Батарея и Расход энергии 

Межсетевой экран мэ. Структурная схема терминов. Шлюзы, транслирующие адреса или сетевые протоколы

Инструкция

Зайдите в главное меню «Пуск» операционной системы Windows. Выберите раздел «Панель управления» и перейдите к пункту «Брандмауэр Windows». Также можно запустить его настройку из командной строки, введя следующий текст: “control.exe /name Microsoft.WindowsFirewall”.

Ознакомьтесь с открывшимся окном. Слева имеется панель, состоящая из нескольких разделов, которые отвечают за различные настройки межсетевого экран а. Зайдите на вкладку «Общий профиль» и «Частный профиль», где возле надписи «Исходящие подключения» необходимо отменить опцию «Блокировать». Нажмите кнопку «Применить» и «Ок», после чего закройте окно. После этого вы можете приступить к настройке доступа к интернету различных сервисов и программ, установленных на персональном компьютере.

Зайдите на вкладку «Дополнительные параметры», чтобы запустить межсетевой экран в режиме повышенной безопасности. Появившееся окно состоит из панели инструментов и трех разделов. Выберите в левом поле раздел «Правила для исходящих подключений», после чего на правом поле отметьте пункт «Создать правило». В результате откроется мастер создания правил.

Выберите тип правила, который хотите добавить в настройки межсетевого экран а. Можно выбрать для всех подключений компьютера или настроить конкретную программу, указав к ней путь. Нажмите кнопку «Далее», чтобы перейди к пункту «Программа», в котором опять указываем путь к приложению.

Перейдите к пункту «Действие». Здесь можно разрешить подключение или блокировать его. Также можно становить безопасное подключение, при котором будет проверяться его посредством IPSec. При этом, нажав кнопку «Настроить», можно установить собственные правила. После этого укажите «Профиль» для вашего правила и придумайте ему название. Нажмите кнопку «Готово», чтобы сохранить настройки.

Степень мерцания на включенном экране, зависит от параметров, установленных для частоты обновления изображения на мониторе. Понятие «частота обновления» применимо к ламповым мониторам, для жидкокристаллических мониторов данные настройки не важны. Экран большинства ламповых мониторов обновляется один раз в минуту. Если вам не подходят данные настройки, устраните мерцание экрана , выполнив несколько действий.

Инструкция

Вызовите компонент «Экран». Для этого через меню «Пуск» откройте «Панель управления». В категории «Оформление и темы» кликните по значку «Экран» левой кнопкой мыши или выберите любое из доступных заданий в верхней части окна. Если «Панель управления» на вашем компьютере имеет классический вид, выберите искомый значок сразу.

Существует и другой способ: кликните правой кнопкой мыши в любой свободной от файлов и папок части «Рабочего стола». В выпадающем меню выберите пункт «Свойства», кликнув по нему левой кнопкой мыши. Откроется новое диалоговое окно «Свойства: Экран».

В открывшемся окне перейдите на вкладку «Параметры» и нажмите на кнопку «Дополнительно», расположенную в нижней части окна. Это действие вызовет дополнительное диалоговое окно «Свойства: Модуль подключения монитора и [название вашей видеокарты]».

В новом окне перейдите на вкладку «Монитор» и установите маркер в поле напротив надписи «Скрыть режимы, которые монитор не может использовать». Это поможет вам избежать возможных проблем: если экрана установлена неверно, изображение на мониторе может быть неустойчивым. Также неверно выбранная частота может привести к неисправности оборудования.

С помощью выпадающего списка в разделе «Параметры монитора» установите в поле «Частота обновления экрана » нужное вам значение. Чем выше частота обновления экрана , тем меньше мерцает монитор. По умолчанию используется частота 100 Гц, хотя ваш монитор может поддерживать и другую частоту. Уточните данные сведения в документации или на сайте производителя.

После внесения нужных изменений нажмите на кнопку «Применить» в окне свойств монитора. На запрос о подтверждении новых параметров ответьте утвердительно. Нажмите на кнопку ОК. Перед вами останется одно окно «Свойства: Экран». Закройте его, воспользовавшись кнопкой ОК или значком [x] в правом верхнем углу окна.

Если при смене частоты обновления экрана изменится вид рабочего стола, установите в окне свойств экрана удобное для восприятия разрешение, нажмите на кнопку «Применить» и закройте окно. Размер рабочей области на экране отрегулируйте с помощью кнопок настройки на корпусе монитора. Не забудьте в конце нажать на кнопку «Размагнитить» (Degauss).

Межсетевой экран , или firewall, предназначен для контроля за работой программ в сети и для защиты операционной системы и данных пользователя от внешних атак. Программ с подобными функциями немало, и они не всегда эффективны. Чтобы проверить качество работы вашего сетевого экран а, воспользуйтесь программой 2ip Firewall Tester.

Инструкция

Найдите с помощью поисковой системы ссылку на скачивание утилиты 2ip Firewall Tester. Проверьте загруженные файлы антивирусной программой и запустите приложение. Как правило, программу нужно установить на жесткий диск компьютера. После чего на рабочем столе появится ярлык, при помощи которого можно ее запустить.

Окно программы довольно простое и содержит строку вывода сообщений и две кнопки Help и Test. Убедитесь, что на вашем компьютере есть доступ в интернет и нажмите на кнопку Test. Утилита произведет попытку связи с внешним сервером. Если соединение будет установлено (о чем возникнет сообщение красными буквами), значит ваш firewall неэффективен. Также стоит отметить, что большинство подобного программного обеспечения устанавливается по умолчанию с англоязычным интерфейсом. Чтобы изменить на русский язык, зайдите в настройки программы. Не забудьте сохранить все изменения, которые были произведены в программе.

