Шпаргалка по предмету "Защита информации (ЗИ)"
Брандмауэр и маршрутизатор.
Брандмауэр и маршрутизатор, по сути, являются двумя самыми распространенными элементами защиты сетевого периметра. Далее основное внимание будет сконцентрировано на вопросах взаимодействия брандмауэра с маршрутизатором, а также на нескольких типичных примерах их конфигурации, обеспечивающей безопасность сети.Рис. иллюстрирует один из наиболее распространенных способов использования связки маршрутизатор-брандмауэр. Хосты корпоративной подсети используют только внутренним персоналом организации. Общедоступные сервера экранированной подсети доступны также из Интернет. В данном сценарии ни один из внутренних серверов корпоративной подсети не доступен из внешнего мира. Например, вместо того, чтобы для нужд внутреннего почтового сервера открыть в брандмауэре TCP-порт 25, SMTP-трафик перенаправляется через ретранслятор почты расположенный внутри экранированной подсети.Основы фильтрации.Маршрутизатор отвечает лишь за свои непосредственные функции маршрутизации, т.е. он обеспечивает канал связи локальной сети с Интернет. Но в большинстве случаев целесообразно использовать расширенные возможности маршрутизатора по фильтрации пакетов. Это позволяет отсеивать "бесполезные" пакеты, которые, как правило, ускользают от внимания брандмауэра, или не допускать во внутреннюю сеть заведомо нежелательные пакеты. 
Рис. 9. Схема сети с маршрутизатором и развернутым за ним брандмауэромОтметим, что в рамках приведенной на рис. 9 схемы было бы нежелательно блокировать чрезмерно большое количество пакетов еще на уровне маршрутизатора, поскольку львиная доля такой работы лежит на брандмауэре. Кроме того, следствием блокировки основной массы пакетов средствами маршрутизатора является недостаточно подробная информация в log-файлах брандмауэра, что зачастую не позволяет провести качественный анализ происходящего.Управление доступом.В описанном выше сценарии зашиты брандмауэр несет на себе основную ответственность за контроль доступа. Именно здесь уместнее всего задать в качестве политики по умолчанию полную блокировку всего входящего трафика за исключением нескольких необходимых для нормальной работы протоколов. Брандмауэр в таком случае представляет собой перечень правил, определяющих политику безопасности с точки зрения нужд конкретно взятой сети. И в соответствии с данной точкой зрения, нужно, как минимум, обладать отличным пониманием нужд конкретной сети. Иначе реализация подобного брандмауэра превратится в неразрешимую задачу.Помните, что размещение некоторых систем под прикрытием экранированной подсети в отдельных случаях является недопустимым. В частности, это может быть связано с нехваткой производительности брандмауэра, или же тем, что некоторые хосты, входящие в состав локальной сети, не вызывают такого большого доверия, чтобы располагать их на том же уровне защиты, что и важные серверы. В подобных случаях можно рассмотреть вариант помещения такой системы внутри самой демилитаризованной зоны, т.е. между пограничным маршрутизатором и брандмауэром. При этом для защиты такой системы от воздействия извне используются возможности фильтрации маршрутизатора, а для защиты корпоративной подсети применяется настроенный определенным образом брандмауэр.Маршрутизатор в зоне контроля поставщика Интернет-услуг.В некоторых случаях Интернет-провайдер вполне способен предоставить клиенту Ethernet-соединение со своим сетевым оборудованием. Это освобождает клиента от необходимости устанавливать и настраивать свой собственный пограничный маршрутизатор, но зато клиент не может вносить изменения в конфигурации принадлежащего провайдеру маршрутизатора. Другими словами, брандмауэр в таких случаях располагается сразу за маршрутизатором провайдера. В некотором отношении это упрощает задачу установки и настройки собственной сети хотя бы с той точки зрения, что в ней становится на один компонент меньше. Но, в то же время, нет никакой гарантии, что маршрутизатор провайдера настроен именно так, как этого хотелось бы. Описанная архитектура не очень отличается от рассмотренной ранее. А отсутствие контроля над маршрутизатором означает, что уровень защиты сети может не соответствовать тому уровню, который был бы при наличии собственноручно настроенного маршрутизатора.