1.7.5 Межсетевой экран
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации. Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых адресов или портов на внешние, используемые за пределами ЛВС. Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
на уровне каких сетевых протоколов происходит контроль потока данных;
отслеживаются ли состояния активных соединений или нет.
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.
В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.
Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика). В зависимости от отслеживания активных соединений сетевые экраны бывают:
stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.
- Содержание
- Обозначения и сокращения
- 1 Аналитическая часть
- 1 Технико-экономическая характеристика предприятия
- 1.1 Характеристика подразделений банка и видов их деятельности
- 1.2 Законодательство рф в абс
- 1.3 Концепция построения и типизации Средств Защиты Информации
- 1.3.1 Виды угроз безопасности в телекоммуникационной системе
- 1.3.2 Атаки на уровне субд
- 1.3.3 Атаки на уровне ос
- 1.3.4 Атаки класса “отказ в обслуживании”
- 1.3.5 Возможные атаки на уровне сети
- 1.3.6 Методы защиты от атак
- 1.4 Банк-Клиент
- 1.4.1 Классификация
- 1.4.4 Эцп
- 1.4.5 Usb-Token
- 1.4.6 Кардинг
- 1.4.7 Уязвимости по
- 1.4.8 Дбо Атаки
- 1.6 Инсайдеры
- 1.7 Сетевые угрозы
- 1.7.1 Типы сетевых атак
- 1.7.2 Угрозы сетевой безопасности исходящие от беспроводных сетей
- 1.7.3 Системы сетевой безопасности Cisco 2011
- 1.7.4 Средства обеспечения сетевой безопасности
- 1.7.5 Межсетевой экран
- 1.8 Антивирус
- 1.8.1 Технологии обнаружения вирусов
- 1.8.2 Режимы работы антивирусов
- 1.8.3 Антивирусный комплекс
- 1.9 Криптография и скзи
- 1.9.1 Методология с использованием ключа
- 1.9.1.1 Симметричная (секретная) методология
- 1.9.1.2 Асимметричная (открытая) методология
- 1.9.2 Распространение ключей
- 1.9.3 Алгоритмы шифрования
- 1.9.3.2 Асимметричные алгоритмы
- 1.9.4 Хэш-функции
- 1.9.5 Механизмы аутентификации
- 1.9.6 Электронные подписи и временные метки
- 1.9.7 Криптопровайдер
- 1.9.8 Рутокен Pinpad
- 2 Проектная часть
- 2.1 Программно-аппаратное обеспечение
- 2.2 Схема взаимодействия эшелонов защиты
- 2.2.1 Подробные схемы взаимодействия эшелонов защиты скуд
- 2.1.2 Подробная схема безопасности сети банка.
- 2.2 Bsat – комплекс проверки соответствия сто бр иббс
- 2.3 Характеристика программно-аппаратного комплекса
- 3 Расчет затрат на создание программного продукта
- 1. Расчет на составление синтезированной схемы взаимодействия
- 3.1.1 Расчет длительности этапов проектировки
- 3.1.2 Расчет материальных затрат
- 3.1.3 Расчет фонда оплаты труда (фот) проектировщиков системы
- 3.1.4 Расчет величины страховых взносов во внебюджетные фонды
- 3.1.5 Расчет затрат на амортизацию оборудования, используемого при проектировке системы
- 3.1.6 Расчет затрат на электроэнергию, используемую оборудованием в процессе проектировки схемы
- 3.1.7 Расчет прочих расходов