Студопедия  
Главная страница | Контакты | Случайная страница

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Классификация межсетевых экранов

Читайте также:
  1. A1. Сущность и классификация организаций. Жизненный цикл организации и специфика управления на различных его этапах.
  2. I. Классификация по контингенту учащихся.
  3. I.КЛАССИФИКАЦИЯ ГРУЗОВ
  4. II) Классификация рисков в АУ
  5. II. Классификация инвестиций
  6. II. Классификация методов исследования ППО
  7. II. Классификация ритмов
  8. Oslash; классификация страховых посредников посредников по характеру основного вида деятельности и взаимоотношений страховщик страхователь
  9. Авиационное происшествие? Классификация? Поломка, авария, катастрофа?
  10. Алюминий. Классификация сплавов на основе алюминия, маркировка

Межсетевые экраны целесообразно классифицировать по уровню фильтрации–канальному, сетевому, транспортному или прикладному. Соответственно, можно говорить об экранирующих концентраторах(мостах, коммутаторах), маршрутизаторах, о транспортном экранировании и о прикладных экранах. Существуют также комплексные экраны, анализирующие информацию на нескольких уровнях.

Фильтрация информационных потоков осуществляется межсетевыми экранами на основе набора правил, являющихся выражением сетевых

аспектов политики безопасности организации. В этих правилах, помимо

информации, содержащейся в фильтруемых потоках, могут фигурировать

данные, полученные из окружения, например, текущее время, количество

активных соединений, порт, через который поступил сетевой запрос, и т.д.

Таким образом, в межсетевых экранах используется очень мощный

логический подход к разграничению доступа. Возможности межсетевого экрана непосредственно определяются тем, какая информация может использоваться в правилах фильтрации и какова может быть мощность наборов правил.

Экранирующие маршрутизаторы(и концентраторы) имеют дело с отдельными пакетами данных, поэтому иногда их называют пакетными фильтрами. Решения о том, пропустить или задержать данные, принимаются для каждого пакета независимо, на основании анализа адресов и других полей заголовков сетевого(канального) и, быть может, транспортного уровней. Еще один важный компонент анализируемой информации– порт, через который поступил пакет.

Экранирующие концентраторы являются средством не столько разграничения доступа, сколько оптимизации работы локальной сети за счет организации так называемых виртуальных локальных сетей.

Современные маршрутизаторы позволяют связывать с каждым портом несколько десятков правил и фильтровать пакеты как на входе, так и на

выходе.

Основные достоинства экранирующих маршрутизаторов– доступная цена

Основной недостаток– ограниченность анализируемой информации и, как следствие, относительная слабость обеспечиваемой защиты.

Транспортное экранирование позволяет контролировать процесс установления виртуальных соединений и передачу информации по ним.

По сравнению с пакетными фильтрами, транспортное экранирование

обладает большей информацией, поэтому соответствующий МЭ может осуществлять более тонкий контроль за виртуальными соединениями

Главный недостаток– сужение области применения, поскольку вне контроля остаются датаграммные протоколы. Обычно транспортное экранирование применяют в сочетании с другими подходами, как важный дополнительный элемент.

Межсетевой экран, функционирующий на прикладном уровне, способен обеспечить наиболее надежную защиту. Как правило, подобный МЭ

представляет собой универсальный компьютер, на котором функционируют экранирующие агенты, интерпретирующие протоколы прикладного уровня (HTTP, FTP, SMTP, telnet и т.д.) в той степени, которая необходима для обеспечения безопасности.

Недостаток прикладных МЭ

– отсутствие полной прозрачности, требующее специальных действий для поддержки каждого прикладного протокола.

Если организация располагает исходными текстами прикладного МЭ и в состоянии эти тексты модифицировать, перед ней открываются чрезвычайно широкие возможности по настройке экрана с учетом собственных нужд.

Комплексные межсетевые экраны, охватывающие уровни от сетевого до прикладного, соединяют в себе лучшие свойства"одноуровневых" МЭ разных видов. Защитные функции выполняются комплексными МЭ прозрачным для приложений образом, не требуя внесения каких-либо изменений ни в существующее программное обеспечение, ни в действия, ставшие для пользователей привычными.

Помимо выразительных возможностей и допустимого количества правил, качество межсетевого экрана определяется еще двумя очень важными характеристиками– простотой использования и собственной защищенностью. В плане простоты использования первостепенное значение имеют наглядный интерфейс при определении правил фильтрации и возможность централизованного администрирования составных конфигураций.

 



Дата добавления: 2015-05-05; просмотров: 11 | Поможем написать вашу работу | Нарушение авторских прав
Основные определения и критерии классификации угроз | Некоторые примеры угроз доступности | Возможности типичных систем |

lektsii.net - Лекции.Нет - 2014-2024 год. (0.007 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав