Современные системы Firewall
Современные межсетевые экраны являются либо комплексными, либо сочетают в себе функции систем Firewell нескольких типов – экранирующего маршрутизатора, шлюза сеансового уровня, прикладного шлюза, а также шлюза экспертного уровня. В настоящее время наметилась тенденция к расширению функциональности и упрощению использования межсетевых экранов. Большинство современных межсетевых экранов обеспечивают поддержку защищенной виртуальной сети на основе шифрования трафика, а также усиленную аутентификацию пользователей и фильтрацию пакетов с контролем состояния соединения.
Существует два основных типа межсетевых экранов, различающиеся по типу реализации: аппаратные и программные.
Аппаратные межсетевые экраны представляют собой специализированные компьютеры с предварительно установленной и сконфигурированной на них операционной системой, а также программным обеспечением межсетевого экрана. Большинство из них работает под управлением той или иной версии UNIX или Linux, из которой удалены все лишние программы и утилиты. Кроме того, встречаются также средства администрирования с графическим пользовательским интерфейсом. Достоинством аппаратных межсетевых экранов является простота ввода в эксплуатацию, так как при этом не требуется установка операционной системы и программного обеспечения межсетевого экрана. Упрощена также настройка параметров функционирования аппаратного брандмауэра за счет наличия типовых шаблонов для правил работы.
Примерами аппаратных межсетевых экранов являются Secure PIX Firewall 520/525 компании Cisco Systems, NetScreen-100/500 компании NetScreen Technologies, а также Firebox 1000 компании WatchGuard.
Устройства Secure PIX Firewall 520 и Secure PIX Firewall 525 работают с собственной операционной системой PIX OS. Пропускная способность – 370 Мбит/с., могут одновременно обслуживать до 250-280 тыс. сеансов. В качестве метода защиты используется Adaptive Security Algorithm (ASA) – разновидность алгоритма контекстной проверки, при котором запоминаются адреса отправителей и получателей, порядковые номера TCP и другие данные, необходимые для определения соответствующих соединений. Оба устройства предоставляют функции виртуальных частных сетей (VPN), такие как туннелирование и шифрование.
Аппаратные межсетевые экраны NetScreen-100 и NetScreen-500 работают под управлением специализированной операционной системы ScreenOS , имеют пропускную способность 700 Мбит/c. (NetScreen-500) и могут одновременно обслуживать до 250 тыс. соединений. В NetScreen-100 предусмотрено три порта Ethernet на 10/100 Мбит/c. с одновременной поддержкой 128 тыс. сеансов TCP. Имеется возможность реализовать защиту нескольких сетевых сегментов с помощью одного межсетевого экрана за счет создания виртуальной системы, представляющей отдельный домен внутри устройства со своими собственными правилами реализации защиты и функциями управления.
Система Firebox 1000 представляет собой устройство немногим больше портативного компьютера, имеет три сетевых интерфейса 10/100 Мбит, работает на защищенном ядре Linux и способна обслуживать одновременно до 1000 пользователей. Это гибридный межсетевой экран с контекстной проверкой и посредниками для протоколов HTTP, SMTP и FTP. Производительность – 95 Мбит/с. в режиме контекстной проверки и 25 Мбит/c в режиме посредника.
К недостаткам аппаратных брандмауэров можно отнести меньшую по сравнению с программными аналогами масштабируемость и трудность обеспечения взаимодействия с программными продуктами третьих фирм (антивирусными программами, URL-фильтрами, а также программами фильтрации содержимого электронных сообщений и документов).
Программные межсетевые экраны, как правило, используют стандартные ОС (Windows или UNIX), которые выполняются на обычных компьютерах. Примерами таких брандмауэров являются FireWall-1 компании Check Point, Symantec Enterprise Firewall компании Symantec, CyberGuard Firewall компании CyberGuard. Имеются и программные реализации Firewall, ориентированные на адаптированные операционные системы, из которых удалены потенциально опасные и ненужные для работы межсетевого экрана функции. Например, программные брандмауэры компаний Global Technology Associates и Secure Computing используют собственные операционные системы.
Межсетевой экран FireWall –1 компании Check Point считается одним из лидеров на рынке средств защиты межсетевого взаимодействия. Он позволяет строить систему безопасности как для небольших фирм, так и для больших предприятий с офисами, расположенными в разных городах и странах. Управление политикой безопасности в такой системе производится из одной точки – центра сетевой безопасности предприятия. FireWall –1 позволяет эффективно управлять межсетевым доступом, поддерживает многочисленные алгоритмы аутентификации пользователей, обеспечивает управление безопасностью на маршрутизаторах, выполняет трансляцию сетевых адресов, осуществляет аудит, ведет статистику и имеет удобный графический интерфейс. Межсетевой экран FireWall –1 поддерживает виртуальные частные сети, что дает возможность организации защищенных каналов передачи данных.