Если соединение установить не удалось, а программа межсетевого экран а выдала запрос на разрешения данного соединения, значит firewall работает. Разрешите провести одноразовое соединение. Для более сложной проверки firewall переименуйте файл запуска утилиты 2ip Firewall Tester в имя программы, доступ которой в интернет заведомо разрешен. Например, Internet Explorer. Для этого назовите утилиту именем iexplore.exe, снова запустите и нажмите на кнопку Test. Если соединение будет установлено, значит ваш межсетевой экран имеет довольно низкий уровень защиты.

Если же соединение не будет установлено, значит ваша программа межсетевого экран а выполняет свои функции на пять баллов. Вы можете спокойно бродить по сайтам в интернете, потому что ваш персональный компьютер надежно защищен от различных угроз. Как правило, подобное программное обеспечение имеет гибкие настройки в системе.

Видео по теме

Иногда, сидя за компьютером, можно заметить, что изображение на экране трясется, своеобразно "плывет" или начинает неожиданно ь. Эта проблема имеет широкое распространение. Но причины для нее бывают разные. Стоит разобраться с тем, почему трясется экран.

Чаще всего причиной трясущегося экрана является наличие в рабочем помещении или квартире источника переменных электромагнитных полей. Это проверяется очень легко при помощи перемещением монитора. Если прекращается, значит проблема связана именно с электромагнитными полями. Их источниками на работе являются различные электрические установки, трансформаторные подстанции, а также линии электропередачи. Дома же их заменяют телевизор, холодильник, микроволновая печь и прочая бытовая техника.

Вторая по частоте причина трясущегося экрана - недостаточное электропитание монитора. Как правило, монитор подключается к пилоту, в котором, помимо его самого, еще "питаются" системный блок, модем, телевизор, люстра и много чего еще, в зависимости от вкуса пользователя. Стоит попробовать отключить часть этих приборов и посмотреть, снизилась ли дрожь изображения на мониторе. Если нет, то, возможно, проблема есть в самом пилоте, в том, как он фильтрует электроэнергию. Можно попробовать просто поменять его.

Реже всего (хоть и чаще всего приходящее на ум) причиной тряски изображения может быть неисправность внутри самого монитора, например, сломанный блок развертки либо неполадки в системе его питания. В таких случаях лучше неопытному пользователю не лезть внутрь монитора. Оптимальным решением в этой ситуации будет обращение к квалифицированным специалистам.

Иногда причиной вышеуказанных проблем может стать низкая частота обновления экрана. По умолчанию у некоторых мониторов частота выставлена в районе 60 Гц. Это не только делает заметной дрожь экрана, но и крайне вредно для зрения. Поэтому стоит через "Панель управления" найти пункт меню "Экран" и выставить там частоту в 75 Гц. При данной частоте дрожание экрана может уйти полностью.

Внимание: снимаем!

Чтобы снять скриншот, запустите на компьютере приложение, кликнув по ярлыку на рабочем столе (обычно в процессе установки он создается автоматически) или найдя его в списке программ (через кнопку «Пуск»). После этого в открывшемся рабочем окне выберите необходимую для вас функцию. В данной программе можно выполнить захват экрана: весь экран, элемент окна, окно с прокруткой, выделенную область, фиксированную область, произвольную область или снять скриншот с предыдущего выбора.

Панель инструментов открывается и при нажатии кнопки «Файл» в главном меню программы.

Из названий опций понятно, какая часть рабочего окна будет выделена в процессе снятия скрина. Вы сможете одним нажатием кнопки «сфотографировать» весь экран или какую-либо его часть. Также здесь можно задать определенную область или часть экрана, которая будет соответствовать заданным ранее параметрам. В общем, заскринить можно абсолютно все.

Кроме этого, в программе есть небольшой перечень необходимых для обработки изображения инструментов: цветовая палитра, окно увеличения, линейка, при помощи которой можно с точностью до миллиметра просчитать расстояние от одной точки до другой, угломер, перекрытие и даже грифельная доска, позволяющая производить записи и чертежи прямо на экране.

Для выполнения дальнейших действий нажмите кнопку «Главное», после чего на экране появится дополнительная панель с определенным набором инструментов. С их помощью вы сможете обрезать изображение, задать его размер, выделить цветом определенную часть, наложить текст, выбрать цвет шрифта и заливки.

Кнопка «Вид» в главном меню позволяет изменить масштаб, работать с линейкой, настроить вид заскриненных документов: каскадом, мозаикой.

После того как вы снимите скриншот, нажмите кнопку «Файл» на верхней панели приложения и в выпадающем окне выберите опцию «Сохранить как». После этого в правой части откроется дополнительное окно, в котором нужно будет выбрать тип файла: PNG, BMP, JPG, GIF, PDF. Затем останется только указать папку, в которую следует сохранить файл.

Еще несколько лет назад для надежной защиты ПК достаточно было установить хорошую антивирусную программу и следить за регулярным обновлением баз. Однако изобретательность злоумышленников порождает все новые и новые способы нанесения ущерба. Зачастую основным путем проникновения на компьютер пользователя оказываются его сетевые подключения, точнее связанные с ними системные уязвимости. Антивирусный пакет может лишь определить вредоносный код, однако далеко не каждый антивирус способен обнаружить несанкционированный доступ к данным.

С развитием рыночных отношений информация всё более и более приобретает качества товара, то есть её можно купить, продать, передать и, к сожалению, украсть. Поэтому проблема обеспечения безопасности информации с каждым годом становится всё более актуальной. Одним из возможных направлений решения данной проблемы является использование межсетевых экранов.

Современные технологии сетевой защиты являются одним из наиболее динамичных сегментов современного рынка обеспечения безопасности. Средства сетевой защиты настолько стремительно развиваются, что в настоящее время общепринятая терминология в данном направлении ещё окончательно не установилась. Эти средства защиты в литературе и средствах массовой информации фигурируют как firewall, брандмауэры и даже информационные мембраны. Но наиболее часто используется термин “межсетевые экраны” (МЭ).

В общем случае, для обеспечения сетевой защиты между двумя множествами информационных систем (ИС) ставится экран или информационная мембрана, которые являются средством разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве. В этом смысле МЭ можно представить как набор фильтров, анализирующих проходящую через них информацию и принимающих решение: пропустить информацию или её заблокировать. Одновременно с этим производится регистрация событий и тревожная сигнализация в случае обнаружения угрозы. Обычно экранирующие системы делаются несимметричными. Для экранов определяются понятия “внутри” и “снаружи”, причём, в задачу экрана входит защита внутренней сети от потенциально враждебного окружения. Кроме того, МЭ может использоваться в качестве корпоративной открытой части сети, видимой со стороны Internet. Так, например, во многих организациях МЭ используются для хранения данных с открытым доступом, как, например, информации о продуктах и услугах, файлах из баз FTP, сообщений об ошибках и так далее.

Межсетевой экран или сетевой экран -- комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами .

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача -- не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов -- динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами локальной вычислительной сети.

Рисунок 4. Общая структура брандмауэра

Другие названия

Брандмауэр (нем. Brandmauer) -- заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «Firewall».

Файрволл -- образовано транслитерацией английского термина firewall.

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

на уровне каких сетевых протоколов происходит контроль потока данных;

отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

традиционный сетевой (или межсетевой) экран -- программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

персональный сетевой экран -- программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай -- использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на :

сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

сеансовом уровне (также известные как stateful) -- отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях -- сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.

уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Необходимо отметить, что в настоящее время наряду с одноуровневыми межсетевыми экранами все большую популярность приобретают комплексные экраны, охватывающие уровни от сетевого до прикладного, поскольку подобные продукты соединяют в себе лучшие свойства одноуровневых экранов разных видов. На схеме 1 представлена структура информационного экранирования между двумя системами при использовании эталонной модели ISO/OSI.


Рисунок 5. Структура информационного экранирования с использованием эталонной модели

Современные требования к межсетевым экранам

Основное требование -- это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.

Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного проведения в жизнь политики безопасности организации.

Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.

Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.

Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.

Система управления экранами должна иметь возможность централизованно обеспечивать проведение единой политики безопасности для удаленных филиалов.

Особенности современных межсетевых экранов

Как видно из таблицы 3 межсетевой экран является наиболее распространенным средством усиления традиционных средств защиты от несанкционированного доступа и используется для обеспечения защиты данных при организации межсетевого взаимодействия .

Конкретные реализации МЭ в значительной степени зависят от используемых вычислительных платформ, но, тем не менее, все системы этого класса используют два механизма, один из которых обеспечивает блокировку сетевого трафика, а второй, наоборот, разрешает обмен данными.

При этом некоторые версии МЭ делают упор на блокировании нежелательного трафика, а другие -- на регламентировании разрешенного межмашинного обмена.

Таблица 3 - Особенности межсетевых экранов

Тип межсетевого экрана

Принцип работы

Достоинства

Недостатки

Экранирующие маршрутизаторы (брандмауэры с фильтрацией пакетов)

Фильтрация пакетов осуществляется в соответствии с IP- заголовком пакета по критерию: то, что явно не запрещено, является разрешенным. Анализируемой информацией является:- адрес отправителя; - адрес получателя; - информация о приложении или протоколе; - номер порта источника; - номер порта получателя

Низкая стоимость · Минимальное влияние на производительность сети · Простота конфигурации и установки · Прозрачность для программного обеспечения

Уязвимость механизма защиты для различных видов сетевых атак, таких как подделка исходных адресов пакетов, несанкционированное изменение содержимого пакетов · Отсутствие в ряде продуктов поддержки журнала регистрации событий и средств аудита

Экранирующий шлюз (ЭШ)

Информационный обмен происходит через хост-бастион, установленный между внутренней и внешней сетями, который принимает решения о возможности маршрутизации трафика. ЭШ бывают двух типов: сеансового и прикладного уровня

· Отсутствие сквозного прохождения пакетов в случае сбоев · Усиленные, по сравнению с ЭМ, механизмы защиты, позволяющие использовать дополнительные средства аутентификации, как программные, так и аппаратные · Использование процедуры трансляции адресов, позволяющей скрытие адресов хостов закрытой сети

· Использование только мощных хостов-бастионов из-за большого объема вычислений · Отсутствие “прозрачности” из-за того, что ЭШ вносят задержки в процесс передачи и требуют от пользователя процедур аутентификации

Экранирующие подсети (ЭП)

Создается изолированная подсеть, расположенная между внутренней и открытой сетями. Сообщения из открытой сети обрабатываются прикладным шлюзом и попадают в ЭП. После успешного прохождения контроля в ЭП они попадают в закрытую сеть. Запросы из закрытой сети обрабатываются через ЭП аналогично. Фильтрование осуществляется из принципа: то, что не разрешено, является запрещенным

