Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Велика частина міжмережевих екранів з фільтрацією пакетів підтримує трансляцію міжмережевих адрес.
Гібридні міжмережні екрани. Як і багато інших пристроїв, міжмережеві екрани змінюються і удосконалюються з часом - еволюціонують. Виробники міжмережевих екранів прикладного рівня в певний момент прийшли до висновку, що необхідно розробити метод підтримки протоколів, для яких не існує певних модулів доступу. Внаслідок цього побачила світ технологія модуля доступу Generic Services Proxy (GSP). GSP розроблена для підтримки модулями доступу прикладного рівня інших протоколів, необхідних системі безпеки та при роботі мережних адміністраторів. В дійсності GSP забезпечує роботу міжмережевих екранів прикладного рівня в якості екранів з пакетною фільтрацією. Виробники міжмережевих екранів з пакетною фільтрацією також додали деякі модулі доступу в свої продукти для забезпечення більш високого рівня безпеки деяких широко поширених протоколів. На сьогоднішній день багато міжмережеві екрани з пакетною фільтрацією поставляються з модулем доступу SMTP. У той час як базова функціональність міжмережевих екранів обох типів залишилася колишньою, сьогодні на ринку присутні гібридні міжмережеві екрани. Практично неможливо знайти міжмережевий екран, функціонування якого побудовано виключно на прикладному рівні або фільтрації пакетів. Ця обставина аж ніяк не є недоліком, так як воно дозволяє адміністраторам, відповідальним за безпеку, налаштовувати пристрій для роботи в конкретних умовах. Брандмауери бувають апаратними або програмними. Апаратний брандмауер - це пристрій, який підключається до мережі фізично, фільтрує вхідний і вихідний трафік і захищає від небажаних проникнень у внутрішню мережу або на персональний комп'ютер. Програмний брандмауер виконує ті ж функції, але є не зовнішнім апаратним пристроєм, а програмою, встановленою на комп'ютері. У ролі параметрів фільтрації виступають адреси одержувача і відправника кожного мережевого пакету, протокол передачі даних (наприклад, HTTP, FTP і т.д.), додаток, який відсилає або приймає мережевий пакет і т.д. Принцип роботи брандмауера проілюстровано на рис. 13.1. Несанкціонований користувач не зможе отримати доступ в локальну мережу, якщо її захищає брандмауер. Брандмауер захищає приватну мережу і відфільтровує ті дані, обмін якими заборонений. Якщо в компанії є, наприклад, 100 персональних комп'ютерів, об'єднаних у локальну мережу і мають вихід в Інтернет, але немає брандмауера, то зловмисник зможе проникнути на кожен з цих комп'ютерів з Інтернету. Брандмауери, призначені для захисту корпоративної мережі, часто мають вбудовані proxy-сервери і систему виявлення вторгнень. Proxy-сервер відіграє роль посередника між внутрішньою мережею організації та Інтернетом. Сервер-посередник зберігає часто запитувані web-сторінки у своїй пам'яті. Коли користувач запитує якусь сторінку з Інтернету, proxy-сервер перевіряє, чи є вона в його базі даних. Якщо є, то сторінка відразу ж вирушає до користувача. Якщо ні, то proxy-сервер запитує оригінальний сервер, де розміщена сторінка, і, отримавши її, відправляє користувачу. Механізм збереження часто запитуваної інформації дозволяє значно заощадити час доступу до найбільш важливих даними. Системи виявлення вторгнень, навіть будучи складовою частиною великого брандмауера, доповнюють інші системи інформаційної безпеки. Вони не тільки визначають сам факт проникнення в мережу, але й виявляють підозрілі дії. Якщо брандмауери розглядати як паркан з хвірткою, через яку можуть пройти ті, хто наділений відповідними повноваженнями, система виявлення буде виступати тут в ролі пристроїв зовнішнього відеоспостереження та охоронної сигналізації. Охоронна система включається, коли зловмисник переліз через паркан або зламав хвіртку і тепер має намір захопити центральний пульт управління. Тобто коли хакер вже проникнув всередину і готується вразити життєво важливу систему. Робота системи виявлення вторгнень будується на законах математичної статистики. Кожна дія, що відбувається в системі, піддається аналізу на відповідність сценарієм мережевої атаки. Так як дії зловмисника різняться від випадку до випадку, системі виявлення вторгнень доводиться враховувати відхилення реально подій, що відбуваються від сценарію нападу.
|