Брандмауэр и его достоинства
Брандмауэр - это подход к безопасности; он помогает реализовать политику безопасности, которая определяет разрешенные службы и типы доступа к ним, и является реализацией этой политики в терминах сетевой конфигурации, нескольких хостов и маршрутизаторов, и других мер защиты, таких как усиленная аутентификация вместо статических паролей. Основная цель системы брандмауэра - управление доступом к или иззащищаемой сети. Он реализует политику сетевого доступа, заставляя проходить все соединения с сетью через брандмауэр, где они могут быть проанализированы и разрешены либо отвергнуты. Основной причиной использования брандмауэров является тот факт, что без брандмауэра системы подсети подвергаются опасности использования уязвимых мест служб, таких NFS и NIS, или сканирования и атак со стороны хостов в Интернете. В среде без брандмауэра сетевая безопасность целиком зависит от безопасности хостов и все хосты должны в этом случае взаимодействовать для достижения одинаково высокого уровня безопасности. Чем больше подсеть, тем труднее поддерживать все хосты на одном уровне безопасности. Ошибки и упущения в безопасности стали распространенными, проникновения происходят не в результате хитроумных атак, а из-за простых ошибок в конфигурировании и угадываемых паролей.
Подход с использованием брандмауэра имеет многочисленные преимущества для сетей и помогает повысить безопасность хостов.
Компоненты брандмауэра
Основными компонентами брандмауэра являются:
o политика сетевого доступа
o механизмы усиленной аутентификации
o фильтрация пакетов
o прикладные шлюзы
Антивирусное программное обеспечение
Сейчас больше чем когда-либо необходима продуманная комплексная защита корпоративного информационного пространства от посягательств со стороны злоумышленников - как извне, так и изнутри компании.
В последние годы эксперты отмечают, что ущерб, причиняемый вирусами, все возрастает. По данным Computer Economics в 2002 году ущерб составил примерно $11 млрд., в 2003 году эта цифра достигла $12,5 млрд, а в начале 2004 года ущерб только от эпидемии MyDoom составил более $4 млрд.
Ущерб от спама возрастает с каждым годом все заметней: с непрошеной корреспонденцией рассылается всё больше вирусов и троянских программ. Кроме того, ущерб от потери рабочего времени на разбор и чтение спама по разным оценкам составляет уже $50-200 в год в расчете на одного сотрудника, и эти цифры также продолжают расти.
Зафиксированный объем потерь от компьютерных преступлений, совершаемых хакерами, и от кражи конфиденциальной информации сотрудниками компании исчисляется уже сотнями миллиардов долларов.
Комплекс продуктов Kaspersky Total Space Security – это решения для защиты всех типов сетевых узлов – от мобильных устройств до серверов; контроль всех входящих и исходящих потоков данных на компьютере – электронная почта, интернет-трафик и все сетевые взаимодействия; а также полноценная защита мобильных пользователей и мощные инструменты управления.
Kaspersky Total Space Security – это решение для целостной защиты корпоративных сетей любого масштаба и сложности от всех видов современных интернет-угроз.
Kaspersky Total Space Security контролирует все входящие и исходящие потоки данных – электронную почту, интернет-трафик и все сетевые взаимодействия. Продукт включает компоненты для защиты рабочих станций, обеспечивает мгновенный и безопасный доступ пользователей к информационным ресурсам компании и сети Интернет, а также гарантирует безопасные коммуникации по электронной почте.
Преимущества
ü целостная защита от вирусов, шпионских программ, хакерских атак и спама на всех уровнях корпоративной сети: от рабочих станций до интернет-шлюзов;
ü проактивная защита рабочих станций от новых вредоносных программ;
ü защита почтовых серверов и серверов совместной работы
ü проверка интернет-трафика (HTTP / FTP), поступающего в локальную сеть, в режиме реального времени;
ü масштабируемость;
ü изоляция зараженных рабочих станций;
ü предотвращение вирусных эпидемий;
ü централизованные отчеты о состоянии защиты.
ü Дополнительные характеристики
ü централизованная установка и управление;
ü поддержка Cisco® NAC (Network Admission Control);
ü поддержка аппаратных прокси-серверов;
ü фильтрация интернет-трафика по списку доверенных серверов, типам объектов и группам пользователей;
ü технология iSwift для исключения повторных проверок в рамках сети;
ü динамическое перераспределение ресурсов при полной проверке системы;
ü персональный файервол с системой IDS/IPS
ü безопасная работа пользователей в сетях любого типа, включая WiFi;
ü защита от фишинга и спама;
ü возможность удаленного лечения (технология Intel® Active Management (компонент Intel® vPro™);
ü отмена вредоносных изменений в системе;
ü технология самозащиты антивируса от вредоносных программ;
ü полноценная поддержка 64-битных платформ;
ü автоматическое обновление баз.
Сетевое оборудование.
Выбор сетевого оборудования – один из важных этапов в ходе проектирования информационной системы. От него зависит вся дальнейшая техническая деятельность сети, поэтому уже на этом этапе необходимо подбирать оборудование, которое удовлетворит заданным критериям, а также сохранит свои показатели качества работы на некоторое время вперёд.
Сетевые адаптеры
Для проектируемой КС был выбран сетевой адаптер D-Link DGE-528T (входит в стандартную конфигурацию выбранных рабочих станций для КС).