Возможность скрытия адреса внутренней сети · Увеличение надежности защиты · Возможность создания большого трафика между внутренней и открытой сетями при использовании нескольких хостов-бастионов в ЭП · “прозрачность” работы для любых сетевых служб и любой структуры внутренней сети

Использование только мощных хостов-бастионов из-за большого объема вычислений · Техническое обслуживание (установка, конфигурирование) может осуществляться только специалистами

Типовые варианты включения межсетевых экранов


Рисунок 6. Включение МЭ по схеме двухпортового шлюза


Рисунок 7. Включение МЭ непосредственно на защищаемом сервере


Рисунок 8. Включение МЭ в системе Интернет-Интранет

Сравнительные характеристики современных межсетевых экранов

Таблица 4 - Сравнительные характеристики современных межсетевых экранов

Платформа

Компания

Особенности

Solstice Firewall

Комплексный

SunOS, UNIX, Solaris

Sun Microsystems

Реализует политику безопасности: все данные, не имеющие явного разрешения - отбрасываются. В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, запускают механизмы тревоги, требующие реакции администратора.

Milkyway Networks Corporation

Не использует механизм фильтрации пакетов. Принцип действия: то, что явно не разрешено, является запрещенным. Регистрирует все действия сервера, предупреждает о возможных нарушениях. Может использоваться как двунаправленный шлюз.

BorderWare Firewall Server

Экранирующий шлюз прикладного уровня

UNIX, Windows, DOS

Secure Computing Corporation

Программное средство защиты, обеспечивающее работу под управлением ОС (собственная разработка). Позволяет фиксировать адреса, время, попытки, используемый протокол.

ALF (Application Layer Filter)

Экранирующий шлюз прикладного уровня

Может фильтровать IP-пакеты по адресам, диапазонам портов, протоколам и интерфейсам. Приходящий пакет может пропустить, ликвидировать или отослать по его адресу.

ANS InterLock Service

Экранирующий шлюз прикладного уровня

ANS CO + RE Systems

Использует программы-посредники для служб Telnet, FTR, HTTR. Поддерживает шифрование соединения точка-точка, причем, в качестве средств аутентификации могут использоваться аппаратные.

Комплексный экран

SunOS, BSDI на Intel, IRIX на INDY и Challenge

Для анализа использует время, дату, адрес, порт и т.д. Включает программы-посредники прикладного уровня для служб Telnet, FTR, SMTP, X11, HTTP, Gopher и др. Поддерживает большинство пакетов аппаратной аутентификации.

Экранирующий шлюз прикладного уровня

SunOS, BSDI, Solaris, HP- UX, AIX

Закрытая сеть видится извне как единственный хост. Имеет программы-посредники для служб: электронной почты, протокола FTR и др. Регистрирует все действия сервера, предупреждает о нарушениях.

Экранирующий шлюз прикладного уровня

Sterling Software

Является программным продуктом, обеспечивающим защиту информации от НСД при соединении закрытой и открытой сетей. Позволяет регистрировать все действия сервера и предупреждать о возможных нарушениях.

CyberGuard Firewall

Двунаправленный шлюз комплексного типа (хост-бастион как фильтр, шлюз прикладного уровня или комплексный экран)

Платформа RISC, OS UNIX

Harris Computer Systems Corporation

Использованы комплексные решения, включающие механизмы защиты ОС UNIX и интегрированные сетевые средства, предназначенные для RISC-компьютеров. Для анализа используется исходный адрес, адрес назначения и др.

Digital Firewall for UNIX

Комплексный экран

Digital Equipment Corporation

Предустанавливается на системы Digital Alpha и представляет возможности экранирующего фильтра и шлюза прикладного уровня.

Eagle Enterprise

Экранирующий шлюз прикладного уровня

Реализация технологии Virtual Private Networking

Включает в себя программы-посредники прикладного уровня для служб FTR, HTTP, Telnet. Регистрирует все действия сервера и предупреждает о нарушениях.

Firewall IRX Router

Экранирующий маршрутизатор

Позволяет произвести анализ сети в целях оптимизации сетевого трафика, безопасно связать локальную сеть с удаленными сетями на основе открытых сетей.

Комплексный межсетевой экран

Intel x86, Sun Sparc и др

Обеспечивает защиту от хакерских нападений типа address-spoofing (подделка адресов пакетов) и представляет комбинацию средств защиты сетевого и прикладного уровней.

Firewall-1/ VPN-1

Комплексный межсетевой экран

Intel x86, Sun Sparc и др

Check Point Software Technologies

Представляет открытый интерфейс приложения OPSEC API. Обеспечивает: - выявление компьютерных вирусов; - сканирование URL; - блокирование Java и ActiveX; - поддержку протокола SMTP; - фильтрацию HTTP; - обработку протокола FTP

TIS Firewall Toolkit

Набор программ для создания и управления системами firewall

Trusted Information Systems

Распространяется в исходном коде, все модули написаны на языке С. Набор предназначен для программистов- экспертов.

Gauntlet Internet Firewall

Экранирующий шлюз прикладного уровня

UNIX, Secured BSD

Trusted Information Systems

Поддерживает сервисы: электронная почта, Web-сервис, терминальные сервисы и др. Возможности: шифрование на сетевом уровне, защита от хакерских нападений типа address-spoofing, защита от попыток изменения маршрутизации.

Мульти-протокольный межсетевой экран

Различные аппаратные платформы

Network-1 Software and Technology

Контроль реализован на уровне кадров, пакетов, каналов и приложений (для каждого протокола). Позволяет работать с более чем 390 протоколами, дает возможность описать любые условия фильтрации для последующей работы.

