Защита сетей с помощью брандмауэров.

 

Брандмауэром называют специальный программно-аппаратный комплекс, обеспечивающий защиту локальной сети от вторжений из глобальной сети в точке их соединения. Брандмауэры – это важный компонент системы безопасности локальных сетей или локальных ПК, подсоединенным к глобальной сети. Брандмауэры позволяют пропускать через сетевое подсоединение только авторизированный трафик, контролируя тем самым сетевое взаимодействие между ПК ГВС и ЛВС.

Например, брандмауэры позволяют управлять доступом сетевых пользователей к различным сетевым службам. Эта задача, решается конфигурированием брандмауэра, при которoм можно разрешать или блокировать доступ к отдельной службе локальной сети с помощью списков контроля доступа (ACL – Access Control List). Списки ACL предоставляют гибкие возможности управления доступом, посколько с их помощью можно разрешать или запрещать доступ к отдельным службам, или, альтернативно, базировать доступ к отдельным службам и разрешать доступ ко всем остальным службам. Администратор сети сам может выбирать наиболее удобную конфигурацию.

Брандмауэры позволяют маскировать IP-адреса компьютеров локальной сети с помощью операции называемой трансляцией сетевых адресов (NAT – Network Adress Translation). Маскированные IP-адреса становятся невидимыми для внешних пользователей, которые например, для отправки почтового сообщения внутреннему пользователю направляют его на почтовый шлюз, к-й перенаправляет его адресату.

Брандмауэры позволяют управлять сетевым трафиком внутри ЛВС.С их помощью можно разделить локальную сеть на домены безопасности- группы ПК с одним уровнем безопасности.

Брандмауэры состоят из следующего набора аппаратных и программных компонентов:

- бастионный хост, представляющий собой ПК подключенный как к ЛВС так и к ГВС. На нем устанавливаются все прочие компоненты. Пример, ПК с двумя сетевыми платами, подключенными к разным сетям.

- маршрутизатор с фильтрацией пакетов. Такие маршрутизаторы контролируют IP-адреса источника и получателя пакета. Используемые протоколы, службы, порты и прочую информацию , указанную в списка ACL.

- шлюзы приложений (иногда называемые прикладными шлюзами), которые исполняются на бастионном хосте и ограничивают подсоединения у главным приложениям. Для этой цели используются службы посредники, которые устанавливаются на шлюзе, отдельно для каждого приложения, работающем через брандмауэр. Только те сетевым службы, для которых установлены посредники могут работать с трафиком через шлюз приложений., причем службы посредники моно настроить на доступ к определенному, ограниченному набору средств приложения, что значительно увеличивает возможности политики безопасности. Примером такого шлюза является прокси-сервер, управляющий сетевым трафиком и выполняющий аутентификацию пользователей.

-канальные шлюзы, связывающие ПК с портами TCP/IP бастионного хоста. Такие шлюзы не проверяют трафик и используются для передачи сообщений от доверенных внутренних пользователей. При этом для входящих сообщений используются шлюзы приложений.

Наиболее распространенным типом брандмауэра является маршрутизатор с фильтрацией пакетов.

Фильтрация выполняется путем проверки заголовков входящих пакетов на предмет их удовлетворения определенным критериям, устанавливаемым с помощью правил фильтрации пакетов. Фильтруются пакеты, поступающие как изнутри. Как и извне локальной сети, причем фильтр работает ассиметрично, различным образом обрабатывая входящие и исходящие пакеты. Т.о. для фильтрации входящего и исходящего трафика можно использовать различные правила фильтрации. Эти правила применяются в том порядке в которoм они сохранены в списке ACL брандмауэра. При применении правил учитываются следующие принципы:

1. Если при просмотре списка ACL будет найдено правило, разрешающее прохождений пакета, он немедленно направляется по назначению.

2. Если будет найдено правило запрещающее прохождение пакет а, то он отбрасывается.

3. Если при просмотре списка ACL окажется, что для данного пакета отсутствуют правила, разрешающие его прохождение, то он отбрасывается.

Чтобы создать правило фильтрации следует :

-указать действие, выполняемое при совпадении критериев правила с параметрами пакета;

- указать протокол обработки пакета;

-указать номер порта для приемки пакета.

Главное на что надо обратить внимание при создании правил фильтрации пакетов – это порядок их записи в список ACLбрандмауэра. Некорректный порядок записи правил может привести к полному блокированию межсетевого соединения.

Контрольные вопросы

1. Что понимается под сетевым адресом?

2. Что такое ES, IS и AS?

3. Виды безтабличной маршрутизации.

4. Расширенные функциональные возможности маршрутизаторов?

5. Что такое сходимость?

6. Что такое петля маршрутизации?

7. Какие знаете типы алгоритмов маршрутизации?

8. Что такое метрики алгоритмов маршрутизации?

9. Перечислить цели преследуемые при разработке алгоритмов маршрутизации;

10. Какие известны типы алгоритмов маршрутизации?

11. Перечислить метрики, используемые в алгоритмах маршрутизации;

12. Какие виды алгоритмов относятся к динамическим?

13. Как работают алгоритмы динамической маршрутизации LSA и DVA? Где ранее мы встречались с их реализацией?

14. Структура таблицы маршрутизации?

15. Где и в какой теме мы встречались с реализацией механизма маршрутизации от источника?

16. Сколько существует версий протокола RIP и чем они отличаются?

17. Как работает протокол RIP?

18. Как заполняется таблица маршрутизации в протоколе RIP?

19. Для чего используется «тайм-аут»?

20. Каков максимальный диаметр сети RIP ?

21. Каким образом протокол RIP реагирует на изменения окружающей среды?

22. Пять шагов работы протокола RIP.

23. Что происходит с таблицей маршрутизации в случае поддержки нескольких разновидностей протоколов маршрутизации? Какой из них будет имеет наивысший приоритет?

24. Как транслируются адреса?

25. Что такое прокси-сервер?

26. Что такое брандмауэр?

27. Что входит в в компоненты брандмауэра?

28. Что такое службы-посредники?

29. Каковы правила фильтрации пакетов?

30. Как происходит фильтрация пакетов согласно спискам ACL?