Межсетевой экран

минута на чтение

Межсетевой экранМежсетевой экран всегда выступает в роли устройства, управляющего трафиком, которым обмениваются сегменты сети. Идея заключается в том что пользователи Internet могут получить доступ только к публичным службам зоны DMZ. Если кто-то попытается установить соединение со службой, не предназначенной для общего пользования, межсетевой экран разорвет такое соединение и запротоколирует эту попытку. С другой стороны, пользователи защищенной сети имеют полный доступ к ресурсам глобальной сети, поэтому могут работать и с компьютерами из DMZ (для обновления публикаций, управления публичными службами и т. п.). Таким образом, системы компании подвержены только тем атакам, которые направлены на сервисы общего пользования, но не на управляющие и обслуживающие комплексы. Обычно зона DMZ предоставляет услуги электронной почты, FTP — и WWW — сервисов. Это минимальный набор, который, как в случае с коммерческим сайтом, дополняется разнообразными бизнес-системами, обеспечивающими передачу и защиту информации между клиентами и сайтом или между несколькими коммерческими сайтами-партнерами. Данные о клиентах, информация о заказах и финансовые транзакции требуют более мощной защиты от попыток получения к ней несанкционированного доступа. Охрана такого рода информации обеспечивается за счет организации Зон безопасности — сегментов, похожих на DMZ, но отличающихся более надежным защитным механизмом. Потребность в хранении и передаче клиентской и финансовой информации по каналам Internet влечет за собой необходимость создания довольно сложных сетевых структур. В деле защиты деловой информации многие сайты пошли по пути множественного сегментирования организационной сети. Рассмотренная выше модель построения защищенной сети может быть без труда расширена за счет интеграции двух новых сегментов — подсети, выделенной для хранения данных, и подсети, отвечающей за обработку (процессинг) деловой информации (рис. 5.4).

Facebook Vk Ok Twitter Telegram

Похожие записи:

Эффективность IDS прежде всего зависит от местоположения ее Сенсоров (датчиков). Обычно они размещаются за экраном в DMZ или на особо чувствительных к атаке сегментах защищенной сети (см. рис. 5.5). Датчик, расположенный за экраном, контролирует этот экран, ул...
Еще одна мера предосторожности, которую стоит принять, — смена используемого внутри сети протокола. Поскольку протокол HTTP имеет врожденные пороки, нежелательно, чтобы он работал внутри сети, пройдя внешний экран. В противном случае хакер использует «туннель»...
Как я уже говорил, работа фильтрующего экрана основана на анализе заголовка пакета. Экран пропускает пакет, только если адреса отправителя, адреса получателя и номеров задействованных портов не противоречат установленным правилам фильтрации. В любом другом слу...