Застава-Джет

Комплексный межсетевой экран

SPARC, Solaris, UNIX

Реализует политику безопасности: все данные, не имеющие явного разрешения - отбрасываются.

Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, он :

не защищает узлы сети от проникновения через «люки» (англ. back doors) или уязвимости ПО;

не обеспечивает защиту от многих внутренних угроз, в первую очередь -- утечки данных;

не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к файрволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с файрвола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.

Различают несколько типов межсетевых экранов в зависимости от следующих характеристик:

    обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

    происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;

    отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных межсетевые экраны подразделяются на:

    традиционный сетевой (или межсетевой) экран – программа (или неотъемлемая часть операционной системы) на шлюзе (устройстве, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями (объектами распределённой сети);

    персональный межсетевой экран – программа, установленная на пользова-тельском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

В зависимости от уровня OSI, на котором происходит контроль доступа, сетевые экраны могут работать на:

    сетевом уровне , когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

    сеансовом уровне (также известные, как stateful ), когда отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP, часто используемые в злонамеренных операциях – сканирование ресурсов, взломы через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных;

    прикладном уровне (или уровне приложений), когда фильтрация производится на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Фильтрация на сетевом уровне

Фильтрация входящих и исходящих пакетов осуществляется на основе информации, содержащейся в следующих полях TCP- и IP-заголовков пакетов: IP-адрес отправителя; IP-адрес получателя; порт отправителя; порт получателя.

Фильтрация может быть реализована различными способами для блокирования соединений с определенными компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров и сетей, которые считаются ненадежными.

    сравнительно невысокая стоимость;

    гибкость в определении правил фильтрации;

    небольшая задержка при прохождении пакетов.

Недостатки:

    не собирает фрагментированные пакеты;

    нет возможности отслеживать взаимосвязи (соединения) между пакетами.?

Фильтрация на сеансовом уровне

В зависимости от отслеживания активных соединений межсетевые экраны могут быть:

    stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

    stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.

Межсетевые экраны с SPI позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и зачастую несовместимых со стандартными, stateless сетевыми экранами.

К преимуществам такой фильтрации относится:

    анализ содержимого пакетов;

    не требуется информации о работе протоколов 7 уровня.

Недостатки:

    сложно анализировать данные уровня приложений (возможно с использованием ALG – Application level gateway).

Application level gateway, ALG (шлюз прикладного уровня) – компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT’ом пользователи могут пользоваться протоколом.

Служба ALG обеспечивает поддержку протоколов на уровне приложений (таких как SIP, H.323, FTP и др.), для которых подмена адресов/портов (Network Address Translation) недопустима. Данная служба определяет тип приложения в пакетах, приходящих со стороны интерфейса внутренней сети и соответствующим образом выполняя для них трансляцию адресов/портов через внешний интерфейс.

Технология SPI (Stateful Packet Inspection) или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы.

Исторически эволюция межсетевых экранов происходила от пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection. Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали. Пакетным фильтрам недоступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности. Программы-посредники обрабатывают только данные уровня приложения, что зачастую порождает различные возможности для взлома системы. Архитектура stateful inspection уникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.

Пример работы механизма Stateful Inspection . Межсетевой экран отслеживает сессию FTP, проверяя данные на уровне приложения. Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), межсетевой экран извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, межсетевой экран просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.

Рис. 2.12. Пример работы механизма Stateful Inspection с FTP-протоколом

Фильтрация на прикладном уровне

С целью защиты ряда уязвимых мест, присущих фильтрации пакетов, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как, например, Telnet, HTTP, FTP. Подобное приложение называется proxy-службой, а хост, на котором работает proxy-служба – шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне (уровне приложений – верхний уровень сетевой модели) и может анализировать содержимое данных, например, адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении. Иногда эффективнее бывает фильтрация пакетов, основанная на информации, содержащейся в самих данных. Фильтры пакетов и фильтры уровня канала не используют содержимое информационного потока при принятии решений о фильтрации, но это можно сделать с помощью фильтрации уровня приложений. Фильтры уровня прил ожений могут использовать информацию из заголовка пакета, а также содержимого данных и информации о пользователе. Администраторы могут использовать фильтрацию уровня приложений для контроля доступа на основе идентичности пользователя и/или на основе конкретной задачи, которую пытается осуществить пользователь. В фильтрах уровня приложений можно установить правила на основе отдаваемых приложением команд. Например, администратор может запретить конкретному пользователю скачивать файлы на конкретный компьютер с помощью FTP или разрешить пользователю размещать файлы через FTP на том же самом компьютере.

К преимуществам такой фильтрации относится:

    простые правила фильтрации;

    возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием "дыр" в программном обеспечении;

    способность анализировать данные приложений.

Недостатки:

    относительно низкая производительность по сравнению с фильтрацией пакетов;

    proxy должен понимать свой протокол (невозможность использования с неизвестными протоколами)?;

    как правило, работает под управлением сложных ОС.

Межсетевой экран или брандмауэр (по-нем. brandmauer , по-англ. , по-рус. граница огня ) - это система или комбинация систем, позволяющих разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (см. рис.1). Чаще всего эта граница проводится между локальной сетью предприятия и INTERNET , хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр, таким образом, пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том, как эти правила описываются и какие параметры используются при их описании, речь пойдет чуть позже.
рис.1

Как правило, брандмауэры функционируют на какой-либо UNIX платформе - чаще всего это BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных платформ встречаются INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства. Требования к оперативной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети.

Обычно в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь счета пользователей (а значит и потенциальных дыр), только счет администратора. Некоторые брандмауэры работают только в однопользовательском режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

Все брандмауэры можно разделить на три типа:

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Для описания правил прохождения пакетов составляются таблицы типа:

Поле "действие" может принимать значения пропустить или отбросить.
Тип пакета - TCP, UDP или ICMP.
Флаги - флаги из заголовка IP-пакета.
Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.

Сервера прикладного уровня

Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов (proxy server) - TELNET, FTP и т.д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.

Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:

  • терминалы (Telnet, Rlogin);
  • передача файлов (Ftp);
  • электронная почта (SMTP, POP3);
  • WWW (HTTP);
  • Gopher;
  • Wais;
  • X Window System (X11);
  • сетевая печать (LP);
  • удаленное выполнение задач (Rsh);
  • Finger;
  • новости Usenet (NNTP);
  • Whois;
  • RealAudio.

Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (напоминаю, что аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает).

    При описании правил доступа используются такие параметры, как
  • название сервиса,
  • имя пользователя,
  • допустимый временной диапазон использования сервиса,
  • компьютеры, с которых можно пользоваться сервисом,
  • схемы аутентификации.

Сервера прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, т.к. взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.

Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.

Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

Сравнительные характеристики пакетных фильтров и серверов прикладного уровня

Ниже приведены основные достоинства и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга.

    Достоинства пакетных фильтров:
  • относительно невысокая стоимость;
  • гибкость в определении правил фильтрации;
  • небольшая задержка при прохождении пакетов.
    Недостатки пакетных фильтров:
  • локальная сеть видна (маршрутизируется) из INTERNET;
  • правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP;
  • при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными;
  • аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес);
  • отсутствует аутентификация на пользовательском уровне.
    Достоинства серверов прикладного уровня:
  • локальная сеть невидима из INTERNET;
  • при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин;
  • защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;
  • аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.
    Недостатки серверов прикладного уровня:
  • более высокая, чем для пакетных фильтров стоимость;
  • невозможность использовании протоколов RPC и UDP;
  • производительность ниже, чем для пакетных фильтров.

Виртуальные сети

Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети (Virtual Private Network ), т.е. объединить несколько локальных сетей, включенных в INTERNET в одну виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом при передаче по INTERNET шифруются не только данные пользователя, но и сетевая информация - сетевые адреса, номера портов и т.д.

Схемы подключения брандмауэров

Для подключения брандмауэров используются различные схемы. Брандмауэр может использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для подключения к внешней сети (см. рис.1). Иногда используется схема, изображенная на рис.2, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.

рис.2

Чаще всего подключение осуществляется через внешний маршрутизатор, поддерживающий два Ethernet интерфейса(так называемый dual-homed брандмауэр) (две сетевые карточки в одном компьютре) (см. рис.3).

рис.3

При этом между внешним роутером и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с точки зрения безопасности и надежности защиты.

Другая схема представлена на рис.4.

рис.4

При этом брандмауэром защищается только одна подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Большинство брандмауэров позволяет разместить эти сервера на нем самом - решение, далеко не лучшее с точки зрения загрузки машины и безопасности самого брандмауэра.

Существуют решения (см. рис.5), которые позволяют организовать для серверов, которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.

рис.5

При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не могли случайно или умышленно открыть дыру в локальную сеть через эти сервера. Для повышения уровня защищенности возможно использовать в одной сети несколько брандмауэров, стоящих друг за другом.

Администрирование

Легкость администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут образовать дыру, через которую может быть взломана система. Поэтому в большинстве брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют просматривать информацию, сгруппированную по каким-либо критериям, например, все что относится к конкретному пользователю или сервису.

Системы сбора статистики и предупреждения об атаке

Еще одним важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.

Аутентификация

Аутентификация является одним из самых важных компонентов брандмауэров. Прежде чем пользователю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого он себя выдает.

Как правило, используется принцип, получивший название "что он знает" - т.е. пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос.

Одной из схем аутентификации является использование стандартных UNIX паролей. Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом.

Классы защищенности брандмауэров

Применительно к обработке конфиденциальной информации автоматизированные системы (АС) делятся на три группы:

  1. Многопользовательские АС, обрабатывающие информацию различных уровней конфиденциальности.
  2. Многопользовательские АС, в которых все пользователи имеют равный доступ ко всей обрабатываемой информации, расположенной на носителях разного уровня конфиденциальности.
  3. Однопользовательские АС, в которых пользователль имеет подный доступ ко всей обрабатываемой информации, расположенной на носителях разного уровня конфиденциальности.

В первой группе выделяют 5 классов защищенности АС: 1А, 1Б, 1В, 1Г, 1Д, во второй и третьей группах - по 2 класса защищенности: 2А, 2Б и 3А, 3Б сооответственно. Класс А соответствует максимальной, класс Д - минимальной защищенности АС.

Брандмауэры позволяют поддерживать безопасность объектов внутренней области, игнорируя несанкционированные запросы из внешней области, т.е. осуществляют экранирование . В результате уменьшается уязвимость внутренних объектов, поскольку первоначально сторонний нарушитель должен преодолеть брандмауэр, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система в отличие от универсальной устроена более простым, а следовательно, более безопасным образом. На ней присутствуют только те компоненты, которые необходимы для выполнения функций экранирования. Экранирование дает также возможность контролировать информационные потоки, направленные во внешнюю область, что способствует поддержанию во внутренней области режима конфиденциальности. Помимо функций разграничения доступа, брандмауэры осуществляют регистрацию информационных потоков.