Другими словами, главным ограничением подобной конфигурации является отсутствие полной информации о том, какой именно трафик блокируется маршрутизатором провайдера. Если провайдер позаботился о блокировке каких-то пакетов, то они никогда не попадут в log-файл локальной подсети. А раз так, то стоит обратиться к провайдеру с просьбой либо ослабить контроль трафика со стороны их маршрутизатора, либо предоставить log-файлы, возникающие в результате такого контроля.Маршрутизатор без брандмауэра.Корректно настроенный маршрутизатор вполне способен блокировать нежелательный трафик. Особенно в случае, когда для этого применяются так называемые рефлексивные списки доступа (reflexive access lists) или же речь идет о высокотехнологичных маршрутизаторах Cisco со встроенными функциями брандмауэра.Не говоря уже о том, что достаточно типичным случаем является наличие в сети внутренних маршрутизаторов, не отделяющих сеть от внешнего мира. Ведь главной задачей любого маршрутизатора является соединение двух сетей между собой, а у компании вполне может быть потребность соединить между собой два сегмента локальной сети, не имеющих отношения к Интернету. Например, в том случае, когда организация обладает несколькими географически удаленными друг от друга сайтами, для их соединения между собой наверняка применяется именно маршрутизатор. В подобных случаях маршрутизатор лишен поддержки брандмауэра.Блокировать те устройства, конфигурация которых связана с запретом ненужных служб и установкой списков доступа, нужно даже в тех случаях, когда речь идет о применении маршрутизаторов для глобальных приватных соединений типа T1 или frame relay. Такой шаг вполне соответствует концепции выше рассмотренной многоуровневой защиты, предназначенной оградить сеть от многочисленных потенциальных угроз извне.
Рис. 9. Схема сети с маршрутизатором и развернутым за ним брандмауэромОтметим, что в рамках приведенной на рис. 9 схемы было бы нежелательно блокировать чрезмерно большое количество пакетов еще на уровне маршрутизатора, поскольку львиная доля такой работы лежит на брандмауэре. Кроме того, следствием блокировки основной массы пакетов средствами маршрутизатора является недостаточно подробная информация в log-файлах брандмауэра, что зачастую не позволяет провести качественный анализ происходящего.Управление доступом.В описанном выше сценарии зашиты брандмауэр несет на себе основную ответственность за контроль доступа. Именно здесь уместнее всего задать в качестве политики по умолчанию полную блокировку всего входящего трафика за исключением нескольких необходимых для нормальной работы протоколов. Брандмауэр в таком случае представляет собой перечень правил, определяющих политику безопасности с точки зрения нужд конкретно взятой сети. И в соответствии с данной точкой зрения, нужно, как минимум, обладать отличным пониманием нужд конкретной сети. Иначе реализация подобного брандмауэра превратится в неразрешимую задачу.Помните, что размещение некоторых систем под прикрытием экранированной подсети в отдельных случаях является недопустимым. В частности, это может быть связано с нехваткой производительности брандмауэра, или же тем, что некоторые хосты, входящие в состав локальной сети, не вызывают такого большого доверия, чтобы располагать их на том же уровне защиты, что и важные серверы. В подобных случаях можно рассмотреть вариант помещения такой системы внутри самой демилитаризованной зоны, т.е. между пограничным маршрутизатором и брандмауэром. При этом для защиты такой системы от воздействия извне используются возможности фильтрации маршрутизатора, а для защиты корпоративной подсети применяется настроенный определенным образом брандмауэр.Маршрутизатор в зоне контроля поставщика Интернет-услуг.В некоторых случаях Интернет-провайдер вполне способен предоставить клиенту Ethernet-соединение со своим сетевым оборудованием. Это освобождает клиента от необходимости устанавливать и настраивать свой собственный пограничный маршрутизатор, но зато клиент не может вносить изменения в конфигурации принадлежащего провайдеру маршрутизатора. Другими словами, брандмауэр в таких случаях располагается сразу за маршрутизатором провайдера. В некотором отношении это упрощает задачу установки и настройки собственной сети хотя бы с той точки зрения, что в ней становится на один компонент меньше. Но, в то же время, нет никакой гарантии, что маршрутизатор провайдера настроен именно так, как этого хотелось бы. Описанная архитектура не очень отличается от рассмотренной ранее. А отсутствие контроля над маршрутизатором означает, что уровень защиты сети может не соответствовать тому уровню, который был бы при наличии собственноручно настроенного маршрутизатора.