А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
298<br />
Q расширенный доступ к Internet/Intranet (трансляция сетевых адресов (NAT),<br />
IPeXchange шлюз IP-B-IP, простота и снижение стоимости доступа к Internet и<br />
Intranet);<br />
Q оптимизацию WAN (установление соединения по требованию (DDR), предоставление<br />
полосы по требованию (BOD) и OSPF по требованию, полустатическая<br />
маршрутизация, сжатие и фильтрация).<br />
Существенно, что только выделенные межсетевые экраны позволяют осуществить<br />
комплексную зачету корпоративной сети от НСД, основанную как на традиционной<br />
синтаксической (IP-пакетной) фильтрации контролируемых потоков данных, осуществляемой<br />
большинством операционных систем семейств Windows и UNIX, так и на<br />
семантической, доступной только коммерческим специальным решениям.<br />
<strong>В</strong> настоящее время все известные Firewall можно разделить на несколько основных<br />
групп:<br />
U по исполнению:<br />
G аппаратно-программный;<br />
О программный;<br />
G по функционированию на уровнях модели OSI:<br />
Q шлюз экспертного уровня;<br />
Q экранирующий шлюз (прикладной шлюз);<br />
G экранирующий транспорт (шлюз сеансового уровня);<br />
G экранирующий маршрутизатор (пакетный фильтр);<br />
Q по используемой технологии:<br />
Q stateful inspection (контроль состояния протокола);<br />
О на основе модулей-посредников (proxy);<br />
О по схеме подключения:<br />
Q схема единой защиты сети;<br />
Q схема с защищаемым закрытым и не защищаемым открытым сегментами сети;<br />
Q схема с раздельной защитой закрытого и открытого сегментов сети.<br />
Пример программно-аппаратной реализации такой стратегии Firewall — межсетевой<br />
экран.<br />
<strong>М</strong>ежсетевой экран —• система (или комбинация систем), позволяющая разделить<br />
сеть на две или более частей и реализовать набор правил, определяющих условия прохождения<br />
пакетов из одной части в другую. Как правило, эта граница проводится между<br />
корпоративной сетью и Internet, хотя ее можно провести и внутри локальной сети.<br />
Таким образом, межсетевой экран пропускает через себя весь трафик. Он принимает<br />
решение, пропускать пакет или отбросить. Решение производится опять-таки на основании<br />
определенных правил, как и в случае чисто административного управления.<br />
Однако правила задаются уже не только на программном, но и на аппаратном уровне,<br />
что существенно затрудняет взлом подобных систем.<br />
Необходимо отметить, что в настоящее время наряду с одноуровневыми межсетевыми<br />
экранами все большую популярность приобретают комплексные экраны, охватывающие<br />
уровни от сетевого до прикладного.<br />
Конкретные реализации межсетевых экранов в значительной степени зависят от используемых<br />
вычислительных платформ, но, тем не менее, все системы этого класса используют<br />
два механизма, один из которых обеспечивает блокировку сетевого трафика, а