По уровню защищенности брандмауэры делятся на 5 классов. Самый низкий класс защищенности - пятый. Он применяется для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - для 1В, второй - для 1Б, самый высокий - первый - для 1А.

Для АС класса 2Б, 3Б применяются брандмауэры не ниже пятого класса.

Для АС класса 2А, 3А в зависимости от важности обрабатываемой информации применяются брандмауэры следующих классов:

  • при обработки информации с грифом "секретно" - не ниже третьего класса;
  • при обработки информации с грифом "совершенно секретно" - не ниже второго класса;
  • при обработки информации с грифом "особой важности" - только первого класса.

Показатели защищенности сведены в табл.1.

Обозначения:

Таблица 1
Показатели защищенности Классы защищенности
5 4 3 2 1
Управление доступом (фильтрация данных и трансляция адресов) + + + + =
Идентификация и аутентификация - - + = +
Регистрация - + + + =
Администрирование: идентификация и аутентификация + = + + +
Администрирование: регистрация + + + = =
Администрирование: простота использования - - + = +
Целостность + = + + +
Восстановление + = = + =
Тестирование + + + + +
Руководство администратора защиты + = = = =
Тестовая документация + + + + +
Конструкторская (проектная) документация + = + = +

Руководство для приобретающих брандмауэр

Исследовательским подразделением компании TruSecure - лабораторией ICSA - разработан документ "Firewall Buyers Guide" (Гид покупателей межсетевого экрана). В одном из разделов этого документа дана следующая форма оценки покупателя:

  1. Контактная информация - адрес и ответственные лица.
  2. Бизнес-среда работы:
    • количество и расположение отдельных учреждений (зданий) предприятия;
    • указание подразделений и информации ограниченного характера и информации, для которой важна доступность данных для взаимодействия подразделений, их размещение;
    • Указание внешних партнеров, с которыми необходимо организовать взаимодействие;
    • описание сервисов, открытых публично;
    • трребования к организации удаленного доступа во внутреннее информационное пространство предприятия;
    • сервисы электронных служб, использующие публичные каналы связи (например, электронная коммерция).
  3. Планируемые изменения в бизнес-среде по перечисленным параметрам.
  4. Информационная среда:
    • количество пользовательских рабочих станций с указанием аппаратного обеспечения, системного и прикладного программного обеспечения;
    • структура сети с указанием топологии, среды передачи данных, используемых устройств и протоколов;
    • структура удаленного доступа с указанием используемых устройств, а также методов аутентификации;
    • количество серверов с указанием аппаратного обеспечения,системного и прикладного программного обеспечения;
    • существующая система поддержки информационных систем со стороны поставщиков с их указанием и границами сферы деятельности;
    • антивирусные системы и другие системы контроля программного обеспечения;
    • технология упрравления сетью и информационными системами;
    • аутентификационные технологии - список и описание.
  5. Планируемые изменения в информационной среде по перечисленням параметрам.
  6. Связь с Интернетом:
    • тип интернет-соединения;
    • существующие межсетевые экраны (если они есть);
    • Средства связи с внешней средой, используемые внутренними системами;
    • внутренние системы и сервисы, доступные извне;
    • серверы электронной коммерции и других транзакционных систем;
    • указание на наличие утвержденной политики безопасности доступа и использования Интернета.
  7. Планируемые мероприятия (для которых приобретается межсетевой экран):
    • изменение в способах доступа к Интернету и в политике безопасности предприятия;
    • появление новых протокоолов, которые необходимо поддерживать отдельно для внутренних пользователей, пользователей с удаленным доступом или специальных пользователей, доступных публично.
  8. Требуемая функциональность межсетевого экрана:
    • по контролю доступа;
    • выдаваемым сообщениям;
    • аутентификации;
    • управлению конфигурацией;
    • контролю содержимого проходящего трафика;
    • регистрационным журналам;
    • распознаванию атак;
    • сетевым опциям (количество интерфейсов, способ доступа);
    • удаленному администрированию;
    • системным требованиям (под ключ, интеграция с другими продуктами и т.д.).
  9. Прочие условия:
    • предполагаемая стоимость межсетевого экрана (сколько предприятие может потратить);
    • предполагаемая дата начала работы продукта;
    • требования к наличию у продукта сертификатов;
    • требования к предполагаемому администратору продукта и к службе поддержки;
    • специальные условия контракта (если есть);
    • другие замечания, которые не включены в данную форму.

Предполагается, что предприятие, заполнив данную форму и отправив ее производителю, позволит последнему сформировать наиболее качественное предложение для покупателя. Заполнение данной формы, впрочем, и без отправки ее кому-либо, позволит организации лучше понять, какое решение ей необходимо.

Сеть нуждается в защите от внешних угроз. Хищение данных, несанкционированный доступ и повреждения могут сказаться на работе сети и принести серьезные убытки. Используйте специальные программы и устройства, чтобы обезопасить себя от разрушительных воздействий. В этом обзоре мы расскажем об межсетевом экране и рассмотрим его основные типы.

Назначение межсетевых экранов

Межсетевые экраны (МСЭ ) или файрволы - это аппаратные и программные меры для предотвращения негативных воздействий извне. Файрвол работает как фильтр: из всего потока трафика просеивается только разрешенный. Это первая линия защитных укреплений между внутренними сетями и внешними, такими как интернет. Технология применяется уже на протяжении 25 лет.

