концентраторах (мостах,
коммутаторах) (уровень 2), маршрутизаторах (уровень 3), о транспортном
экранировании (уровень 4) и о прикладных экранах (уровень 7).
Существуют также комплексные экраны, анализирующие информацию на нескольких
уровнях.
Фильтрация информационных потоков
осуществляется межсетевыми экранами на основе набора правил, являющихся
выражением сетевых аспектов политики безопасности организации. В этих правилах,
помимо информации, содержащейся в фильтруемых потоках, могут фигурировать данные,
полученные из окружения, например, текущее время, количество активных соединений,
порт, через который поступил сетевой запрос, и т.д. Таким образом, в
межсетевых экранах используется очень мощный логический подход к разграничению
доступа.
Возможности межсетевого экрана
непосредственно определяются тем, какая информация может использоваться в
правилах фильтрации и какова может быть мощность наборов правил. Вообще говоря,
чем выше уровень в модели ISO/OSI, на котором функционирует МЭ, тем более содержательная
информация ему доступна и, следовательно, тем тоньше и надежнее он может быть
сконфигурирован.
Экранирующие маршрутизаторы (и
концентраторы) имеют дело с отдельными пакетами данных, поэтому иногда их
называют пакетными фильтрами. Решения о том, пропустить или задержать
данные, принимаются для каждого пакета независимо, на основании анализа адресов
и других полей заголовков сетевого (канального)
и, быть может, транспортного
уровней. Еще один важный компонент анализируемой информации - порт, через который
поступил пакет.
Экранирующие концентраторы
являются средством не столько разграничения доступа, сколько оптимизации работы
локальной сети за счет организации так называемых виртуальных локальных сетей.
Последние можно считать важным результатом применения внутреннего межсетевого
экранирования.
Современные маршрутизаторы
позволяют связывать с каждым портом несколько десятков правил и фильтровать
пакеты как на входе, так и на выходе. В принципе, в качестве пакетного фильтра
может использоваться и универсальный компьютер, снабженный несколькими
сетевыми
картами.
Основные достоинства экранирующих
маршрутизаторов - доступная цена (на границе сетей маршрутизатор нужен
практически всегда, вопрос лишь в том, как задействовать его экранирующие
возможности) и прозрачность для более высоких уровней модели OSI.
Основной недостаток - ограниченность анализируемой информации и, как следствие,
относительная слабость обеспечиваемой защиты.
Транспортное экранирование
позволяет контролировать процесс установления виртуальных соединений и передачу
информации по ним. С точки зрения реализации экранирующий транспорт
представляет собой довольно простую, а значит, надежную программу.
По сравнению с пакетными
фильтрами, транспортное экранирование обладает большей информацией, поэтому
соответствующий МЭ может осуществлять более тонкий
Главная / безопасность пк / методы защиты информации 