YourLib.net
Твоя библиотека
Главная arrow Информатика (Под общ. ред. А.Н. Данчула) arrow 6.6. Межсетевые экраны
6.6. Межсетевые экраны

6.6. Межсетевые экраны

   Гостехкомиссией при Президенте Российской Федерации разработан руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
   В этом документе межсетевой экран (МЭ) определяется как локальное (однокомпонентное) или функционально-распреде- ленное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и /или выходящей из нее. МЭ обеспечивает защиту АС посредством фильтрации информации (как минимум на сетевом уровне), т. е. ее анализа по совокупности критериев, и принятия решения о ее распространении на основе заданных правил, проводя таким образом разграничение доступа субъектов одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты одной АС получают доступ только к разрешенным информационным объектам другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.
   Выделяются пять классов МЭ, где пятый — низший, а первый — высший. Как минимум классифицируемый экран должен фильтровать потоки данных на сетевом уровне. При умеренных требованиях к защите информации можно ограничиться МЭ пятого или четвертого класса, реализованных в виде маршрутизаторов с включенными средствами фильтрации (экранирующих маршрутизаторов).
   Чем выше уровень эталонной модели, на котором функционирует МЭ, тем более содержательной информацией он обладает, тем выше степень защиты, которую МЭ может обеспечить. МЭ третьего класса и выше должны фильтровать потоки данных не только на сетевом, но и на транспортном и прикладном уровнях, при этом требования Руководящего документа можно удовлетворить следующими способами:
   —  использовать составную конфигурацию (экранирующий маршрутизатор + прикладной экран) — эшелонированность обороны;
   —  использовать комплексный экран (фильтрация потоков данных на уровнях с сетевого по прикладной) — сочетание надежности фильтрации с прозрачностью для приложений.
   В настоящее время известные МЭ можно разделить на несколько основных групп (рис. 6.7).
   Качественно защищенная от НСД сеть должна содержать средства защиты точек входа со стороны Интернета, средства, обеспечивающие безопасность корпоративных серверов, фрагментов локальной сети и отдельных компьютеров. Наиболее подходящим решением является размещение средств безопасности на одной платформе с сервером, который они будут защищать, т. е. применение персональных межсетевых экранов. Данное решение существенно дополняет функциональные

Рис. 6.7. Основные группы МЭ

Рис. 6.7. Основные группы МЭ

возможности традиционных периметровых экранов, обеспечивающих один слой защиты для всей сети, и может использоваться для защиты как внутренних, так и Интернет-серверов.
   Распределенные персональные экраны обладают следующими преимуществами:
   —  функционируют на уровне ядра ОС и надежно защищают серверы, проверяя все входящие и исходящие пакеты;
   —  позволяют наращивать серверные парки без ущерба для принятой политики безопасности;
   —  стоят в 5—10 раз дешевле традиционных экранов.
   Для обеспечения контроля доступа к определенным массивам информации во многих точках Intranet-сети наиболее целесообразно применять так называемые аппаратные МЭ, через которые проходят все коммуникации. Информационный поток между корпоративной сетью и внешним миром или между локальными сетями внутри корпоративной сети замедляется, но цена этому — безопасность.
   По архитектуре и наборам выполняемых функций различают два вида МЭ. В пакетных фильтрах анализируются IP-пакеты и на основе правил, заложенных при настройке системы, прини-мается решение, пропустить ли их далее. Они считаются более гибкими и быстрыми. МЭ прикладного уровня не пропускают напрямую ни одного пакета. Пакеты направляются специальному приложению Proxy (доверенный), которое и решает, устанавливать соединение или нет. Эти МЭ работают медленнее и являются менее гибкими.
   Как правило, брандмауэры обеспечивают многоуровневую защиту и используют механизмы предупреждения, сообщают сетевым менеджерам о попытках несанкционированного получения доступа к сети. Необходимо также подчеркнуть, что некоторые МЭ поддерживают частные виртуальные сети, например между головным и дочерним офисами, через общедоступную сеть.
   Не надо доказывать, что самой защищенной сетью является сеть, которая вообще не подключена к Интернету. Однако пользователи такой сети не смогут работать в Интернете, что само по себе является существенным недостатком. Выходом из этого положения может быть подключение к Интернету не всей сети, а лишь одного ее компьютера, как следует снабженного защитными средствами. Но при этом возникают другие проблемы (большие очереди и т. п.). Другим выходом из создавшейся ситуации является установка на этом компьютере специальной программы, которая позволяла бы остальным компьютерам этой сети эмулировать выход в Интернет, оставаясь при этом «невидимыми» со стороны глобальной сети (рис. 6.8). Такой компьютер называется прокси-сервером.
   Мы кратко рассмотрели несколько различных средств обеспечения безопасности локальных сетей.

Рис. 6.8. Принцип работы прокси-сервера

Рис. 6.8. Принцип работы прокси-сервера

 
< Пред.   След. >