Необходимость в межсетевых экранах возникла, когда стало понятно, что принцип полной связности сетей больше не работает. Компьютеры начали появляться не только в университетах и лабораториях. С распространением ПК и интернета возникла необходимость отделять внутренние сети от небезопасных внешних, чтобы уберечься от злоумышленников и защитить компьютер от взлома.

Для защиты корпоративной сети устанавливают аппаратный межсетевой экран - это может быть отдельное устройство или часть маршрутизатора. Однако такая практика применяется не всегда. Альтернативный способ - установить на компьютер, который нуждается в защите, программный межсетевой экран. В качестве примера можно привести файрвол , встроенный в Windows.

Имеет смысл использовать программный межсетевой экран на корпоративном ноутбуке, которым вы пользуетесь в защищенной сети компании. За стенами организации вы попадаете в незащищенную среду - установленный файрвол обезопасит вас в командировках, при работе в кафе и ресторанах.

Как работает межсетевой экран

Фильтрация трафика происходит на основе заранее установленных правил безопасности. Для этого создается специальная таблица, куда заносится описание допустимых и недопустимым к передаче данных. Межсетевой экран не пропускает трафик, если одно из запрещающих правил из таблицы срабатывает.

Файрволы могут запрещать или разрешать доступ, основываясь на разных параметрах: IP-адресах, доменных именах, протоколах и номерах портов, а также комбинировать их.

  • IP-адреса. Каждое устройство, использующее протокол IP, обладает уникальным адресом. Вы можете задать определенный адрес или диапазон, чтобы пресечь попытки получения пакетов. Или наоборот - дать доступ только определенному кругу IP-адресов.
  • Порты. Это точки, которые дают приложениям доступ к инфраструктуре сети. К примеру, протокол ftp пользуется портом 21, а порт 80 предназначен для приложений, используемых для просмотра сайтов. Таким образом, мы получаем возможность воспрепятствовать доступу к определенным приложениям и сервисам.
  • Доменное имя. Адрес ресурса в интернете также является параметром для фильтрации. Можно запретить пропускать трафик с одного или нескольких сайтов. Пользователь будет огражден от неприемлемого контента , а сеть от пагубного воздействия.
  • Протокол. Файрвол настраивается так, чтобы пропускать трафик одного протокола или блокировать доступ к одному из них. Тип протокола указывает на набор параметров защиты и задачу, которую выполняет используемое им приложение.

Типы МСЭ

1. Прокси -сервер

Один из родоначальников МСЭ , который выполняет роль шлюза для приложений между внутренними и внешними сетями. Прокси -серверы имеют и другие функции, среди которых защита данных и кэширование . Кроме того, они не допускают прямые подключения из-за границ сети. Использование дополнительных функций может чрезмерно нагрузить производительность и уменьшить пропускную способность.

2. МСЭ с контролем состояния сеансов

Экраны с возможностью контролировать состояние сеансов - уже укоренившаяся технология. На решение принять или блокировать данные влияет состояние, порт и протокол. Такие версии следят за всей активностью сразу после открытия соединения и вплоть до самого закрытия. Блокировать трафик или не блокировать система решает, опираясь на установленные администратором правила и контекст. Во втором случае учитываются данные, которые МСЭ дали прошлые соединения.

3. МСЭ Unified threat management (UTM)

Комплексное устройство. Как правило, такой межсетевой экран решает 3 задачи:

  • контролирует состояние сеанса;
  • предотвращает вторжения;
  • занимается антивирусным сканированием.

Порой фаерволы, усовершенствованные до версии UTM, включают и другой функционал, например: управление облаком.

4. Межсетевой экран Next-Generation Firewall (NGFW)

Ответ современным угрозам. Злоумышленники постоянно развивают технологии нападения, находят новые уязвимости, совершенствуют вредоносные программы и усложняют для отражения атаки на уровне приложений. Такой файрвол не только фильтрует пакеты и контролирует состояние сеансов. Он полезен в поддержании информационной безопасности благодаря следующим функциям:

  • учет особенностей приложений, который дает возможность идентифицировать и нейтрализовать вредоносную программу;
  • оборона от непрекращающихся атак из инфицированных систем;
  • обновляемая база данных, которая содержит описание приложений и угроз;
  • мониторинг трафика, который шифруется с помощью протокола SSL.

5. МСЭ нового поколения с активной защитой от угроз

Данный тип межсетевого экрана - усовершенствованная версия NGFW. Это устройство помогает защититься от угроз повышенной сложности. Дополнительный функционал умеет:

  • учитывать контекст и находить ресурсы, которые находятся под наибольшим риском;
  • оперативно отражать атаки за счет автоматизации безопасности, которая самостоятельно управляет защитой и устанавливает политики;
  • выявлять отвлекающую или подозрительную активность, благодаря применению корреляции событий в сети и на компьютерах;

В этой версии межсетевого экрана NGFW введены унифицированные политики, которые значительно упрощают администрирование.

Недостатки МСЭ

Межсетевые экраны обороняют сеть от злоумышленников. Однако необходимо серьезно отнестись к их настройке. Будьте внимательны: ошибившись при настройке параметров доступа, вы нанесете вред и файрвол будет останавливать нужный и ненужный трафик, а сеть станет неработоспособной.

Применение межсетевого экрана может стать причиной падения производительности сети. Помните, что они перехватывают весь входящий трафик для проверки. При крупных размерах сети чрезмерное стремление обеспечить безопасность и введение большего числа правил приведет к тому, что сеть станет работать медленно.

Зачастую одного файрвола недостаточно, чтобы полностью обезопасить сеть от внешних угроз. Поэтому его применяют вместе с другими программами, такими как антивирус.



Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить