МЭ. Основные схемы применения

МЭ - это комплекс аппаратных и программных средств в комп сети, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Осн задача - защита сети или отдельных её узлов от НСД.

Функциональные требования к МЭ: треб к фильтрации на сетевом и прикладном уровнях, по настройке правил фил-ции; треб к серверам средствам сетевой аутент; треб по администрированию и внедрению журналов/учёту.

Эффективность защиты внутренней сети с помощью МЭ зависит от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, от рациональности выбора и исп основных компонентов МЭ.

Существуют два основных типа МЭ: прикладного ур и с пакетной фильтрацией, кот обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещенного трафика.

МЭ прикладного уровня (прокси-экраны) - программные пакеты, базирующиеся на ОС общего назначения (Windows и Unix) или на аппаратной платформе МЭ. В таком МЭ каждому разрешаемому протоколу д соотв свой собственный модуль доступа. При использовании данного МЭ все соединения проходят через него.

МЭ принимает соединение, анализирует содержимое пакета и используемый протокол, определяет, соотве ли данный трафик правилам политики безопасности.
Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю®защищает системы от атак, выполняемых посредством приложений. Такие МЭ содержат модули доступа для наиб часто используемых протоколов: HTTP, SMTP, FTP и telnet. Некоторые модули доступа могут отсутствовать, что запрещает конкретному протоколу использоваться для соединения через МЭ.

МЭ с пакетной фильтрацией м б программными пакетами, базирующимися на ОС общего назначения либо на аппаратных платформах МЭ. Правила политики усиливаются посредством исп фильтров пакетов, которые изучают пакеты и определяют, является ли трафик разрешенным, согласно правилам политики и состоянию протокола (проверка с учетом состояния). При исп такого МЭ соединения не прерываются на МЭ, а направляются непосредственно к конечной системе. При поступлении пакетов МЭ выясняет, разрешен ли данный пакет и состояние соединения правилами политики. Если да, пакет передается по своему маршруту, иначе, пакет отклоняется или аннулируется. Не исп модули доступа для каждого протокола ® м исп-ся с любым протоколом, работающим через IP. В основном, МЭ с фильтрацией пакетов имеют возможность поддержки большего объема трафика, т. к. в них отсутствует нагрузка, создаваемая дополнительными процедурами настройки и вычисления, имеющими место в программных модулях доступа.

Гибридные МЭ. Производители МЭ приклад уровня, из-за быстрого развития IT, пришли к выводу, что необх разработать метод поддержки протоколов, для которых не существует определенных модулей доступа ® технология модуля доступа GSP. GSP обеспечивает работу МЭ прикладного ур в качестве экранов с пакетной фильтра-цией. Сегодня фактически невозможно найти МЭ, функционирование кот построено исключ на прикладном ур или фильтрации пакетов, т.к. оно позволяет администраторам, отвеч за безопасность, настраивать устройство для работы в конкретных условиях.

Для подключения МЭ используются различные схемы. МЭ м исп-ся в качестве внешнего роутера, используя поддерживаемые типы устройств для подключения к внешней сети.

Иногда исп-ся схема , но пользоваться ей следует только в крайнем случае, т.к. требуется очень аккуратная настройка роутеров и небольшие ошибки м образовать серьезные дыры в защите.

Чаще всего подключение осуществляется через внешний маршрутизатор, поддерживающий два Ethernet интерфейса (две сетевые карточки в одном комп).

Между внешним роутером и брандмауэром имеется только один путь, по кот идет весь трафик. Роутер настраивается так, что брандмауэр является единственной видимой снаружи машиной. Схема наиб предпочтительна с точки зрения безопасности и надежности защиты.

При МЭ защищается только одна подсеть из нескольких выходящих из роутера. В незащищаемой МЭ области часто располагают серверы, которые д б видимы снаружи (WWW, FTP и т.д.).

Существуют решения, которые позволяют организовать для серверов, которые д б видимы снаружи, третью сеть; это позволяет обеспечить контроль за доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.

Для ↑ уровня защищенности исп в одной сети несколько брандмауэров, стоящих друг за другом.