3.3 Функції брандмауерів

Брандмауером називають спеціальний програмно-апаратний комплекс, що забезпечує захист локальної мережі від вторгнень з локальної або глобальної мережі, наприклад, Інтернету, в точці їх з'єднання. Брандмауери дозволяють пропускати через мережеве з'єднання тільки авторизований трафік, контролюючи тим самим мережеву взаємодію між комп'ютерами глобальної і локальної мережі. Високорозвинуті брандмауери дозволяють виконувати дуже точну настройку доступу до мережевих служб, надаючи для цього зручний графічний інтерфейс. Добре настроєний брандмауер не просто блокує неавторизовані запити з боку зовнішніх комп'ютерів, але і намагається ідентифікувати авторів запиту разом з негайним повідомленням адміністратора системи про спроби таких запитів.

Брандмауери дозволяють управляти мережевим трафіком, що проходить усередині локальної мережі. За допомогою брандмауерів можна розділити локальну мережу на домени безпеки - групи комп'ютерів з одним рівнем захищеності. На комп'ютерах найбільш захищеного домена слід зберігати конфіденційну інформацію, наприклад, облікові записи користувачів, документи фінансової звітності, відомості про поточну виробничу діяльність і тому подібне. Розділення доступу користувачів до мережевих ресурсів різного ступеня секретності вже само по собі різко підвищує рівень безпеки мережі. Якщо до того ж набудувати брандмауер так, щоб доступ до виділеного мережевого сегменту був максимально обмеженим, то можна значною мірою забезпечити інформацію, що зберігається в сегменті, від розкриття конфіденційності[6].

У загальному випадку методика Firewall, тобто брандмауерів, реалізує наступні основні три функції:

1. Багаторівнева фільтрація мережного трафіка.

Фільтрація звичайно здійснюється на трьох рівнях OSI:

• мережному (IP);

• транспортному (TCP, UDP);

• прикладному (FTP, TELNET, HTTP, SMTP ).

Фільтрація мережевого трафіка є основною функцією систем Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережеву політику безпеки у виділеному сегменті IP-мережі. Тобто, настроївши відповідним чином Firewall, можна дозволити чи заборонити користувачам як доступ із зовнішньої мережі до хостів, що знаходяться в сегменті, який захищається, так і доступ користувачів із внутрішньої мережі до відповідного ресурсу зовнішньої мережі.

2. Proxy-схема з додатковою ідентифікацією й аутентифікацією користувачів на Firewall - хості.

Proxy-схема дозволяє, по-перше, при доступі до захищеного Firewall сегменту мережі здійснити на ньому додаткову ідентифікацію й аутентифікацію віддаленого користувача. По-друге, є основою для створення приватних мереж з віртуальними IP-адресами. Proxy-схема призначена для створення з'єднання з кінцевим адресатом через проміжний proxy-сервер (proxy від англ. повноважний) на хості Firewall. На цьому proxy-сервері і може здійснюватися додаткова ідентифікація абонента.

3. Створення приватних віртуальних мереж (Private Virtual Network - PVN) з "віртуальними" IP-адресами (NAT - Network Address Translation).

У випадку, якщо адміністратор безпеки мережі вважає за доцільне приховати топологію своєї внутрішньої IP-мережі, то йому необхідно використовувати системи Firewall для створення приватної мережі (PVN-мережа). Хостам у PVN-мережі призначаються будь-які "віртуальні" IP-адреси. Для адресації в зовнішню мережу (через Firewall) необхідне використання на хості Firewall proxy-серверів, або застосування спеціальних систем роутінгу (маршрутизації). Це відбувається через те, що віртуальна IP-адреса, яка використовується у внутрішній PVN-мережі , не придатна для зовнішньої адресації (зовнішня адресація - це адресація до абонентів, що знаходиться за межами PVN-мережі). Тому proxy-сервер, чи засіб роутінгу повинен здійснювати зв'язок з абонентами з зовнішньої мережі зі своєї дійсної IP-адреси. Ця схема зручна в тому випадку, якщо для створення ІР-мережі виділили недостатню кількість IP-адрес, тому для створення повноцінної IP-мережі з використанням proxy-схеми досить тільки однієї виділеної IP-адреси для proxy-сервера.

