Главная страница
Форум
Промиздат
Опережения рынка
Архитектура отрасли
Формирование
Тенденции
Промстроительство
Нефть и песок
О стали
Компрессор - подбор и ошибки
Из истории стандартизации резьб
Соперник ксерокса - гектограф
Новые технологии производства стали
Экспорт проволоки из России
Прогрессивная технологическая оснастка
Цитадель сварки с полувековой историей
Упрочнение пружин
Способы обогрева
Назначение, структура, характеристики анализаторов
Промышленные пылесосы
Штампованные гайки из пружинной стали
Консервация САУ
Стандарты и качество
Технология производства
Водород
Выбор материала для крепежных деталей
Токарный резец в миниатюре
Производство проволоки
Адгезия резины к металлокорду
Электролитическое фосфатирование проволоки
Восстановление корпусных деталей двигателей
Новая бескислотная технология производства проката
Синие кристаллы
Автоклав
Нормирование шумов связи
Газосварочный аппарат для тугоплавких припоев
|
Главная страница / Архитектура отрасли Система защиты Сегодня в области сетевой безопасности наблюдается тенденция предложения не отдельных продуктов, а комплексных решений. На основе межсетевых экранов (МЭ) разрабатываются целые комплексы средств сетевой безопасности, обеспечивающие защиту сетевого периметра. Современные МЭ могут легко интегрироваться с другими решениями в области информационной безопасности, в частности, с антивирусными средствами и системами обнаружения и предотвращения вторжений, что позволяет строить эффективную, гибкую и прозрачную систему защиты. Существуют три основные технологии построения МЭ: - пакетные фильтры без контроля состояний (stateless packet filters); - пакетные фильтры с контролем состояний (stateful inspection packet filters); - прокси-службы прикладного уровня (application proxy services); Наиболее эффективная защита обеспечивается при реализации в МЭ всех перечисленных технологий. Это отвечает основному принципу информационной безопасности - комплексности. Кроме основной функции фильтрации информационных потоков в МЭ реализуются: - механизмы обеспечения удаленного доступа; - технологии построения виртуальных частных сетей (VNP). Большинство МЭ позволяют обнаруживать и предотвращать основные виды сетевых атак, таких как: - атаки на системы доменных имен (DNS); - атаки с использованием ошибок в реализациях протоколов различных уровней; - DoS-атаки; - подмена IP-адресов; - подмена МАС-адресов. Межсетевые экраны ведущих производителей позволяют осуществлять фильтрацию трафика на основе анализа содержимого полей данных протоколов прикладного уровня. Таким образом, можно, например, блокировать доступ к сайтам с нежелательным содержанием. На рынке представлено большое количество разнообразных МЭ, отличающихся производительностью и ценой. Лидеры рынка - компании Checkpoint Software Technologies и компании Cisco Systems. Их продукты сертифицированы по основным западным отраслевым стандартам и требованиям Гостехкомиссии РФ и, по мнению специалистов, являются на сегодняшний день наилучшими МЭ корпоративного уровня. Компания Cisco Systems, один из признанных лидеров в области сетевых решений, предлагает широкий выбор продуктов по обеспечению сетевой безопасности, причем не только для защиты отдельных участков корпоративной сети, а комплексные решения, интегрируемые в инфраструктуру предприятия для обеспечения информационной безопасности на всех уровнях, включая средства защиты периметра и средства построения виртуальных частных сетей. В частности, для защиты периметра разработан программно-аппаратный МЭ Cisco PIX Firewall, обеспечивающий многоуровневую защиту, на основе использования широкого набора встроенных функций, включая контроль состояния с помощью алгоритма адаптивной защиты Adaptive Security Algorithm и анализ протоколов сетевого, транспортного и прикладного уровней с применением механизма Deep Packet Inspectionегории заказчиков, позволяет строить решения для сетей любого масштаба. Межсетевые экраны семейства Cisco Pix обеспечивают: - поддержку виртуальных частных сетей (VPN); - скрытие топологии защищаемой сети с помощью трансляции адресов (NAT) и портов (PAT); - фильтрацию URL и блокирование IM и P2P; - работу с большим количеством протоколов, включая ESMTP, ICMP, SunRPC, NIS+, GTP/GPRS; - контроль всего спектра протоколов для IP-телефонии и мультимедиа - H.323, SIP, SCCP, MGCP, RTSP и т. д.; - режим виртуальных МЭ, в котором возможно разделение одного МЭ на несколько независимых виртуальных. Продукция данного класса имеет встроенную систему обнаружения вторжений (IDS). Средства организации виртуальных частных сетей встроены в маршрутизаторы и МЭ производства Cisco Systems. При организации виртуальных частных сетей могут применяться различные методы