О Компании
Новости
IT-Решения и услуги

Установка и настройка офисных АТС Avaya

Построение сетей, создание телекоммуникационных систем

Организация call центра – контакт-центра

ЦОД - Центры обработки данных - совокупность серверных платформ и систем хранения данных

Построение распределённых систем (вычислительных кластеров)

Аудиовизуальные комплексы

Системы управления бизнес-процессами

Настройка VPN соединения

Аппаратные межсетевые экраны

IP связь

Оборудование Cisco

Настройка маршрутизатора CISCO

Программные решения для сетевой безопасности

Разработка и внедрение корпоративных сетей
Оборудование и ПО
Узнать цены
Статьи
Контактная информация
пример: офисная атс
   








Главная > IT-Решения и услуги > Аппаратные межсетевые экраны

Аппаратные межсетевые экраны

Глобализация и коммуникативные возможности, которые предоставляет пользователям Интернет, привлекают в мировые информационные сети не только частных, но и корпоративных пользователей. Очень часто они становятся мишенью для злоумышленников, которые используют в корыстных целях конфиденциальную информацию. Каждый год организации, решившие передавать важные данные через глобальные сети, теряют огромные денежные средства из-за большого числа атак, к сожалению, успешных. Целью разработки сети Интернет было создание системы, предназначенной для свободного обмена данными. И этим сразу же начали пользоваться любители легкой наживы. Через Интернет можно:

  • сломать пароли и проникнуть во внутреннюю сеть организации, где не трудно найти секретную информацию;
  • скопировать конфиденциальные данные;
  • узнать адреса и пароли серверов и другое.

Для решения этой проблемы были предложены аппаратные межсетевые экраны. Более широкое распространение получили названия брандмауэр и файрвол. Это набор аппаратных, а также программных средств, которые позволяют разделить каждую сеть на несколько частей, производить мониторинг и защиту проходящих сетевых пакетов через границу из одной части сети в другую. Обычно такая граница создается между внутренней сетью предприятия и глобальной сетью Интернет. Но в отдельных случаях ее можно создать и между отделами одной корпоративной сети.

Межсетевые экраны должны охватывать определенные области в работе корпоративной сети. В общем смысле их можно обозначить следующим образом:

  • фильтрация на сетевом уровне;
  • фильтрация на прикладном уровне;
  • наладка правил фильтрации, администрирование;
  • инструменты сетевой аутентификации;
  • настройка журналов и ведение учета.

Классификация межсетевых экранов

Принято выделять следующие классы защитных межсетевых экранов:

  • фильтрующие маршрутизаторы;
  • шлюзы сеансового уровня;
  • шлюзы уровня приложений.

Фильтрующие маршрутизаторы

Осуществляют фильтрацию входящих и исходящих пакетов с использованием данных, которые содержатся в ТСР и IP-заголовках. Для отбора IP-пакетов применяются группы полей заголовка пакета:

  • IP-адрес отправителя;
  • IP-адрес получателя;
  • порт отправителя;
  • порт получателя.

Отдельные маршрутизаторы контролируют сетевой интерфейс маршрутизатора, с которого поступил пакет. Эти данные используются для более детальной фильтрации. Последняя может выполняться разными способами, прерывая соединения с определенными портами или ПК.

Правила фильтрации у маршрутизаторов составляются сложно. Нет возможности проверки корректности, за исключением медленного и трудоемкого тестирования вручную. Также к недостаткам фильтрующих маршрутизаторов можно отнести случаи, если:

  • из Интернета видна внутренняя сеть;
  • сложные правила маршрутизации требуют отличного знания ТСР и UDP;
  • при взломе сетевого экрана становятся беззащитными или недоступными все компьютеры в сети.

Но фильтрующие маршрутизаторы имеют и ряд преимуществ:

  • невысокая стоимость;
  • гибкое определение правил фильтрации;
  • невысокая степень задержки при работе с пакетами.

Шлюзы сеансового уровня

Это трансляторы ТСР-соединения. Шлюз обрабатывает запрос авторизованного клиента в отношении конкретных услуг. Проверяет правильность сеанса и выполняет соединение с внешним хостом. Затем шлюз копирует пакеты в обоих направлениях без фильтрации. Пункт назначения стандартно устанавливается заранее. Источников может быть несколько. Благодаря разнообразию портов можно настраивать различные конфигурации соединений. Используя шлюз, можно создавать транслятор ТСР для любого сервиса, который работает с ТСР-соединением.