Другими словами, главным ограничением подобной конфигурации является отсутствие полной информации о том, какой именно трафик блокируется маршрутизатором провайдера. Если провайдер позаботился о блокировке каких-то пакетов, то они никогда не попадут в log-файл локальной подсети. А раз так, то стоит обратиться к провайдеру с просьбой либо ослабить контроль трафика со стороны их маршрутизатора, либо предоставить log-файлы, возникающие в результате такого контроля.Маршрутизатор без брандмауэра.Корректно настроенный маршрутизатор вполне способен блокировать нежелательный трафик. Особенно в случае, когда для этого применяются так называемые рефлексивные списки доступа (reflexive access lists) или же речь идет о высокотехнологичных маршрутизаторах Cisco со встроенными функциями брандмауэра.Не говоря уже о том, что достаточно типичным случаем является наличие в сети внутренних маршрутизаторов, не отделяющих сеть от внешнего мира. Ведь главной задачей любого маршрутизатора является соединение двух сетей между собой, а у компании вполне может быть потребность соединить между собой два сегмента локальной сети, не имеющих отношения к Интернету. Например, в том случае, когда организация обладает несколькими географически удаленными друг от друга сайтами, для их соединения между собой наверняка применяется именно маршрутизатор. В подобных случаях маршрутизатор лишен поддержки брандмауэра.Блокировать те устройства, конфигурация которых связана с запретом ненужных служб и установкой списков доступа, нужно даже в тех случаях, когда речь идет о применении маршрутизаторов для глобальных приватных соединений типа T1 или frame relay. Такой шаг вполне соответствует концепции выше рассмотренной многоуровневой защиты, предназначенной оградить сеть от многочисленных потенциальных угроз извне.
Не сдавайте скачаную работу преподавателю!
С помощью нашего сервиса Вы можете собрать свою коллекцию шпаргалок по нужному предмету, и распечатать готовые ответы в удобном для вырезания виде. Для этого начните собирать ответы, добавляя в "Мои шпаргалки".
Поделись с друзьями, за репост + 100 мильонов к студенческой карме
:
Заказать работу:
Делаем шпаргалки правильно:
Читайте также:
Виды дипломных работ:
| ! | Шпаргалки для экзаменов Какие бывают шпаргалки, как их лучше подготовить и что писать. |
| ! | Делаем правильную шпаргалку Что представляет собой удобная и практичная шпаргалка, как ее сделать. |
| ! | Как воспользоваться шпаргалкой В какой момент лучше достать шпаргалку, как ей воспользоваться и что необходимо учесть. |
Читайте также:
| → | Сдаем экзамены Что представляет собой экзамен, как он проходит. |
| → | Экзамен в виде тестирования Каким образом проходит тестирование, в чем заключается его суть. |
| → | Готовимся к экзаменам Как правильно настроиться, когда следует прекратить подготовку и чем заниматься в последние часы. |
| → | Боремся с волнением Как преодолеть волнение, как внушить себе уверенность. |
| → | Отвечаем на экзамене Как лучше отвечать и каким идти к преподавателю. |
| → | Не готов к экзамену Что делать если не успел как следует подготовиться. |
| → | Пересдача экзамена На какое время назначается пересдача, каким образом она проходит. |
| → | Микронаушники Что такое микронаушник или "Профессор .. ллопух ...". |
Виды дипломных работ:
| → | выпускная работа бакалавра Требование к выпускной работе бакалавра. Как правило сдается на 4 курсе института. |
| → | магистерская диссертация Требования к магистерским диссертациям. Как правило сдается на 5,6 курсе обучения. |
Другие популярные шпаргалки:
| шпаргалки | Договор аренды |
| шпаргалки | Налог на прибыль организаций |
| шпаргалки | Шпаргалка по Страхованию |
| шпаргалки | Шпоры по анатомии и физиологии человека |
| шпаргалки | Правапіс не,ня,ні з рознымі часцінамі мовы |
| шпаргалки | Предмет и метод бухгалтерского учета |
| шпаргалки | Учет основных средств |
| шпаргалки | Учет собственного капитала |
| шпаргалки | Кредитный договор |
| шпаргалки | Некоммерческие организации |
| шпаргалки | Понятие и признаки государства. |
| шпаргалки | Договор подряда. Общие положения |
| шпаргалки | Закон денежного обращения |
| шпаргалки | Понятие, признаки, виды юридических лиц. |
| шпаргалки | Анализ дебиторской и кредиторской задолженностей |