Attention! Your ePaper is waiting for publication!
By publishing your document, the content will be optimally indexed by Google via AI and sorted into the right category for over 500 million ePaper readers on YUMPU.
This will ensure high visibility and many readers!
296 ИНТЕРНЕТ Ethernet (10BASE-T) Каналообразующее оборудование (модем) <strong>М</strong>аршрутизатор <strong>В</strong>ыделенный канал "точка - точка" LAN Технология ISDN NT1 Линия ISDN BRI (2B+D) sn интерфейс в) ИНТЕРНЕТ Технология Frame Relay Рис. 3.38. <strong>В</strong>арианты подключения корпоративных сетей к Internet Л<strong>В</strong>С G иерархическую систему защиты, предоставляющую адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети. Решить данные задачи становится возможным только при помощи технологии межсетевых экранов, организующей безопасное взаимодействие с внешней средой. Сравнительные характеристики возможных решений технологии межсетевых экранов (<strong>М</strong>Э) приведены в табл. 3.8. При подключении компьютерной сети к Internet рекомендуется защитить эту сеть от НСД с помощью одного из следующих решений на основе: О аппаратно-программного или программного межсетевого экрана; Q маршрутизатора со встроенным пакетным фильтром; Q специализированного маршрутизатора, реализующего механизм защиты на основе списков доступа;
Глава 3. Основные пути обеспечения безопасности информации 297 Таблица 3.8. Сравнительные характеристики возможных решений технологии межсетевых экранов <strong>В</strong>ариант подключения Технология ISDN Технология Frame Relay <strong>В</strong>ыделенный канал точка — точка Характеристика уровня защиты Защита на основе аппаратного firewall <strong>В</strong>ысокий <strong>В</strong>ысокий Экономически не эффективно Защита на основе программного межсетевого экрана <strong>В</strong>ысокий/средний (в зависимости от типа <strong>М</strong>Э) <strong>В</strong>ысокий/средний (в зависимости от типа <strong>М</strong>Э) <strong>В</strong>ысокий/ссредний (в зависимости от типа <strong>М</strong>Э) Защита на основе маршрутизатора с функциями firewall Защита на основе маршрутизатора <strong>В</strong>ысокий/средний (в зависимости от типа маршрутизатора) Низкий/средний (в зависимости от типа маршрутизатора) <strong>В</strong>ысокий/средний (в зависимости от типа маршрутизатора) Низкий/средний (в зависимости от типа маршрутизатора) <strong>В</strong>ысокий Средний G операционной системы (ОС) семейства UNIX или реже MS Windows, усиленной специальными утилитами, реализующими пакетную фильтрацию. Рассмотрим технологии межсетевого экранирования более подробно. Прямую защиту корпоративной системы предоставляет методика, так называемая «огненная стена» ( Firewall). По этой методике в сети выделяется определенная буферная область, и далее все сетевые пакеты между локальной сетью и Internet проходят только через этот буфер. Защита корпоративной сети на основе Firewall позволяет получить максимальную степень безопасности и реализовать следующие возможности: G семантическую фильтрацию циркулирующих потоков данных; Q фильтрацию на основе сетевых адресов отправителя и получателя; Q фильтрацию запросов на транспортном уровне на установление виртуальных соединений; Q фильтрацию запросов на прикладном уровне к прикладным сервисам; О локальную сигнализацию попыток нарушения правил фильтрации; Q запрет доступа неизвестного субъекта или субъекта, подлинность которого при аутентификации не подтвердилась, и др.; О обеспечение безопасности от точки до точки: межсетевой экран, авторизация маршрута и маршрутизатора, тоннель для маршрута и криптозащита данных; Q многопротокольную маршрутизацию (IP, IPX, AppleTalk) и прозрачный мост через ISDN, асинхронное и синхронное, последовательное соединение, такое как выделенная линия. Frame Relay, SMDS, Switched 56 и Х.25; G возможность обеспечения качества услуги от точки до точки посредством протокола резервирования ресурсов (RSVP), очереди с весами (WFQ), IP Multicast и AppleTalk Simple Multicast Routing Protocol (SMRP) для обеспечения таких приложений, как видеоконференции, объединение данных и голоса и др.;