Корпоративные брандмауэры (межсетевые экраны) контролируют трафик, поступающий в локальную корпоративную сеть и выходящий из нее, и могут представлять собой как чисто программные средства, так и аппаратно-программные комплексы. Каждый пакет данных, проходящий через брандмауэр, анализируется им (например, на предмет происхождения или соответствия иным правилам пропускания пакетов), после чего пакет либо пропускается, либо нет. Обычно брандмауэры могут выполнять роль фильтра пакетов или роль прокси-сервера, в последнем случае брандмауэр выступает в качестве посредника в выполнении запросов, инициируя собственный запрос к ресурсу и тем самым не допуская непосредственного соединения между локальной и внешней сетями. В сфере компьютерных сетей брандмауэр представляет собой барьер, защищающий от «виртуального» пожара — попыток злоумышленников вторгнуться в сеть, для того чтобы скопировать, изменить или стереть информацию, либо чтобы воспользоваться полосой пропускания, памятью или вычислительной мощностью работающих в этой сети компьютеров. Брандмауэр устанавливается на границе двух сетей — сети Интернет и ЛВС, поэтому его еще называют и межсетевым экраном. Он фильтрует все входящие и исходящие данные, пропуская только авторизованные пакеты. Скорее, брандмауэр — это подход к безопасности; он помогает реализовать политику безопасности, которая определяет разрешенные службы и типы доступа к ним, и других мер защиты, таких как усиленная аутентификация вместо статических паролей. Основная цель системы брандмауэра — управление доступом к защищаемой сети. Он реализует политику сетевого доступа, заставляя проходить все соединения с сетью через брандмауэр, где они могут быть проанализированы, разрешены либо отвергнуты. Межсетевые экраны — понятие и стандартная классификация Пакетная фильтрация одно из самых старых и распространенных средств управления доступом к сети. Все без исключения брандмауэры умеют фильтровать трафик. Идея: установить, разрешено ли данному пакету входить в сеть или выходить из нее. Брандмауэры с фильтрацией пакетов Шлюз сеансового уровня следит за подтверждением связи (квитирования) между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. Чтобы фильтровать пакеты, генерируемые определенными сетевыми службами в соответствии с их содержимым, необходим шлюз прикладного уровня. Шлюзы сеансового уровня К сожалению, межсетевые экраны не могут решить всех проблем безопасности, связанных с использованием интернет-каналов. При этом, некоторые проблемы, такие как защита информации от прослушивания, при ее прохождении по каналам интернет, могут быть решены путем добавления в программное обеспечение межсетевых экранов возможности шифрования данных (целый ряд программных межсетевых экранов включают в себя так называемую клиентскую часть, что позволяет шифровать весь сетевой трафик между клиентом и сервером). Однако по мере развития информационных систем в сторону все более широкого использования Интернет значительную роль начинают играть технологии, созданные без привязки их к использованию совместно с межсетевыми экранами. Имеется в виду использование интернет порталов, в том числе и в CRM-системах. Одной из непреодолимых сложностей для межсетевых экранов с их статической конфигурацией портов, становится использование KMI (remote method invocation — razgovorodele.ru) в современных системах, ориентированных на широкое использования Java, когда неизвестно заранее, какие и сколько сетевых портов понадобится открыть для каждого конкретного запроса. Одним из решений подобной проблемы может быть создание виртуальной частной сети с помощью аппаратных или программных средств. В этом случае весь сетевой обмен, по всем сетевым портам между компьютерами, организованными в VPN (virtual private network), осуществляется по открытым каналам в шифрованном виде, образуя, таким образом, подобие локальной сети «внутри» Internet/Intranet. Важно, что для работы в VPN не требуется внесения каких либо изменений в используемое программное обеспечение — все выглядит, как обычная работа в сети. Но надо учитывать, что в большинстве случаев VPN не заменяет собой межсетевой экран. Невозможно установить VPN клиента на каждый компьютер, с которого обращаются на корпоративный Web сервер. Оптимальным представляется совместное использование межсетевых экранов и VPN, там, где это возможно. Например, eTrust Firewall можно настроить таким образом, что он будет дополнять VPN, т.е. с помощью eTrust Firewall в список открытых портов добавляется еще один, через который осуществляет зашифрованный обмен с компьютерами, организованными в VPN, при этом порт можно открыть не для всех, а для конкретной группы компьютеров. Сектор брандмауэров объединяет несколько сегментов, в частности, в него входит и VPN. Рынок VPN весьма разнообразен — производителей здесь почти столько же, сколько и продуктов. Взгляды разных исследовательских компаний на рынок VPN выделяют разных лидеров с долей, превосходящей 60%, — Cisco Systems и Check Point. Как ни странно, все правы. Долю Cisco дают ее собственные продукты — эта доля обеспечена общеотраслевым лидерством Cisco. Первенство Check Point обеспечено открытой технологией, которая работает в продуктах самых разных фирм. Программные и аппаратные корпоративные брандмауэры Особо следует отметить, что в арсенале небольших российских разработчиков программного обеспечения есть недорогие и проверенные временем программы, достоинства многих из которых признаны во многих развитых странах мира. |
Главная » Безопасность » Защита8 » Межсетевые экраны, или брандмауэры, применяющиеся в корпоративных сетях
Установка систем видеонаблюдения https://camera39.ru/ustanovka-sistem-videonablyudeniya/ в самые кротчайшие сроки и по выгодным условиям.