А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Глава 3. Основные пути обеспечения безопасности информации 307<br />
Таблица 3.10. Сравнительные характеристики традиционных и распределенных межсетевых<br />
экранов<br />
<strong>В</strong>ид<br />
экрана<br />
Традиционный<br />
Эффективность<br />
Часто<br />
располагается по<br />
периметру сети,<br />
обеспечивая<br />
лишь один слой<br />
защиты. И если<br />
этот единственный<br />
слой нарушен,<br />
система оказывается<br />
незащищенной<br />
перед<br />
любыми атаками<br />
Простота<br />
установки<br />
Устанавливается<br />
как<br />
часть конфигурации<br />
корпоративной<br />
сети<br />
Характеристика<br />
Управление<br />
Управляется<br />
сетевым<br />
администратором<br />
Производительность<br />
Является устройством<br />
обеспечения межсетевого<br />
обмена с фиксированным<br />
ограничением производительности<br />
по пакетам в<br />
секунду. Он не подходит для<br />
растущих серверных парков,<br />
соединенных между собой<br />
коммутированными местными<br />
сетями<br />
Стоимость<br />
Являются,<br />
как правило,<br />
системами с<br />
фиксированными<br />
функциями и<br />
достаточно<br />
высокой<br />
стоимостью<br />
(примерно от<br />
$ 4500)<br />
Распределенный<br />
Функционирует на<br />
уровне ядра<br />
операционной<br />
системы и надежно<br />
защищает<br />
корпоративные<br />
сервера, проверяя<br />
все входящие<br />
и исходящие<br />
пакеты<br />
Представляет<br />
собой<br />
программное<br />
обеспечение,<br />
которое<br />
устанавливается<br />
и<br />
удаляется<br />
в считанные<br />
минуты<br />
<strong>М</strong>ожет<br />
управляться<br />
либо<br />
сетевым<br />
администратором,<br />
либо<br />
пользователем<br />
локальной<br />
сети<br />
Позволяет производить<br />
наращивание серверных<br />
парков без ущерба принятой<br />
политике безопасности. Несмотря<br />
на то что встроенный<br />
Firewall в определенной<br />
мере загружается с центрального<br />
процессора хоста.<br />
обработка правил безопасности<br />
распространяется на<br />
всех участников серверного<br />
парка, допуская неограниченный<br />
рост сети<br />
Представляет<br />
собой<br />
программное<br />
обеспечение,<br />
которое<br />
стоит, как<br />
правило, от<br />
1/5 до 1/10<br />
цены<br />
традиционных<br />
экранов<br />
контроля доступа к ресурсам сети и активного обнаружения вторжений), защищает<br />
операционную систему Windows NT от попыток нарушения защиты.<br />
Ядро безопасности экрана CyberwalIPlus-SV расположено между сетевой картой<br />
сервера и стеком протоколов — ниже, чем защищаемые приложения.<br />
Для обеспечения безопасности NT-приложений, таких как корпоративные серверы,<br />
рекомендуется защитить доступ к ним через операционную систему. CyberwallPlus-<br />
SV позволяет закрыть все неиспользуемые порты, тем самым ограничивая доступ к<br />
NT-приложениям и сервисам. Те или иные сервисы могут иметь специфические сетевые<br />
адреса для направления (входящий/исходящий) и для времени (дата, время<br />
Windows), которые задают базу правил контроля доступа.<br />
<strong>М</strong>ежсетевой экран CyberwallPlus-SV также обеспечивает активное обнаружение вторжений<br />
для NT-системы, защищая ее от атак и сканирования. Наиболее легким путем негативного<br />
воздействия на Internet-сервер является блокирование NT-сервера, на котором<br />
находится приложение. Обычно это делается посредством DoS-атаки, при которой поток<br />
пакетов, отправленных серверу, перегружает память и нарушает работоспособность системы.<br />
Также примером нарушения защиты являются атаки типа Ping Flood и SYN Flood.<br />
Другой способ нарушения защиты Internet-сервера — сканирование NT-сервера на<br />
наличие открытого порта или «backdoor». Обычно это называется сканированием ТСРили<br />
UDP-портов.<br />
CyberwallPlus-SV предотвращает DoS-атаки и сканирование портов, конфигурируя<br />
систему безопасности: например, ограничивая число обращений к серверу за некото-