Разработка конфигурации межсетевого экрана - Применение межсетевых экранов
Теперь давайте рассмотрим некоторые стандартные сетевые архитектуры и выясним, каким образом следует настраивать сетевой экран в той или иной конкретной ситуации. В этом упражнении подразумевается, что в организации присутствуют указанные ниже системы, и что эти системы принимают входящие соединения из интернета:
- - веб-сервер, работающий только через порт 80; - почтовый сервер, работающий только через порт 25. Он принимает всю входящую и отправляет всю исходящую почту. Внутренний почтовый сервер периодически связывается с данной системой для получения входящей почты и отправки исходящих сообщений. Существует внутренняя система DNS, которая запрашивает системы интернета для преобразования имен в адреса, однако в организации отсутствует своя собственная главная внешняя DNS.
Интернет-политика организации позволяет внутренним пользователям использовать следующие службы:
- - HTTP - HTTPS - FTP - Telnet - SSH
На базе этой политики можно построить правила политики для различных архитектур.
Архитектура 1: системы за пределами межсетевого экрана, доступные из интернета
На рис. 3показано размещение доступных из интернета систем между сетевым экраном и внешним маршрутизатором. В таблице 1 приведены правила межсетевого экрана.
Рис. 3. Системы за пределами межсетевого экрана, доступные из интернета
На маршрутизаторе может быть установлена фильтрация, позволяющая только внешним данным HTTP поступать на веб-сервер и передавать на почтовый сервер только поступающие извне данные SMTP. Как видно из приведенных правил, независимо от того, какой тип межсетевого экрана используется, веб-сервер и почтовый сервер не защищены межсетевым экраном. В данном случае межсетевой экран лишь защищает внутреннюю сеть организации.
Таблица 1. Правила межсетевого экрана для расположенных за пределами межсетевого экрана систем, доступных из интернета | ||||
Номер |
Исходный IP |
Конечный IP |
Служба |
Действие |
1 |
Внутренний почтовый сервер |
Почтовый сервер |
SMTP |
Принятие |
2 |
Внутренняя сеть |
Почтовый сервер |
Любой HTTP, HTTPS, FTP, telnet, SSH |
Принятие |
3 |
Внутренняя DNS |
Любой |
DNS |
Принятие |
4 |
Любой |
Любой |
Любая |
Сброс |
Архитектура 2: один межсетевой экран
Вторая стандартная архитектура показана на рис. 4. В данной архитектуре используется один межсетевой экран для защиты как внутренней сети, так и любых других систем, доступных из интернета. Эти системы располагаются в отдельной сети (об использовании таких отдельных сетей более подробно рассказываться в лекции 16). В таблице 2 приведены правила межсетевого экрана.
Рис. 4. Один межсетевой экран
Таблица 2. Правила межсетевого экрана для архитектуры с одним межсетевым экраном | ||||
Номер |
Исходный IP |
Конечный IP |
Служба |
Действие |
1 |
Любой |
Веб-сервер |
HTTP |
Принятие |
2 |
Любой |
Почтовый сервер |
SMTP |
Принятие |
3 |
Почтовый сервер |
Любой |
SMTP |
Принятие |
4 |
Внутренняя сеть |
Любой |
HTTP, HTTPS, FTP, telnet, SSH |
Принятие |
5 |
Внутренняя DNS |
Любой |
DNS |
Принятие |
6 |
Любой |
Любая |
Любая |
Сброс |
Как видно из таблицы 10.2, правила практически аналогичны правилам архитектуры 1. Межсетевой экран дополняет правила, которые использовались в маршрутизаторе в предыдущей архитектуре. Также мы видим, что не существует явного правила, позволяющего внутреннему почтовому серверу подключаться к почтовому серверу в отдельной сети. Причиной этому является правило 2, позволяющее любой системе (внутренней или внешней) подключаться к упомянутой системе.
Архитектура 3: двойные межсетевые экраны
Третья архитектура, о которой пойдет речь, использует двойные межсетевые экраны (см. рис. 10.5). Доступные из интернета системы располагаются между межсетевыми экранами, а внутренняя сеть расположена за вторым межсетевым экраном. В таблице 10.3 приведены правила для межсетевого экрана 1.
Вопрос к эксперту
Вопрос. Используются ли межсетевые экраны только на соединениях с интернетом?
Ответ. Не следует ограничивать область действия межсетевых экранов одними лишь интернет-соединениями. Межсетевой экран представляет собой устройство, которое может использоваться в любой ситуации, требующей контроля доступа. В частности, данные устройства можно использовать во внутренних сетях, которые необходимо защищать от других внутренних систем. Секретные внутренние сети могут содержать компьютеры с особо важной информацией или функциями либо сети, в которых проводятся эксперименты над сетевым оборудованием.
Хорошим примером секретных сетей являются банковские сети. Каждый вечер банки связываются с системой федерального резерва для передачи денежных средств. Ошибки в этих сетях могут стоить банкам больших денег. Системы, управляющие такими соединениями, являются крайне секретными и жизненно важными для банковских структур. Для ограничения доступа к этим системам из других подразделений банка можно установить межсетевой экран.
Рис. 5. Архитектура 3: двойные межсетевые экраны
Как видно из таблицы 3, правила в данном случае аналогичны правилам межсетевого экрана в архитектуре 2. Но еще имеется и второй межсетевой экран. Правила для межсетевого экрана 2 приведены в табл. 4.
Таблица 3. Правила межсетевого экрана 1 в архитектуре с двумя межсетевыми экранами | ||||
Номер |
Исходный IP |
Конечный IP |
Служба |
Действие |
1 |
Любой |
Веб-сервер |
HTTP |
Принятие |
2 |
Любой |
Почтовый сервер |
SMTP |
Принятие |
3 |
Почтовый сервер |
Любой |
SMTP |
Принятие |
4 |
Внутренняя сеть |
Любой |
HTTP, HTTPS, FTP, telnet, SSH |
Принятие |
5 |
Внутренняя DNS |
Любой |
DNS |
Принятие |
6 |
Любой |
Любой |
Любая |
Сброс |
Примечание. Эти примеры очень просты, однако они отражают функционирование межсетевых экранов, при котором разрешается только строго определенный доступ.
Таблица 4. Правила межсетевого экрана 2 в архитектуре с двойным межсетевым экраном | ||||
Номер |
Исходный IP |
Конечный IP |
Служба |
Действие |
1 |
Внутренний почтовый сервер |
Почтовый сервер |
SMTP |
Принятие |
2 |
Внутренняя сеть |
Любой |
HTTP, HTTPS, FTP, telnet, SSH |
Принятие |
3 |
Внутренняя DNS |
Любой |
DNS |
Принятие |
4 |
Любой |
Любой |
Любая |
Сброс |
Похожие статьи
-
Политика сетевой безопасности - Применение межсетевых экранов
Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для...
-
Основные типы межсетевых экранов - Применение межсетевых экранов
Существуют два основных типа межсетевых экранов: межсетевые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией. В их основе лежат...
-
Недостатки межсетевых экранов - Применение межсетевых экранов
Межсетевые экраны используются при организации защищенных виртуальных частных сетей. Несколько локальных сетей, подключенных к глобальной, объединяются в...
-
Страницы сайта, Теоретическая информация, Виды атак - Применение межсетевых экранов
Теоретическая информация Виды атак Парольные атаки Парольные атаки - попытка подбора пароля легального пользователя для входа в сеть. Много методов...
-
Классификация - Применение межсетевых экранов
Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик: - обеспечивает ли экран соединение между одним узлом и сетью...
-
Предпосылки создания межсетевых экранов - Применение межсетевых экранов
Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все большее внимание к сети Интернет со...
-
Домашнее использование чаще всего представляет из себя набор сенсоров, собирающих информацию об индивидах, которые напрямую владеют этой сетью. Это могут...
-
Наиболее распространенные межсетевые экраны - Применение межсетевых экранов
Бесплатные Outpost Security Suite Free * Ashampoo FireWall Free * Comodo * Core Force * Online Armor * PC Tools * PeerGuardian * Sygate Проприетарные...
-
Обоснование выбора средств разработки проекта Для реализации корпоративной информационной системы "Бюджетное планирование и отчетность" в исследуемой...
-
Используемые на магистральных линиях (прежде всего в пригородной зоне) системы высокочастотного уплотнения типа KAMA и К-60 требуют больших затрат на...
-
Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...
-
Выбор средств реализации информационной системы Названные в параграфе 1.4. настоящей работы задачи могут быть решены тремя типами средств автоматизации:...
-
В данной выпускной квалификационной работе разработан прототип умного почтового ящика, удаленного сетевого устройства для контроля почтовой...
-
Работа программы представлена на рисунке 2.3 Рис. 2.3 Кодирование и тестирование программы Программа кодировалась на языке Си++, используя библотеку Qt5x...
-
Корпусная лингвистика и ее применение в области преподавания иностранного языка "Корпусная лингвистика - раздел компьютерной лингвистики, занимающийся...