Рисунок 18. Сетевой адаптер D-Link DGE-528T
Основные xарактеристики сетевого адаптера:
Стандарты
· IEEE 802.3 10BASE-T Ethernet
· IEEE 802.3u 100BASE-TX Fast Ethernet
· IEEE 802.3ab 1000BASE-T Gigabit Ethernet
· Спецификации PCI local bus 2.1, 2.2
· Поддержка универсальной шины 3.3В, 5В
· IEEE 802.1Q VLAN на основе меток
Протокол
· CSMA/CD
Скорость передачи данных
· Ethernet:
10Мбит/с (полудуплекс)
20Мбит/с (полный дуплекс)
· Fast Ethernet:
100Мбит/с s (полудуплекс)
200Мбит/с (полный дуплекс)
· Gigabit Ethernet:
2000Мбит/с (полный дуплекс)
Сетевые кабели
· 10BASE-T:
UTP Cat. 3, 4, 5 (100 м макс.)
EIA/TIA-586 100-Ом STP (100 м макс.)
· 100BASE-TX, 1000BASE-T:
UTP Cat. 5 (100 м макс.)
EIA/TIA-568 100- Ом STP (100 м макс.)
Управление потоком
· Управление потоком IEEE 802.3x в полнодуплексном режиме
· Метод обратного давления для полудуплексного режима
Полный/полудуплекс
· Только полный дуплекс (1000Mбит/с)
· Полный/полудуплекс (10/100Mбит/с)
Индикаторы
· 1000/100/10Mбит/с
· Full duplex
Коммутаторы
В качестве главного коммутатора был выбран управляемый коммутатор D-Link - DGS-3100-24P(рисунок 19).
Рисунок 19. Управляемый коммутатор D-Link - DGS-3100-24P
Основные характеристики:
Интерфейсы:
· 24 порта 10/100/1000BASE-T
· 4 комбо-порта SFP
· Консольный порт RS-232
Физическое стекирование
· Порты стекирования HDMI - 2
· Максимальное количество коммутаторов, объединенных в стек - 6
· Полоса пропускания:
- для линейной топологии: до 10 Гбит/с
- для кольцевой топологии: до 20 Гбит/с
Power over Ethernet:
· Поддержка 802.3af PoE для портов 10/100/1000 Base-T
· Максимальная мощность PoE на каждом порту: 15,4 Вт
· Мощность PoE на устройство: до 370Вт
· Автоматическое обнаружение устройства
· Защита от больших токов
Производительность:
· Коммутационная матрица -68 Гбит/с
· Скорость пересылки пакетов – 50.6 Mpps
· Размер таблицы МАС-адресов - 8 К
· Размер буфера - 768 Кбайт
· Поддержка Jumbo-фреймов: 10,240 байт
Функции 2 уровня:
· Таблица MAC-адресов: 8K
· Управление потоком
- Управление потоком 802.3x
- Предотвращение блокировок HOL
· Поддержка Jumbo-фреймов до 10240 байт
· IGMP snooping
- IGMP v1/v2 Snooping
- Поддержка до 256 групп
- IGMP Snooping Fast Leave
· MLD Snooping
- MLD v1/v2 Snooping
- Поддержка 128 групп
· Spanning Tree
- 802 .1D STP
- 802.1w RSTP
- 802.1s MSTP
· Фильтрация BPDU на основе порта/устройства
· Loopback Detection
· Агрегирование портов 802.3ad Link
- Макс. 32 группы на устройство / 8 портов на группу
· Зеркалирование портов
- One-to-One
- Many-to-One
Безопасность:
· SSH v2
· SSH v3
· Port security: 16 МАС-адресов на порт
· Управление широковещательным/ однонаправленным штормом
· Private VLAN
· Link Safeguard Engine
В качестве коммутаторов отделов были выбраны коммутаторы D-Link DES-3528 и D-link DES-1016A (рисунки 20, 21)
Рисунок 20. Управляемый коммутатор D-Link DES-3528
Основные характеристики коммутатора D-Link DES-3528:
Интерфейсы
+ 24 порта 10/100 BASE-TX
+ 2 порта 10/100/1000 BASE-T
+ 2 комбо-порта 10/100/1000 BASE/SFP
+ 1 консольный порт RS-232
+ Гигабитные и 100BASE-FX (оптоволокно) SFP-порты
Производительность
+ Коммутационная матрица: 12,8 Гбит/с
+ Макс. скорость продвижения пакетов 64Байт: 9,5 Mpps
Стекирование
+ Физический стек
- Полоса пропускания при стекировании до 4 Гбит/с
- До 8 устройств, объединенных в стек
+ Виртуальный стек:
- Поддержка D-Link Single IP Management (SIM)
Рисунок 21. Коммутатор D-Link DES-1016A
Основные характеристики коммутатора D-Link DES-1016A
• Недорогое решение Fast Ethernet для домашних сетей и сетей SOHO
• Автоматическое определение MDI/MDIX на всех портах
• Метод коммутации:Store-and-forward
• Ethernet/Fast Ethernet: Полный дуплекс/полудуплекс
• Управление потоком IEEE 802.3x
• Функция Plug-and-play
Коммутационная матрица
3.2 Гбит/с
Стандарты
• IEEE 802.3 10BASE-T Ethernet (медная витая пара)
• IEEE 802.3u 100BASE-TX Fast Ethernet (медная витая пара)
• ANSI/IEEE 802.3 NWay автоопределение скорости и режима работы
• Управление потоком IEEE 802.3x
Протокол
CSMA/CD
Скорость передачи данных
• Ethernet:
- 10 Mbps (полудуплекс)
- 20 Mbps (полный дуплекс)
• Fast Ethernet:
- 100 Mbps (полудуплекс)
- 200 Mbps (полный дуплекс)
Количество портов
16 портов 10/100Mbps Fast Ethernet
Топология
Звезда
Сетевые кабели
• 10BASE-T:
- UTP кат. 3/4/5/5е (100м макс.)
- EIA/TIA-586 100 Ом STP (100м макс.)
• 100BASE-TX:
- UTP кат. 5/5е (100м макс.)
- EIA/TIA-586 100 Ом STP (100м макс.)