Меню
Главная
УСЛУГИ
Авторизация/Регистрация
Реклама на сайте
Межсетевой экранФедерального закона от 27.07.2006 № 149-ФЗ "Об информации,...ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРАХ И СЕТЯХТехнологии защиты информацииТехнологии криптографической защиты информации
Технология защищенной передачи данных VPNСоздание защищенных сетевых соединенийИнформационная парадигма: апофеоз виртуальных технологийНекоторые проблемы новой виртуальной реальности и Интернет-технологийВиртуальное время как точка бифуркации
 
Главная arrow Информатика arrow Информационные технологии в экономике и управлении
< Предыдущая   СОДЕРЖАНИЕ   Следующая >

Технологии защиты информации в ЛВС – межсетевые экраны

Межсетевой экран (МЭ, брандмауэр, Firewall) – программно-аппаратная система межсетевой защиты, которая отделяет один сегмент локальной вычислительной сети от другого и реализует набор правил для прохождения данных из одного сегмента в другой. Границей является раздел между корпоративной локальной сетью и внешними Internet-сетями или различными сегментами локальной распределенной сети. Экран фильтрует текущий трафик, пропуская одни пакеты информации и отсеивая другие. МЭ является одним из основных компонентов защиты сетей. Наряду с интернет-протоколом межсетевого обмена (Internet Security Protocol – IPSec) МЭ является одним из важнейших средств защиты, осуществляя надежную аутентификацию пользователей и защиту от НСД.

Функциональные возможности МЭ охватывают следующие разделы для обеспечения информационной безопасности:

• настройку правил фильтрации;

• администрирование доступа во внутренние сети;

• фильтрацию па сетевом уровне;

• фильтрацию на прикладном уровне;

• средства сетевой аутентификации;

• ведение журналов и учет.

Межсетевые экраны можно разделить по следующим основным признакам:

• по исполнению: программный и программно-аппаратный;

• но используемой технологии: контроль состояния протокола (Stateful Inspection Protocol) или с применением модулей посредников (Proxy Server);

• по функционированию на уровнях эталонной модели OSI (Open System Interconnection): шлюзы экспертного, прикладного, сеансового уровней, пакетный фильтр;

• по схеме подключения: схема единой защиты сети; схема с закрытым и незащищасмым открытым сегментами сети; схема с раздельной защитой закрытого и открытого сегментов сети.

На рис. 7.6 для примера показан вариант защиты локальной вычислительной сети (ЛВС) на базе программно-аппаратного решения – межсетевого экрана Cisko 2610 & PIX Firewall 520 компании Cisco Systems [4].

Использование комплекса

Рис. 7.6. Использование комплекса "маршрутизатор-файервол" в системах защиты информации при подключении к Интернету

В заключение отметим, что межсетевые экраны, естественно, не решают всех вопросов информационной безопасности распределенных КИС и локальных сетей – существует ряд ограничений на их применение и ряд угроз, от которых МЭ не могут защитить. Отсюда следует, что технологии МЭ следует применять комплексно – с другими технологиями и средствами защиты [5].

Технологии защищенных виртуальных частных сетей

При выходе локальной сети в Интернет возникают угрозы двух основных типов: НСД к данным в процессе их передачи по открытой сети и НСД к внутренним ресурсам КИС.

Информационная защита при передаче данных по открытым каналам обеспечивается при помощью ряда мер:

• взаимной аутентификации сторон;

• прямого и обратного криптографического преобразования данных;

• проверки достоверности и целостности полученных данных.

Организация защиты с использованием технологии виртуальных частных сетей (Virtual Private Network – VPN) подразумевает формирование защищенного "виртуального туннеля" между узлами открытой сети, доступ в который невозможен потенциальному злоумышленнику. Преимущества этой технологии очевидны. В частности, аппаратная реализация довольно проста, и нет необходимости создавать или арендовать дорогие выделенные физические сети, а можно с низкими финансовыми издержками подключаться к Интернету, причем скорость передачи данных но туннелю будет такой же, как и но выделенному каналу.

Сегодня существуют четыре вида архитектуры организации защиты информации на базе применения технологии VPN [5]:

Локальная сеть (Local Area Network – LAN). Обеспечивает защиту потоков данных и информации от НСД внутри сети компании, информационную безопасность на уровне разграничения доступа, системных и персональных паролей, безопасности функционирования ОС, а также ведение журнала коллизий и шифрование конфиденциальной информации.

Внутрикорпоративная сеть VPN (Intranet-VPN). Поддерживает безопасные соединения между внутренними подразделениями распределенной компании.

Сети VPN с удаленным доступом (Internet-VPN). Обеспечивает защищенный дистанционный доступ удаленных подразделений распределенной компании и мобильных сотрудников и отделов через открытое пространство Internet.

Межкорпоративная сеть VPN (Extranet-VPN). Гарантирует эффективный защищенный обмен информацией с поставщиками, партнерами, филиалами корпорации в других странах. Предусматривает использование стандартизированных и надежных VPN-продуктов, работающих в открытых гетерогенных средах и обеспечивающих максимальную защищенность конфиденциального трафика, включающего аудио- и видеопотоки информации – конфиденциальные телефонные переговоры и телеконференции с клиентами.

VPN-туннель обладает всеми свойствами защищенной выделенной линии, проходящей через открытое пространство Интернета. Особенность технологии туннелирования состоит в том, что она позволяет зашифровать не только поле данных, но весь исходный пакет, включая заголовки.

Это важная деталь, так как из заголовка исходного пакета злоумышленник может извлечь данные о внутренней структуре сети, например информацию о количестве локальных сетей и узлов и их IP-адресах. Зашифрованный пакет инкапсулируется в другой пакет с открытым заголовком, который транспортируется по соответствующему туннелю. При достижении конечной точки туннеля из внешнего пакета извлекается внутренний, после чего происходит его дешифровка, а его заголовок используется для дальнейшей передачи по внутренней сети или подключенному к локальной сети мобильному пользователю (рис. 7.7).

Средства построения защищенной VPN достаточно разнообразны. Они могут включать маршрутизаторы с механизмом фильтрации пакетов (Filtering Router), многофункциональные межсетевые экраны (Multifunction Firewall), промежуточные устройства доступа в сеть (Proxy Server), программно-аппаратные шифраторы (Firmware Cryptograph) и т.д.

Рис. 7.7. Туннельная схема организации распределенной сети VPN

 
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 
Предметы
Агропромышленность
Банковское дело
БЖД
Бухучет и аудит
География
Документоведение
Журналистика
Инвестирование
Информатика
История
Культурология
Литература
Логика
Логистика
Маркетинг
Медицина
Менеджмент
Недвижимость
Педагогика
Политология
Политэкономия
Право
Психология
Религиоведение
Риторика
Социология
Статистика
Страховое дело
Техника
Товароведение
Туризм
Философия
Финансы
Экология
Экономика
Этика и эстетика