Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Межсетевой экран представляет собой программно-аппаратный комплекс защиты, состоящий из компьютера, а также функционирующих на нем операционной системы (ОС) и специального программного обеспечения. Следует отметить, что это специальное программное обеспечение часто также называют брандмауэром.
Рис. 5.7.Схема с раздельной защитой закрытой и открытой подсетей на основе двух брандмауэров с двумя сетевыми интерфейсами
Компьютер брандмауэра должен быть достаточно мощным и физически защищенным, например, находиться в специально отведенном и охраняемом помещении. Кроме того, он должен иметь средства защиты от загрузки ОС с несанкционированного носителя. После установки на компьютер брандмауэра выбранной операционной системы, ее конфигурирования, а также инсталляции специального программного обеспечения можно приступать к настройке параметров функционирования всего межсетевого экрана. Этот процесс включает следующие этапы: выработку правил работы межсетевого экрана в соответствии с разработанной политикой межсетевого взаимодействия и описание правил в интерфейсе брандмауэра; проверку заданных правил на непротиворечивость; проверку соответствия параметров настройки брандмауэра разработанной политике межсетевого взаимодействия.
Формируемая на первом этапе база правил работы межсетевого экрана представляет собой формализованное отражение разработанной политикой межсетевого взаимодействия. Компонентами правил являются защищаемые объекты, пользователи и сервисы. В число защищаемых объектов могут входить обычные компьютеры с одним сетевым интерфейсом, шлюзы (компьютеры с несколькими сетевыми интерфейсами), маршрутизаторы, сети, области управления. Защищаемые объекты могут объединяться в группы. Каждый объект имеет набор атрибутов, таких как сетевой адрес, маска подсети и т. п. Часть этих атрибутов следует задать вручную, остальные извлекаются автоматически из информационных баз, например NIS/NIS+, SNMP MIB, DNS. Следует обратить внимание на необходимость полного описания объектов, так как убедиться в корректности заданных правил экранирования можно только тогда, когда определены все сетевые интерфейсы шлюзов и маршрутизаторов. Подобную информацию можно получить автоматически от SNMP-агентов. При описании правил работы межсетевого экрана пользователи наделяются входными именами и объединяются в группы. Для пользователей указываются допустимые исходные и целевые сетевые адреса, диапазон дат и времени работы, а также схемы и порядок аутентификации. Определение набора используемых сервисов выполняется на основе встроенной в дистрибутив брандмауэра базы данных, имеющей значительный набор TCP/IP сервисов. Нестандартные сервисы могут задаваться вручную с помощью специальных атрибутов. Прежде чем указывать сервис при задании правил, необходимо определить его свойства. Современные брандмауэры содержат предварительно подготовленные определения всех стандартных TCP/IP-сервисов, разбитых на четыре категории — TCP, UDP, RPC, ICMP.
Дата публикования: 2014-11-03; Прочитано: 446 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!