Шлюз определяет допустимость запроса на сеанс связи по определенным правилам. Сначала авторизованный клиент делает запрос к доступу на определенный сервис. Шлюз принимает его и проверяет соответствие клиента основным параметрам фильтрации. Если все в порядке, шлюз устанавливает соединение с внешним хостом. Далее выполняется контроль за процедурой квитирования связи по ТСР. Если шлюз определил, что клиент и внешний хост авторизованы, идет соединение. В ходе передачи информации шлюз поддерживает таблицу установленных соединений и пропускает информацию, которая относится к одному из сеансов связи, прописанных в таблице. После окончания сеанса связь прерывается. Из таблицы стираются соответствующие данные.

Шлюзы уровня приложений

Для более надежной защиты экраны применяют прикладные фильтрующие программы при соединении с Telnet и FTP. Данное приложение носит название proxy-службы или, другими словами, — шлюза уровня приложений. При использовании шлюза данного типа взаимодействие между авторизованным клиентом и внешним хостом невозможно. Фильтрация осуществляется на прикладном уровне.

Когда шлюз обнаруживает сетевой сеанс, он останавливает его и подключает специальное приложение для завершения услуги. Шлюзы прикладного уровня обеспечивают надежную защиту, так как с внешней сетью взаимодействие происходит через маленькое количество уполномоченных приложений. Они выполняют строгий контроль входящего и исходящего трафика. Для каждого сетевого сервиса требуются отдельные приложения.

Плюсы использования шлюза уровня приложений:

  • невидимость защищаемой сети из Интернета;
  • эффективная и надежная аутентификация и регистрация;
  • оптимальное соотношение стоимости и уровня защиты;
  • простые правила фильтрации;
  • возможность установки дополнительных проверок.

Аппаратные межсетевые экраны

Аппаратные брандмауэры используют для фильтрации пакетов собственные операционные системы, специально предложенные разработчиками.

Чтобы аппаратный сетевой экран работал корректно, важно правильно выполнить его установку и подключение, а также конфигурирование. Самый простой файервол представляет собой устройство, включающее набор приложений для централизации управления доступом и защиты информации. Основные функции, которые выполняет аппаратный брандмауэр, такие же как и у программных: анализ пакетов, фильтрация и перенаправление трафика, аутентификация подключения, блокирование содержимого протоколов, шифрование данных.

Зачастую для увеличения защищенности приходится устанавливать несколько аппаратных сетевых экранов. Возможно объединение экранов разных типов в одну систему. Применение брандмауэров с разной структурой на основе различающихся архитектур позволяет создавать защиту более высокого уровня.

Создание брандмауэров в в корпоративных сетях

Если требуется установить надежную корпоративную или локальную сеть, необходимо решить следующие задачи:

  • защита сети от несанкционированного удаленного доступа с использованием глобальной сети Интернет;
  • защита данных о конфигурации сети от посетителей глобальной сети;
  • разделение доступа в корпоративную или локальную сеть из глобальной и наоборот.

Для обеспечения безопасности защищаемой сети используются различные схемы создания межсетевых экранов:

Брандмауэр в виде фильтрующего маршрутизатора — самый простой и распространенный вариант. Маршрутизатор располагается между сетью и Интернетом. Для защиты используются данные анализа адресов и портов входящих и исходящих пакетов.

Брандмауэр с использованием двухпортового шлюза — это хост с двумя сетевыми интерфейсами. Основная фильтрация при обмене данными осуществляется между этими портами. Для увеличения безопасности может быть установлен фильтрующий маршрутизатор. В таком случае между шлюзом и маршрутизатором образуется внутренняя экранированная сеть, которую можно применять для установки информационного сервера.

Брандмауэр с экранированным шлюзом — высокая гибкость управления, но недостаточная степень защищенности. Отличается наличием только одного сетевого интерфейса. Пакетная фильтрация выполняется несколькими способами: когда внутренний хост открывает доступ в глобальную сеть только для избранных сервисов, когда блокируются все соединения от внутренних хостов.

Брандмауэр с экранированной подсетью — для его создания используются два экранирующих маршрутизатора. Внешний установлен между экранируемой подсетью и Интернетом, внутренний — между экранируемой подсетью и внутренней защищаемой сетью. Хороший вариант для обеспечения безопасности со значительным трафиком и высокой скоростью работы.

Звоните: (495) 995-98-19/ 995-98-20

 

А также предлагаем услуги создания контакт-центра.

142784, г.Москва, поселение Московский, 22-ой км. Киевского шоссе, домовладение 4, Бизнес-парк "Румянцево", строение 2,
корпус Г,офисный подъезд 11, 8 этаж, офис 814 (схема проезда)

Copyright “Profi-SP” 2007-2017.