Брандмауэр и его достоинства

Брандмауэр - это подход к безопасности; он помогает реализовать политику безопасности, которая определяет разрешенные службы и типы доступа к ним, и является реализацией этой политики в терминах сетевой конфигурации, нескольких хостов и маршрутизаторов, и других мер защиты, таких как усиленная аутентификация вместо статических паролей. Основная цель системы брандмауэра - управление доступом к или иззащищаемой сети. Он реализует политику сетевого доступа, заставляя проходить все соединения с сетью через брандмауэр, где они могут быть проанализированы и разрешены либо отвергнуты. Основной причиной использования брандмауэров является тот факт, что без брандмауэра системы подсети подвергаются опасности использования уязвимых мест служб, таких NFS и NIS, или сканирования и атак со стороны хостов в Интернете. В среде без брандмауэра сетевая безопасность целиком зависит от безопасности хостов и все хосты должны в этом случае взаимодействовать для достижения одинаково высокого уровня безопасности. Чем больше подсеть, тем труднее поддерживать все хосты на одном уровне безопасности. Ошибки и упущения в безопасности стали распространенными, проникновения происходят не в результате хитроумных атак, а из-за простых ошибок в конфигурировании и угадываемых паролей.

Подход с использованием брандмауэра имеет многочисленные преимущества для сетей и помогает повысить безопасность хостов.

Компоненты брандмауэра

Основными компонентами брандмауэра являются:

o политика сетевого доступа

o механизмы усиленной аутентификации

o фильтрация пакетов

o прикладные шлюзы

Антивирусное программное обеспечение

Сейчас больше чем когда-либо необходима продуманная комплексная защита корпоративного информационного пространства от посягательств со стороны злоумышленников - как извне, так и изнутри компании.

В последние годы эксперты отмечают, что ущерб, причиняемый вирусами, все возрастает. По данным Computer Economics в 2002 году ущерб составил примерно $11 млрд., в 2003 году эта цифра достигла $12,5 млрд, а в начале 2004 года ущерб только от эпидемии MyDoom составил более $4 млрд.

Ущерб от спама возрастает с каждым годом все заметней: с непрошеной корреспонденцией рассылается всё больше вирусов и троянских программ. Кроме того, ущерб от потери рабочего времени на разбор и чтение спама по разным оценкам составляет уже $50-200 в год в расчете на одного сотрудника, и эти цифры также продолжают расти.

Зафиксированный объем потерь от компьютерных преступлений, совершаемых хакерами, и от кражи конфиденциальной информации сотрудниками компании исчисляется уже сотнями миллиардов долларов.

Комплекс продуктов Kaspersky Total Space Security – это решения для защиты всех типов сетевых узлов – от мобильных устройств до серверов; контроль всех входящих и исходящих потоков данных на компьютере – электронная почта, интернет-трафик и все сетевые взаимодействия; а также полноценная защита мобильных пользователей и мощные инструменты управления.

Kaspersky Total Space Security – это решение для целостной защиты корпоративных сетей любого масштаба и сложности от всех видов современных интернет-угроз.

Kaspersky Total Space Security контролирует все входящие и исходящие потоки данных – электронную почту, интернет-трафик и все сетевые взаимодействия. Продукт включает компоненты для защиты рабочих станций, обеспечивает мгновенный и безопасный доступ пользователей к информационным ресурсам компании и сети Интернет, а также гарантирует безопасные коммуникации по электронной почте.

Преимущества

ü целостная защита от вирусов, шпионских программ, хакерских атак и спама на всех уровнях корпоративной сети: от рабочих станций до интернет-шлюзов;

ü проактивная защита рабочих станций от новых вредоносных программ;

ü защита почтовых серверов и серверов совместной работы

ü проверка интернет-трафика (HTTP / FTP), поступающего в локальную сеть, в режиме реального времени;

ü масштабируемость;

ü изоляция зараженных рабочих станций;

ü предотвращение вирусных эпидемий;

ü централизованные отчеты о состоянии защиты.

