 Информационная защита сети от внешних вмешательств осуществляется с использованием брандмауэров и серверов-посредников.
Первоначальное значение термина брандмауэр (firewall) - это стена в здании, сделанная из огнеупорных и невоспламеняющихся материалов, которая должна воспрепятствовать распространению пожара. В компьютерной сети брандмауэр - это компьютер с программной системой, который ставят на границе корпоративной сети и который пропускает только авторизованные определенным образом пакеты.
Чаще брандмауэры защищают внутреннюю корпоративную сеть от несанкционированного доступа из внешней сети. Однако их можно использовать для фильтрации исходящей информации, ограничение доступа пользователей внутренней сети наружу.
Брандмауэры применяют различные алгоритмы фильтрации, они имеют различные степени защиты и стоимости. В целях классификации брандмауэров их работу описывают с использованием семи уровней эталонной модели взаимодействия открытых систем (OSI).
Различают:
• брандмауэры с возможностью фильтрации пакетов, работающие на канальном и сетевом уровнях;
• шлюзы на уровне сеанса – такие сервисы работают на уровне распознания сеанса;
• шлюзы уровня приложений (Application Level Gateway); фильтруют информацию согласно программных приложений);
• брандмауэры экспертного уровня выполняют функции брандмауэров всех нижних уровней.
Как правило, чем выше уровень работы брандмауэра, тем больший уровень защиты, который он обеспечивает и тем выше его стоимость.
Брандмауэры с фильтрацией пакетов работают вместе с аппаратным или программным маршрутизатором. Они анализируют заголовки пакетов и на основании информации у них и своей таблице правил принимает решение о прохождении пакета или его отвержения.
Брандмауэры с фильтрацией пакетов сравнительно дешевые и вносят небольшую задержку в передаче сообщений. Часто функции фильтрации пакетов интегрируют в маршрутизаторы. Вместе с тем уровень защиты в таких брандмауэров незначительный - квалифицированный злоумышленник может подменить адресную часть IP - пакета.
В идеальном случае брандмауэр должен быть прозрачным (незаметным) для клиентов сети. Это означает, что он не вызывает существенной задержки в передаче информации, не требует от клиентов специальной регистрации на брандмауэре, отделенной от регистрации пользователя в сетевой ОС. На практике требование прозрачности брандмауэра так или иначе нарушается.
Иногда функции брандмауэра в сложных системах распределены между собственно брандмауэрами и серверами - посредниками (proxy - серверами). В чем же разница между этими серверами? Брандмауэр традиционно защищает сеть от внешних вмешательств. Он фильтрует кадры канального уровня, распознает сеанс, который открывает внешний пользователь. Сервер - посредник контролирует и ограничивает выход внутреннего пользователя наружу, а также часто является его представителем. Функции сервера - посредника такие:
• скрыть адреса внутренних станций, подавая всю сеть наружу как один компьютер с адресом сервера;
• хранить популярные web-страницы, файлы, так что пользователи не вынуждены обращаться к внешней сети при их повторном запросе. Популярную информацию сервер обновляет автоматически с определенной периодичностью.
Следует отметить также необходимость физического ограничения доступа к серверам и хранилищам данных в организации. Даже при наличии развитой системы защиты информации на программном уровне, носители информации могут быть или физически повреждены и просто украдены для дальнейшей расшифровки и использования в корыстных целях.
Читайте еще
|
