| |
Межсетевой экран - комплекс технических и программных средств, обеспечивающий реализацию выбранной политики информационной безопасности локальных сетей.
Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации. Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности.
Существует два четко различающихся типа межсетевых экранов, повседневно используемых в сети Internet. Первый тип правильнее называть маршрутизатор (это устройство, используемое в сетях передачи данных) с фильтрацией пакетов. Этот тип межсетевого экрана работает на машине, подключенной к нескольким сетям и применяет к каждому пакету набор правил, определяющий переправлять ли этот пакет или блокировать.
Второй тип, известный как прокси сервер (это компьютер с большим объемом дисковой памяти, который сохраняет и обновляет Web-странички и файлы, запрашиваемые нашими пользователями с других узлов Internet), реализован в виде даймонов, выполняющих аутентификацию и пересылку пакетов, возможно на машине с несколькими сетевыми подключениями, где пересылка пакетов в ядре отключена.
Иногда эти два типа межсетевых экранов используются вместе, так что только определенной машине (известной как защитный хост - bastion host) позволено отправлять пакеты через фильтрующий маршрутизатор во внутреннюю сеть. Прокси сервисы работают на защитном хосте, что обычно более безопасно, чем обычные механизмы аутентификации.
Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все большее внимание к сети Internet со стороны частных лиц и различных организаций. Многие организации принимают решения по интеграции своих локальных и корпоративных сетей в Интернет. Использование Интернета в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты данных.
Использование глобальной сети Internet обладает неоспоримыми достоинствами, но, как и многие другие новые технологии, имеет и свои недостатки. Развитие глобальных сетей привело к многократному увеличению количества не только пользователей, но и атак на компьютеры, подключенных к Internet. Ежегодные потери из-за недостаточного уровня защищенности компьютеров оцениваются десятками миллионов долларов. Поэтому при подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении ее информационной безопасности.
Глобальная сеть Internet создавалась как открытая система, предназначенная для свободного обмена информации. В силу открытости своей идеологии Internet предоставляет злоумышленникам значительно большие возможности по проникновению в информационные системы. Через Internet нарушитель может:
■ вторгнуться во внутреннюю сеть предприятия и получить несанкционированный доступ к конфиденциальной информации;
■ незаконно скопировать важную и ценную для предприятия информацию;
■ получить пароли, адреса серверов, а подчас и их содержимое;
■ войти в информационную систему предприятия под именем зарегистрированного пользователя и т.д.
Посредством получения злоумышленником информации может быть серьезно подорвана конкурентоспособность предприятия и доверие его клиентов. Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать межсетевые экраны. Межсетевой экран — это система межсетевой защиты, позволяющая разделить каждую сеть на две и более части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet, хотя ее можно провести и внутри корпоративной сети предприятия. Использование межсетевых экранов позволяет организовать внутреннюю политику безопасности сети предприятия, разделив всю сеть на сегменты.
Это позволяет сформулировать основные принципы архитектуры безопасности корпоративной сети:
■ Введение N категорий секретности и создание соответственно N выделенных сетевых сегментов пользователей. При этом каждый пользователь внутри сетевого сегмента имеет одинаковый уровень секретности (допущен к информации одного уровня секретности). Данный случай можно сравнить с секретным заводом, где все сотрудники в соответствии со своим уровнем доступа имеют доступ только к определенным этажам. Эта структура объясняется тем, что ни в коем случае нельзя смешивать потоки информации разных уровней секретности. Не менее очевидным объяснением подобного разделения всех пользователей на N, изолированных сегментов является легкость осуществления атаки внутри одного сегмента сети.
■ Выделение в отдельный сегмент всех внутренних серверов компании. Эта мера также позволяет изолировать потоки информации между пользователями, имеющими различные уровни доступа.
■ Выделение в отдельный сегмент всех серверов компании, к которым будет предоставлен доступ из Интернета (создание демилитаризованной зоны для внешних ресурсов).
■ Создание выделенного сегмента административного управления.
■ Создание выделенного сегмента управления безопасностью.
В 1997 г. российская компания, "Элвис+" выпустила на рынок семейство "Застава". "Застава" стала одним из первых МСЭ, появившихся на российском рынке.
Литература:
1. Firewalls. Практическое применение межсетевых экранов Оглтри Т. ДМК Пресс, 2003 год.
|
|
)