ü Дополнительные характеристики

ü централизованная установка и управление;

ü поддержка Cisco® NAC (Network Admission Control);

ü поддержка аппаратных прокси-серверов;

ü фильтрация интернет-трафика по списку доверенных серверов, типам объектов и группам пользователей;

ü технология iSwift для исключения повторных проверок в рамках сети;

ü динамическое перераспределение ресурсов при полной проверке системы;

ü персональный файервол с системой IDS/IPS

ü безопасная работа пользователей в сетях любого типа, включая WiFi;

ü защита от фишинга и спама;

ü возможность удаленного лечения (технология Intel® Active Management (компонент Intel® vPro™);

ü отмена вредоносных изменений в системе;

ü технология самозащиты антивируса от вредоносных программ;

ü полноценная поддержка 64-битных платформ;

ü автоматическое обновление баз.

Сетевое оборудование.

Выбор сетевого оборудования – один из важных этапов в ходе проектирования информационной системы. От него зависит вся дальнейшая техническая деятельность сети, поэтому уже на этом этапе необходимо подбирать оборудование, которое удовлетворит заданным критериям, а также сохранит свои показатели качества работы на некоторое время вперёд.

Сетевые адаптеры

Для проектируемой КС был выбран сетевой адаптер D-Link DGE-528T (входит в стандартную конфигурацию выбранных рабочих станций для КС).

Брандмауэр и его достоинства - student2.ru

Рисунок 18. Сетевой адаптер D-Link DGE-528T

Основные xарактеристики сетевого адаптера:

Стандарты

· IEEE 802.3 10BASE-T Ethernet

· IEEE 802.3u 100BASE-TX Fast Ethernet

· IEEE 802.3ab 1000BASE-T Gigabit Ethernet

· Спецификации PCI local bus 2.1, 2.2

· Поддержка универсальной шины 3.3В, 5В

· IEEE 802.1Q VLAN на основе меток

Протокол

· CSMA/CD

Скорость передачи данных

· Ethernet:
10Мбит/с (полудуплекс)
20Мбит/с (полный дуплекс)

· Fast Ethernet:
100Мбит/с s (полудуплекс)
200Мбит/с (полный дуплекс)

· Gigabit Ethernet:
2000Мбит/с (полный дуплекс)

Сетевые кабели

· 10BASE-T:
UTP Cat. 3, 4, 5 (100 м макс.)
EIA/TIA-586 100-Ом STP (100 м макс.)

· 100BASE-TX, 1000BASE-T:
UTP Cat. 5 (100 м макс.)
EIA/TIA-568 100- Ом STP (100 м макс.)

Управление потоком

· Управление потоком IEEE 802.3x в полнодуплексном режиме

· Метод обратного давления для полудуплексного режима

Полный/полудуплекс

· Только полный дуплекс (1000Mбит/с)

· Полный/полудуплекс (10/100Mбит/с)

Индикаторы

· 1000/100/10Mбит/с

· Full duplex

Коммутаторы

В качестве главного коммутатора был выбран управляемый коммутатор D-Link - DGS-3100-24P(рисунок 19).

Брандмауэр и его достоинства - student2.ru

Рисунок 19. Управляемый коммутатор D-Link - DGS-3100-24P

Основные характеристики:

Интерфейсы:

· 24 порта 10/100/1000BASE-T

· 4 комбо-порта SFP

· Консольный порт RS-232

Физическое стекирование

· Порты стекирования HDMI - 2

· Максимальное количество коммутаторов, объединенных в стек - 6

· Полоса пропускания:

- для линейной топологии: до 10 Гбит/с
- для кольцевой топологии: до 20 Гбит/с


Power over Ethernet:

· Поддержка 802.3af PoE для портов 10/100/1000 Base-T

· Максимальная мощность PoE на каждом порту: 15,4 Вт

· Мощность PoE на устройство: до 370Вт

· Автоматическое обнаружение устройства

· Защита от больших токов

Производительность:

