Разработка конфигурации межсетевого экрана - Применение межсетевых экранов

Теперь давайте рассмотрим некоторые стандартные сетевые архитектуры и выясним, каким образом следует настраивать сетевой экран в той или иной конкретной ситуации. В этом упражнении подразумевается, что в организации присутствуют указанные ниже системы, и что эти системы принимают входящие соединения из интернета:

- веб-сервер, работающий только через порт 80; - почтовый сервер, работающий только через порт 25. Он принимает всю входящую и отправляет всю исходящую почту. Внутренний почтовый сервер периодически связывается с данной системой для получения входящей почты и отправки исходящих сообщений. Существует внутренняя система DNS, которая запрашивает системы интернета для преобразования имен в адреса, однако в организации отсутствует своя собственная главная внешняя DNS.

Интернет-политика организации позволяет внутренним пользователям использовать следующие службы:

- HTTP - HTTPS - FTP - Telnet - SSH

На базе этой политики можно построить правила политики для различных архитектур.

Архитектура 1: системы за пределами межсетевого экрана, доступные из интернета

На рис. 3показано размещение доступных из интернета систем между сетевым экраном и внешним маршрутизатором. В таблице 1 приведены правила межсетевого экрана.

Рис. 3. Системы за пределами межсетевого экрана, доступные из интернета

На маршрутизаторе может быть установлена фильтрация, позволяющая только внешним данным HTTP поступать на веб-сервер и передавать на почтовый сервер только поступающие извне данные SMTP. Как видно из приведенных правил, независимо от того, какой тип межсетевого экрана используется, веб-сервер и почтовый сервер не защищены межсетевым экраном. В данном случае межсетевой экран лишь защищает внутреннюю сеть организации.

Таблица 1. Правила межсетевого экрана для расположенных за пределами межсетевого экрана систем, доступных из интернета
Номер	Исходный IP	Конечный IP	Служба	Действие
1	Внутренний почтовый сервер	Почтовый сервер	SMTP	Принятие
2	Внутренняя сеть	Почтовый сервер	Любой HTTP, HTTPS, FTP, telnet, SSH	Принятие
3	Внутренняя DNS	Любой	DNS	Принятие
4	Любой	Любой	Любая	Сброс

Архитектура 2: один межсетевой экран

Вторая стандартная архитектура показана на рис. 4. В данной архитектуре используется один межсетевой экран для защиты как внутренней сети, так и любых других систем, доступных из интернета. Эти системы располагаются в отдельной сети (об использовании таких отдельных сетей более подробно рассказываться в лекции 16). В таблице 2 приведены правила межсетевого экрана.

Рис. 4. Один межсетевой экран

Таблица 2. Правила межсетевого экрана для архитектуры с одним межсетевым экраном
Номер	Исходный IP	Конечный IP	Служба	Действие
1	Любой	Веб-сервер	HTTP	Принятие
2	Любой	Почтовый сервер	SMTP	Принятие
3	Почтовый сервер	Любой	SMTP	Принятие
4	Внутренняя сеть	Любой	HTTP, HTTPS, FTP, telnet, SSH	Принятие
5	Внутренняя DNS	Любой	DNS	Принятие
6	Любой	Любая	Любая	Сброс

Как видно из таблицы 10.2, правила практически аналогичны правилам архитектуры 1. Межсетевой экран дополняет правила, которые использовались в маршрутизаторе в предыдущей архитектуре. Также мы видим, что не существует явного правила, позволяющего внутреннему почтовому серверу подключаться к почтовому серверу в отдельной сети. Причиной этому является правило 2, позволяющее любой системе (внутренней или внешней) подключаться к упомянутой системе.

Архитектура 3: двойные межсетевые экраны

Третья архитектура, о которой пойдет речь, использует двойные межсетевые экраны (см. рис. 10.5). Доступные из интернета системы располагаются между межсетевыми экранами, а внутренняя сеть расположена за вторым межсетевым экраном. В таблице 10.3 приведены правила для межсетевого экрана 1.

Вопрос к эксперту

Вопрос. Используются ли межсетевые экраны только на соединениях с интернетом?

Ответ. Не следует ограничивать область действия межсетевых экранов одними лишь интернет-соединениями. Межсетевой экран представляет собой устройство, которое может использоваться в любой ситуации, требующей контроля доступа. В частности, данные устройства можно использовать во внутренних сетях, которые необходимо защищать от других внутренних систем. Секретные внутренние сети могут содержать компьютеры с особо важной информацией или функциями либо сети, в которых проводятся эксперименты над сетевым оборудованием.

Хорошим примером секретных сетей являются банковские сети. Каждый вечер банки связываются с системой федерального резерва для передачи денежных средств. Ошибки в этих сетях могут стоить банкам больших денег. Системы, управляющие такими соединениями, являются крайне секретными и жизненно важными для банковских структур. Для ограничения доступа к этим системам из других подразделений банка можно установить межсетевой экран.

Рис. 5. Архитектура 3: двойные межсетевые экраны

Как видно из таблицы 3, правила в данном случае аналогичны правилам межсетевого экрана в архитектуре 2. Но еще имеется и второй межсетевой экран. Правила для межсетевого экрана 2 приведены в табл. 4.

Таблица 3. Правила межсетевого экрана 1 в архитектуре с двумя межсетевыми экранами
Номер	Исходный IP	Конечный IP	Служба	Действие
1	Любой	Веб-сервер	HTTP	Принятие
2	Любой	Почтовый сервер	SMTP	Принятие
3	Почтовый сервер	Любой	SMTP	Принятие
4	Внутренняя сеть	Любой	HTTP, HTTPS, FTP, telnet, SSH	Принятие
5	Внутренняя DNS	Любой	DNS	Принятие
6	Любой	Любой	Любая	Сброс

Примечание. Эти примеры очень просты, однако они отражают функционирование межсетевых экранов, при котором разрешается только строго определенный доступ.

Таблица 4. Правила межсетевого экрана 2 в архитектуре с двойным межсетевым экраном
Номер	Исходный IP	Конечный IP	Служба	Действие
1	Внутренний почтовый сервер	Почтовый сервер	SMTP	Принятие
2	Внутренняя сеть	Любой	HTTP, HTTPS, FTP, telnet, SSH	Принятие
3	Внутренняя DNS	Любой	DNS	Принятие
4	Любой	Любой	Любая	Сброс

Похожие статьи

• Политика сетевой безопасности - Применение межсетевых экранов

  Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для...

• Основные типы межсетевых экранов - Применение межсетевых экранов

  Существуют два основных типа межсетевых экранов: межсетевые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией. В их основе лежат...

• Недостатки межсетевых экранов - Применение межсетевых экранов

  Межсетевые экраны используются при организации защищенных виртуальных частных сетей. Несколько локальных сетей, подключенных к глобальной, объединяются в...

• Страницы сайта, Теоретическая информация, Виды атак - Применение межсетевых экранов

  Теоретическая информация Виды атак Парольные атаки Парольные атаки - попытка подбора пароля легального пользователя для входа в сеть. Много методов...

• Классификация - Применение межсетевых экранов

  Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик: - обеспечивает ли экран соединение между одним узлом и сетью...

• Предпосылки создания межсетевых экранов - Применение межсетевых экранов

  Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все большее внимание к сети Интернет со...

• Применение интернета вещей в разных областях - Разработка модуля программируемых сценариев взаимодействия устройств в рамках интеграционной платформы интернета вещей

  Домашнее использование чаще всего представляет из себя набор сенсоров, собирающих информацию об индивидах, которые напрямую владеют этой сетью. Это могут...

• Наиболее распространенные межсетевые экраны - Применение межсетевых экранов

  Бесплатные Outpost Security Suite Free * Ashampoo FireWall Free * Comodo * Core Force * Online Armor * PC Tools * PeerGuardian * Sygate Проприетарные...

• Применение технологий Big Data, Обоснование выбора средств разработки проекта - Технологии больших данных: анализ и выбор решения для реализации проекта

  Обоснование выбора средств разработки проекта Для реализации корпоративной информационной системы "Бюджетное планирование и отчетность" в исследуемой...

• 6 Применение технологий HDSL для цифровизации АЛ КС, Линейный тракт - Разработка корпоративной сети на основе технологий xDSL

  Используемые на магистральных линиях (прежде всего в пригородной зоне) системы высокочастотного уплотнения типа KAMA и К-60 требуют больших затрат на...

• Состав аппаратных и программных средств и структура сети - Разработка модели системы информационной безопасности на предприятии

  Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...

• Разработка программного обеспечения, Выбор средств реализации информационной системы - Автоматизация процесса работы руководства ООО "Сервис партнер"

  Выбор средств реализации информационной системы Названные в параграфе 1.4. настоящей работы задачи могут быть решены тремя типами средств автоматизации:...

• Введение - Разработка программно-аппаратного комплекса для удаленного контроля почтовой корреспонденции

  В данной выпускной квалификационной работе разработан прототип умного почтового ящика, удаленного сетевого устройства для контроля почтовой...

• Разработка алгоритма программы, Кодирование и тестирование программы, Интеграция программы в Actel Libero IDE - Методика обеспечения сбоеустойчивости программируемой логической интегральной схемы для ракетно-космического применения

  Работа программы представлена на рисунке 2.3 Рис. 2.3 Кодирование и тестирование программы Программа кодировалась на языке Си++, используя библотеку Qt5x...

• Корпусная лингвистика. Разработка корпуса политических статей, Корпусная лингвистика и ее применение в области преподавания иностранного языка - Компьютерная лингвистика в образовательной среде

  Корпусная лингвистика и ее применение в области преподавания иностранного языка "Корпусная лингвистика - раздел компьютерной лингвистики, занимающийся...

• Применение, Назначение программы, Условия применения, Справочная система - Разработка программного приложения "Калькулятор коммунальных услуг"

  Назначение программы Программное средство на тему "Калькулятор коммунальных услуг" предназначено для повышения эффективности расчета коммунальных...

• ТЕОРЕТИЧЕСКИЕ И ПРАВОВЫЕ ОСНОВЫ РАЗРАБОТКИ СИСТЕМ БЕЗОПАСНОСТИ, Анализ современных систем безопасности. Правовые аспекты применения видеонаблюдения - Программное обеспечение и система безопасности ООО "Дружба"

  Анализ современных систем безопасности. Правовые аспекты применения видеонаблюдения Установка системы видеонаблюдения и ее использование являются весьма...

• Разработка программного обеспечения, Постановка задачи на разработку программного обеспечения, Разработка состава программы - Методика обеспечения сбоеустойчивости программируемой логической интегральной схемы для ракетно-космического применения

  Постановка задачи на разработку программного обеспечения Для того чтобы предлагаемая схема была интегрирована в САПР, который не имеет функции интеграции...

• 1 Характеристика технологий xDSL - Разработка корпоративной сети на основе технологий xDSL

  HDSL (High-bit-rate DSL) , или технология высокоскоростной цифровой абонентской линии, - это первенец семейства xDSL, разработанный в конце 80-х гг....

• Архитектурные решения интернета вещей - Разработка модуля программируемых сценариев взаимодействия устройств в рамках интеграционной платформы интернета вещей

  Для определения наиболее актуальных функциональных требований необходимо полностью рассмотреть предлагаемые в научном сообществе решения по...

• Отчет по выполненному заданию - Разработка учебной подсистемы учета кадров

  В информационной среде одним из наиболее трудоемких, важных и ответственных этапов функционирования является формирование входных массивов на основании...

• Выбор средств разработки - Разработка автоматизированной информационной системы для устранения различий в структурах баз данных разработчиков, при работе над общим проектом с использованием системы контроля версий

  Для написания АИС использовались следующие языки программирования, программные средства и библиотеки: - Язык программирования PHP 5.4; -...

• Разработка архитектуры репозитория - Разработка прототипа веб-приложения "Репозиторий электронных ресурсов"

  Архитектура системы (в данном случае) - это описание (модель) основной компоновки и взаимодействия частей системы. В разделе показана структура...

• Введение - Разработка модуля программируемых сценариев взаимодействия устройств в рамках интеграционной платформы интернета вещей

  Предметная область IoT (Интернет вещей) - это сеть физических объектов - устройств, транспортных средств, зданий и других вещей со встроенной...

• Разработка комплексного подхода к мониторингу ИТ-проектов, Классификация методов мониторинга - Мониторинг показателей эффективности проектов и особенности их применения в ИТ-консалтинге

  Для построения эффективной системы мониторинга необходимо определить объекты наблюдения, отслеживаемые показатели и сроки их представления, программные...

• Применение технологии HDSL для уплотнения АЛ офисов - Разработка корпоративной сети на основе технологий xDSL

  Малоканальные системы уплотнения абонентских линий (АЛ) основаны на технологии DSL со скоростью потока 160 кбит/с. В масштабах крупных офисов (чаще всего...

• Выбор микроконтроллера, Обоснование применения микроконтроллера - Разработка интерфейса рекламной бегущей строки

  Обоснование применения микроконтроллера Микроконтроллер PIC16F628A. Данное устройство воспроизводит текст на светодиодной матрице 8x80 светодиодов, имеет...

• Общие сведения, Наименование и область применения, Область применения:, Плановые сроки начала и окончания работ по созданию системы:, Порядок оформления и предъявления результатов работ по созданию системы осуществляется в соответствии с календарным планом., Цели и назначение разработки - Автоматизированная информационная система отеля

  Наименование и область применения Наименование: Автоматизированная информационная система "Отель" в дальнейшем именуемая АИС "Отель". Область применения:...

• "ТЕХНОЛОГИЯ РАЗРАБОТКИ ПРЕЗЕНТАЦИЙ", "ПРЕДСТАВЛЕНИЕ ИНФОРМАЦИИ НА ЭКРАНЕ" - Презентация "Принтеры"

  Данный режим предназначен для создания страниц заметок, которые могут использоваться докладчиком во время презентации или служить в качестве раздаточного...

• Разработка схемы ПЛИС, обеспечивающую ее работоспособность при воздействии ТЗЧ, Описание существующей проблемы сбоев работы ПЛИС - Методика обеспечения сбоеустойчивости программируемой логической интегральной схемы для ракетно-космического применения

  Описание существующей проблемы сбоев работы ПЛИС Проблема отсутствия специализированных микросхем под определенное воздействие КП с оптимальной...

• Протоколы соединения, Взаимодействие устройств - Разработка модуля программируемых сценариев взаимодействия устройств в рамках интеграционной платформы интернета вещей

  На текущий момент AMQP 1.0 официально поддерживается всеми сервисами Azure, которые являются частью шлюза соединения. Microsoft сориентировался на этом...

• Исследование возможностей для интеграции модуля программируемых сценариев - Разработка модуля программируемых сценариев взаимодействия устройств в рамках интеграционной платформы интернета вещей

  Разработка интеграционных платформ началась одновременно с исследованием и развитием Интернета Вещей. Это происходило по той причине, что сама концепция...

• Модели взаимодействия интернета вещей - Разработка модуля программируемых сценариев взаимодействия устройств в рамках интеграционной платформы интернета вещей

  С эксплуатационной точки зрения удобно рассматривать то, как устройства в IoT соединяются и "общаются" друг с другом, говоря о технических моделях...

• Разработка физической модели АИС, Разработка интерфейса программы АИС - Проектирование автоматизированной информационной системы

  Физическая модель базы данных определяет способ размещения данных в среде хранения и способ доступа к этим данным, которые поддерживаются на физическом...

• Разработка интерфейса, Разработка запросов - Высокоуровневые методы информатики и программирования

  Программа, будет начинать работу с вывода главной формы, на которой будет располагаться самое главное меню, т. е. другими словами "панель навигации"....

• Оптимизатор - Разработка программного средства, позволяющего оптимизировать SQL-скрипты

  Задача оптимизатора в рамках данной дипломной работы - исправлять части SQL-кода, которые могут приводить к дополнительным тратам памяти и ресурсов. На...

• Парсер - Разработка программного средства, позволяющего оптимизировать SQL-скрипты

  В приложении можно выделить 2 основных функциональных блока: парсер и оптимизатор. Данная глава посвящена первому из них. Задача парсера - разобрать...

• Встроенный оптимизатор в Teradata - Разработка программного средства, позволяющего оптимизировать SQL-скрипты

  СУБД Teradata имеет встроенный оптимизатор, который отвечает за выбор: интерфейс teradata парсер ? Способа доступа к данным - будет ли обращение к...

• Разработка пользовательского интерфейса, Интерфейс, Реализация - Разработка интерфейса базы данных (на примере потребностей охранного предприятия ООО "Пересвет")

  Интерфейс Пользовательский интерфейс программного обеспечения является неотъемлемой его частью. Именно через интерфейс конечный пользователь будет...

• Области применения экспертных систем - Экспертные системы

  Области применения систем, основанных на знаниях, могут быть сгруппированы в несколько основных классов: медицинская диагностика, контроль и управление,...

Разработка конфигурации межсетевого экрана - Применение межсетевых экранов

Предыдущая | Следующая