, Який захищає її як від зовнішньої мережі, так і від мережі периметра. Правила, визначені для вузлів мережі периметра з доступу до ресурсів внутрішньої мережі, часто бувають більш суворими, ніж правила, що регламентують доступ до цих ресурсів зовнішніх користувачів. Це робиться для того, щоб в разі злому будь-якого комп'ютера-бастіону зменшити число вузлів і сервісів, які згодом можуть бути атаковані з цього комп'ютера. Саме тому внутрішній маршрутизатор повинен відкидати всі пакети, такі у внутрішню мережу з мережі периметра, виключаючи пакети кількох протоколів (наприклад, HTTP, SMTP, DNS), абсолютно необхідних користувачам внутрішньої мережі для звернення до зовнішніх серверів відповідно веб-служби, електронної пошти і DNS , встановленим в мережі периметра.



Попередня   456   457   458   459   460   461   462   463   464   465   466   467   468   469   470   471   Наступна

сертифікують центри | Інфраструктура з відкритими ключами | Цифровий підпис | Аутентифікація програмних кодів | антивірусний захист | сканування сигнатур | Сканування підозрілих команд | Відстеження поведінки програм | Мережеві екрани | Типи мережевих екранів різних рівнів |

© um.co.ua - учбові матеріали та реферати