· Коммутационная матрица -68 Гбит/с

· Скорость пересылки пакетов – 50.6 Mpps

· Размер таблицы МАС-адресов - 8 К

· Размер буфера - 768 Кбайт

· Поддержка Jumbo-фреймов: 10,240 байт

Функции 2 уровня:

· Таблица MAC-адресов: 8K

· Управление потоком

- Управление потоком 802.3x
- Предотвращение блокировок HOL

· Поддержка Jumbo-фреймов до 10240 байт

· IGMP snooping

- IGMP v1/v2 Snooping
- Поддержка до 256 групп
- IGMP Snooping Fast Leave

· MLD Snooping

- MLD v1/v2 Snooping
- Поддержка 128 групп

· Spanning Tree

- 802 .1D STP
- 802.1w RSTP
- 802.1s MSTP

· Фильтрация BPDU на основе порта/устройства

· Loopback Detection

· Агрегирование портов 802.3ad Link

- Макс. 32 группы на устройство / 8 портов на группу

· Зеркалирование портов

- One-to-One
- Many-to-One


Безопасность:

· SSH v2

· SSH v3

· Port security: 16 МАС-адресов на порт

· Управление широковещательным/ однонаправленным штормом

· Private VLAN

· Link Safeguard Engine

В качестве коммутаторов отделов были выбраны коммутаторы D-Link DES-3528 и D-link DES-1016A (рисунки 20, 21)

Брандмауэр и его достоинства - student2.ru

Рисунок 20. Управляемый коммутатор D-Link DES-3528

Основные характеристики коммутатора D-Link DES-3528:

Интерфейсы
+ 24 порта 10/100 BASE-TX
+ 2 порта 10/100/1000 BASE-T
+ 2 комбо-порта 10/100/1000 BASE/SFP
+ 1 консольный порт RS-232
+ Гигабитные и 100BASE-FX (оптоволокно) SFP-порты

Производительность
+ Коммутационная матрица: 12,8 Гбит/с
+ Макс. скорость продвижения пакетов 64Байт: 9,5 Mpps
Стекирование
+ Физический стек
- Полоса пропускания при стекировании до 4 Гбит/с
- До 8 устройств, объединенных в стек
+ Виртуальный стек:
- Поддержка D-Link Single IP Management (SIM)

Брандмауэр и его достоинства - student2.ru

Рисунок 21. Коммутатор D-Link DES-1016A

Основные характеристики коммутатора D-Link DES-1016A
• Недорогое решение Fast Ethernet для домашних сетей и сетей SOHO
• Автоматическое определение MDI/MDIX на всех портах
• Метод коммутации:Store-and-forward
• Ethernet/Fast Ethernet: Полный дуплекс/полудуплекс
• Управление потоком IEEE 802.3x
• Функция Plug-and-play

Коммутационная матрица
3.2 Гбит/с
Стандарты
• IEEE 802.3 10BASE-T Ethernet (медная витая пара)
• IEEE 802.3u 100BASE-TX Fast Ethernet (медная витая пара)
• ANSI/IEEE 802.3 NWay автоопределение скорости и режима работы
• Управление потоком IEEE 802.3x


Протокол
CSMA/CD

Скорость передачи данных
• Ethernet:
- 10 Mbps (полудуплекс)
- 20 Mbps (полный дуплекс)
• Fast Ethernet:
- 100 Mbps (полудуплекс)
- 200 Mbps (полный дуплекс)

Количество портов
16 портов 10/100Mbps Fast Ethernet

Топология
Звезда

Сетевые кабели
• 10BASE-T:
- UTP кат. 3/4/5/5е (100м макс.)
- EIA/TIA-586 100 Ом STP (100м макс.)
• 100BASE-TX:
- UTP кат. 5/5е (100м макс.)
- EIA/TIA-586 100 Ом STP (100м макс.)

Наши рекомендации