Будь-який пристрій, що реалізує хоча б одну з цих функцій Firewall-методики, і є Firewall-пристроєм. Наприклад, ніщо не заважає використовувати в якості Firewall - хосту комп'ютер зі звичайною ОС FreeBSD чи Linux, у якої відповідним чином необхідно скомпілювати ядро ОС. Firewall такого типу буде забезпечувати тільки багаторівневу фільтрацію ІР-трафіка. Пропоновані на ринку Firewall-комплекси, створені на базі ЕОМ звичайно реалізують усі функції Firewall-методики і є повнофункціональними системами Firewall. На рис. 3.20 зображений сегмент мережі, відділений від зовнішньої мережі повнофункціональним Firewall - хостом.

Однак адміністраторам IP-мереж треба розуміти, що Firewall це не гарантія абсолютного захисту від віддалених атак у мережі Internet. Firewall - не стільки засіб забезпечення безпеки, скільки можливість централізовано здійснювати мережну політику розмежування віддаленого доступу до доступних ресурсів мережі. Firewall не зможе запобігти таким видам атак як: аналізу мережного трафіку, помилковий ARP-сервер, помилковий DNS-сервер, підміна одного із суб'єктів TCP-з'єднання, порушення працездатності хосту шляхом створення спрямованої атаки помилковими запитами чи переповнення черги запитів. В таких випадках використання Firewall не допоможе. Для того, щоб вивести з ладу (відрізати від зовнішнього світу) усі хости усередині захищеного Firewall-системою сегмента, досить атакувати тільки один Firewall. Це пояснюється тим, що зв'язок внутрішніх хостів із зовнішнім світом можливий тільки через Firewall.

З усього вищесказаного аж ніяк не випливає, що використання систем Firewall є абсолютно безглуздим, на даний момент цій методиці немає альтернативи. Однак треба чітко розуміти і пам'ятати її основне призначення. Застосування методики Firewall для забезпечення мережної безпеки є необхідною, але аж ніяк не достатньою умовою. Не потрібно вважати, що поставивши Firewall вирішуються всі проблеми з мережною безпекою і усунуться усі можливі віддалені атаки з мережі Internet [7].


Информация о работе «Комп’ютерні мережі. Аналіз роботи і оптимізація»
Раздел: Информатика, программирование
Количество знаков с пробелами: 96639
Количество таблиц: 0
Количество изображений: 5

Похожие работы

Скачать
126392
20
39

... ї комп’ютерної мережі авіакомпанії «Північна компанія»   2.3.1 Програмний пакет проектування і моделювання гетерогенних комп'ютерних мереж NetCracker Professional Призначення системи: автоматизоване проектування і моделювання локальних і корпоративних комп'ютерних мереж в цілях мінімізації витрат часу і засобів на розробку, верифікацію проектів. Функції: створення проекту мережі; анімаційне ...

Скачать
148342
4
31

... інованим) порядком. При використанні детермінованих методів колізії неможливі, але вони є більш складними в реалізації і збільшують вартість мережного обладнання. 3.1 Метод доступу до каналів комп’ютерних мереж з перевіркою несучої та виявленням колізій CSMA/CD Метод багатостанційного доступу до середовища з контролем несучої та виявленням колізій (Carrier Sense Multiply Access / Collision ...

Скачать
29418
0
0

... її з даними, отриманими раніше, і вироблення припущень про можливі причини сповільненої або ненадійної роботи мережі. Завдання моніторингу вирішується програмними і апаратними вимірниками, тестерами, мережевими аналізаторами і вбудованими засобами моніторингу систем управління мережами і системами. Завдання аналізу вимагає активнішої участі людини, а також використання таких складних засобів як ...

Скачать
20914
1
7

... ів з нижніх рівнів великих мереж. Існують дві основні схеми застосування комутаторів: зі стягнутої в точку магістраллю й з розподіленою магістраллю. У великих мережах ці схеми застосовують комбіновано. Для побудови даної комп’ютерної мережі я вирішив використати комутатор фірми D-Link DGS-1248T/GE (WebSmart комутатор з 44 портами 10/100/1000Base-T + 4 комбо-портами 1000Base-T/Mini GBIC (SFP) і ...

0 комментариев


Наверх