Одним из недостатков программных брандмауэров считается уязвимость самих операционных систем. Поэтому многие разработчики программных межсетевых экранов включают в средства инсталляции специализированные процедуры, обеспечивающие формирование защищенной конфигурации используемой операционной системы.
Многие межсетевые экраны отечественного производства являются, по сути, развитыми пакетными фильтрами, например, сетевой процессор ССПТ-1 НПО РТК, программный межсетевой экран VipNet Office Firewall компании «Интерфокс», а также аппаратно-программный комплекс «Континент-К» НИП «ИНФОРМЗАЩИТА». Межсетевой экран ССПТ-1 обеспечивает наиболее прозрачный доступ из внутренней сети во внешнюю, так как не имеет собственного IP-адреса, что позволяет скрыть брандмауэр от целенаправленных атак извне. Предусмотренная в ССПТ-1 система правил фильтрации обеспечивает выполнение анализа и фильтрации сетевых пакетов с учетом временных параметров на основе MAC- и IP- адресов.
В межсетевом экране VipNet Office Firewall и аппаратно-программном комплексе «Континент-К» фильтрация IP- пакетов осуществляется в соответствии с правилами, сформированными нав основе IP- адресов отправителя и получателя, а также любых допустимых значений полей заголовка, используемых портов UDP/TCP и флагов для TCP/IP – пакета. Аппаратно-программный комплекс «Континент-К» помимо выполнения функций фильтрации, обеспечивает криптографическую защиту и маршрутизацию проходящего через него IP-трафика.
Литература
1. Олифер В.Г., Олифер Н.А. Компьютерные сети. –СПб: Питер. 2001. –672с.
2. Кулаков Ю.А., Луцкий Г.М. Компьютерные сети. –Киев: Юниор. 1998. –380с.
3. Каган Б.Н. Электронные вычислительные машины и системы. -М.:Энергоатомиздат. 1991. - 592с.
4. Вычислительные машины, системы и сети. / Под ред. А.П.Пятибратова. -М.: Финансы и статистика. 1991. -400с.
5. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий –СПб: БХВ-Петербург, 2003. -368с.
6. Олифер В.Г., Олифер Н.А. Сетевые операционные системы. –СПб: Питер, 2002. –544с.
7. Норткатт С., Новак Д., Маклахен Д. Обнаружение вторжений в сеть. –М.: ЛОРИ, 2002, 397с.
8. Гук М. Локальные сети NOVELL. -СПб.: Питер Пресс. 1996. –288с.
9. Веттиг Д. Novell NetWare. -М.: Бином. 1994. -470с.
10. Фролов А.В., Фролов Г.В. Глобальные сети ПК. -М.: Диалог-МИФИ. 1996. -288с.
11. Фролов А.В., Фролов Г.В. Сервер web своими руками.-М.:Диалог-МИФИ.1997. -288с.
ОГЛАВЛЕНИЕ
Введение. 3
1. Введение в сетевые технологии. 4
1.1. Классификация сетей. 4
1.2. Топология вычислительных сетей. 5
1.3. Базовая модель взаимодействия открытых систем OSI 7
2. Компоненты вычислительных сетей. 10
2.1. Логическая топология и методы доступа к среде. 11
2.2. Соединительные элементы сетей. 15
2.3. Методы передачи данных в сетях. 18
3. Адресация в сетях передачи данных. 19
3.1. Физический адрес устройства. 19
3.2. Логический адрес устройства. 20
4. Архитектура локальных сетей. 21
4.1. Ethernet 22
4.2. Token Ring. 25
5. Internet и TCP/IP.. 26
5.1. Построение больших сетей. 27
5.2. Протоколы Internet 31
5.3. Протокольный стек TCP/IP.. 33
5.4. Адресация и маршрутизация в Internet 36
6. Защита от несанкционированного доступа в открытых сетях. 43
6.1. Функции межсетевого экранирования. 45
6.2. Фильтрация трафика. 47
6.3. Основные функции межсетевых экранов. 49
6.4. Особенности межсетевого экранирования. 53
6.5. Установка и конфигурирование систем Firewall 64
6.6. Современные системы Firewall 65
Литература. 69
ОГЛАВЛЕНИЕ.. 70