А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
304<br />
ИНТЕРНЕТ c^T^^j ^-\ Webserver<br />
Webserver<br />
Webserver<br />
Рис. 3.42. Классическая схема защиты корпоративных серверов<br />
щих соединений. Из-за недостатка функций контроля доступа и обнаружения вторжений<br />
становятся открытыми операционные системы корпоративных серверов, а соответственно<br />
и их приложения, для различного рода атак, например, DoS-атак (Ping Flood,<br />
SYN Flood, IP Packet Fragmentation, TCP and UDP Port Spooring, Session Highjacking,<br />
Oversized IP Packet Attacks), а также внедрения троянских коней и подбора пароля.<br />
Даже если сервер компании защищен стандартными средствами, это не предотвратит<br />
попытки нарушения безопасности самой операционной системы. Если атакующий,<br />
используя DoS-атаку, блокирует сервер, автоматически блокируется и приложение.<br />
Как результат, компания несет убытки, связанные с нарушением работоспособности<br />
своей сети. Именно поэтому рассмотрим способы использующихся специальных защитных<br />
механизмов защиты серверов.<br />
Простейшим классическим способом защиты внутренних серверов компании от<br />
внешних атак является установка Firewall, например, Firewall-1 компании Checkpoint<br />
или Cisco PIX компании Cisco, между серверами и Internet (рис. 3.42).<br />
При правильной конфигурации большинство Firewall могут защитить внутренние<br />
серверы от внешних злоумышленников, а некоторые из них могут даже выявлять и<br />
предотвращать атаки типа «отказ в обслуживании». Тем не менее, этот подход не лишен<br />
некоторых недостатков.<br />
Когда корпоративные серверы защищены одним-единственным межсетевым экраном,<br />
все правила контроля доступа и все верифицированные данные оказываются сосредоточенными<br />
в одном месте. Таким образом, Firewall становится «узким местом»<br />
и по мере возрастания нагрузки значительно снижается его производительность. Конечно,<br />
Firewall можно дополнить программным обеспечением, балансирующим нагрузку<br />
(например, FloodGate компании Checkpoint) и многопроцессорными модулями,<br />
но эти шаги только усложнят систему и повысят ее стоимость.<br />
<strong>А</strong>льтернативой классической схеме является схема децентрализованной защиты корпоративных<br />
серверов, основанная на установке продукта Firewall-1 компании Checkpoint<br />
или Cisco PIX компании Cisco перед каждым сервером (рис. 3.43). <strong>В</strong> результате того, что