-
Назначение программы Программное средство на тему "Калькулятор коммунальных услуг" предназначено для повышения эффективности расчета коммунальных...
-
Анализ современных систем безопасности. Правовые аспекты применения видеонаблюдения Установка системы видеонаблюдения и ее использование являются весьма...
-
Постановка задачи на разработку программного обеспечения Для того чтобы предлагаемая схема была интегрирована в САПР, который не имеет функции интеграции...
-
1 Характеристика технологий xDSL - Разработка корпоративной сети на основе технологий xDSL
HDSL (High-bit-rate DSL) , или технология высокоскоростной цифровой абонентской линии, - это первенец семейства xDSL, разработанный в конце 80-х гг....
-
Для определения наиболее актуальных функциональных требований необходимо полностью рассмотреть предлагаемые в научном сообществе решения по...
-
Отчет по выполненному заданию - Разработка учебной подсистемы учета кадров
В информационной среде одним из наиболее трудоемких, важных и ответственных этапов функционирования является формирование входных массивов на основании...
-
Для написания АИС использовались следующие языки программирования, программные средства и библиотеки: - Язык программирования PHP 5.4; -...
-
Архитектура системы (в данном случае) - это описание (модель) основной компоновки и взаимодействия частей системы. В разделе показана структура...
-
Предметная область IoT (Интернет вещей) - это сеть физических объектов - устройств, транспортных средств, зданий и других вещей со встроенной...
-
Для построения эффективной системы мониторинга необходимо определить объекты наблюдения, отслеживаемые показатели и сроки их представления, программные...
-
Малоканальные системы уплотнения абонентских линий (АЛ) основаны на технологии DSL со скоростью потока 160 кбит/с. В масштабах крупных офисов (чаще всего...
-
Обоснование применения микроконтроллера Микроконтроллер PIC16F628A. Данное устройство воспроизводит текст на светодиодной матрице 8x80 светодиодов, имеет...
-
Наименование и область применения Наименование: Автоматизированная информационная система "Отель" в дальнейшем именуемая АИС "Отель". Область применения:...
-
"ТЕХНОЛОГИЯ РАЗРАБОТКИ ПРЕЗЕНТАЦИЙ", "ПРЕДСТАВЛЕНИЕ ИНФОРМАЦИИ НА ЭКРАНЕ" - Презентация "Принтеры"
Данный режим предназначен для создания страниц заметок, которые могут использоваться докладчиком во время презентации или служить в качестве раздаточного...
-
Описание существующей проблемы сбоев работы ПЛИС Проблема отсутствия специализированных микросхем под определенное воздействие КП с оптимальной...
-
На текущий момент AMQP 1.0 официально поддерживается всеми сервисами Azure, которые являются частью шлюза соединения. Microsoft сориентировался на этом...
-
Разработка интеграционных платформ началась одновременно с исследованием и развитием Интернета Вещей. Это происходило по той причине, что сама концепция...
-
С эксплуатационной точки зрения удобно рассматривать то, как устройства в IoT соединяются и "общаются" друг с другом, говоря о технических моделях...
-
Физическая модель базы данных определяет способ размещения данных в среде хранения и способ доступа к этим данным, которые поддерживаются на физическом...
-
Разработка интерфейса, Разработка запросов - Высокоуровневые методы информатики и программирования
Программа, будет начинать работу с вывода главной формы, на которой будет располагаться самое главное меню, т. е. другими словами "панель навигации"....
-
Оптимизатор - Разработка программного средства, позволяющего оптимизировать SQL-скрипты
Задача оптимизатора в рамках данной дипломной работы - исправлять части SQL-кода, которые могут приводить к дополнительным тратам памяти и ресурсов. На...
-
Парсер - Разработка программного средства, позволяющего оптимизировать SQL-скрипты
В приложении можно выделить 2 основных функциональных блока: парсер и оптимизатор. Данная глава посвящена первому из них. Задача парсера - разобрать...
-
СУБД Teradata имеет встроенный оптимизатор, который отвечает за выбор: интерфейс teradata парсер ? Способа доступа к данным - будет ли обращение к...
-
Интерфейс Пользовательский интерфейс программного обеспечения является неотъемлемой его частью. Именно через интерфейс конечный пользователь будет...
-
Области применения экспертных систем - Экспертные системы
Области применения систем, основанных на знаниях, могут быть сгруппированы в несколько основных классов: медицинская диагностика, контроль и управление,...
Разработка конфигурации межсетевого экрана - Применение межсетевых экранов