аутентификации, в том числе сертификаты PKI X.509 v.3, одноразовые пароли, протоколы RADIUS, TACACS+. Встроенная в Cisco Pix и другие решения компании, такие как маршрутизаторы Cisco IOS и концентраторы виртуальных частных сетей Cisco VPN 3000 Concentrator Series, технология EasyVPN предлагает легкоуправляемую и масштабируемую архитектуру виртуальной частной сети, которая реализуется за счет автоматического распределения политик виртуальной частной сети всем подключившимся клиентам. В рамках комплексного подхода к обеспечению сетевой безопасности компания Cisco Systems предлагает большое количество других продуктов, в том числе инструментарий централизованной настройки, мониторинга и отладки всех своих решений по безопасности, CiscoWorks VPN/Security Managemt Solutions (VMS). В частности, CiscoWorks VMS поддерживает управление, автоматическое обновление и проверку конфигураций до 1000 удаленных МЭ Cisco Pix, а также группирование МЭ по различным признакам. Один из лидеров рынка средств сетевой безопасности, компания Check Point Technologies предлагает программный МЭ Check Point Firewall-1, основными достоинствами которого, как программного комплекса, являются возможность увеличения производительности за счет наращивания функциональности аппаратного обеспечения и распределения нагрузки между несколькими МЭ. Интеграция с программными продуктами других производителей, разработанными в соответствии со спецификациями OPSEC, позволяет расширять функциональность МЭ. С помощью технологий INSPECT обеспечивается эффективный контроль трафика на сетевом уровне. Firewall-1 может работать на серверах под управлением различных операционных систем: - Windows 2000 Server (SP1, SP2, SP3), Windows 2000 Advanced Server (SP1, SP2)4 - Windows NT 4.0 (SP6a)4 - Sun Solaris 8, Sun Solaris 9; - Red Hat Linux 7.0, 7.2, 7.3; - Nokia IPSO; - Check Point Secure Platform. Существуют также программно-аппаратные реализации МЭ компании Check Point Firewall-1: Check Point VPN-1 Edge и Nokia Appliance. Межсетевой экран Firewall-1 обеспечивает: - эффективный контроль трафика на прикладном уровне с помощью технологии Application Intelligence; - скрытие топологии защищаемой сети с помощью трансляции адресов (NAT); - поддержку большого количества технологий, включая SOAP/XML, Oracle SQL и ERP и всех основных протоколов, включая HTTP, FTP, DNS, SMTP и др.; - контроль всего спектра протоколов для IP-телефонии и мультимедиа - H.323, SIP, SCCP, MGCP, RTSP и т.д.; - возможность интеграции с антивирусным ПО различных производителей; - фильтрацию URL и блокирование IM и P2P. Решение Check Point по управлению безопасностью Security Management Architecture позволяет централизованно управлять настройками безопасности неограниченного числа распределенных МЭ. Межсетевой экран Check Point имеет функциональные системы мониторинга и документирования событий SmartView Status и SmartView Tracker. Встроенные средства построения виртуальных частных сетей VPN-1 Pro позволяют использовать различные методы аутентификации, в том числе сертификаты PKI X.509 v.3, протоколы RADIUS и TACACS+. Компания Check Point Technologies предлагает новое решение для реализации эффективного управления информационной безопасностью. Продукт Eventia Analyzer позволяет осуществлять в режиме реального времени сбор и анализ информации от различных источников: маршрутизаторов, коммутаторов, МЭ различных производителей (Check Point Technologies, Cisco Systems, Juniper), серверов web-приложений, операционных систем UNIX. С помощью Eventia Analyzer можно отслеживать различные события, в частности DoS-атаки, попытки несанкционированного сканирования и доступа в сеть. Как же сделать выбор между двумя рассмотренными системами? В своих рекомендациях мы опираемся на собственный опыт при использовании в комплексных проектах обоих продуктов. Кроме того, мы имеем возможность тестировать проектируемые системы в единственном в России центре компетенции продуктов Checkpoint Software, созданном в нашей компании. Оба продукта, Cisco PIX и Check Point Firewall-1, построены на основе технологии Stateful Inspection, обладают высокой производительностью и надежностью. Выбор осуществляется, как правило, на основе анализа существующей информационной инфраструктуры, требуемой функциональности, архитектуры решения, технической политики заказчика. МЕЖСЕТЕВЫЕ ЭКРАНЫ Межсетевые экраны, или пограничные маршрутизаторы, - программные или аппаратные устройства, предназначенные в первую очередь для контроля и разграничения потоков информации между внутренними и внешними сетями. С этой целью используются задаваемые на основе политики безопасности правила, определяющие, что можно пропускать во внутреннюю сеть или выпускать из нее, а что нельзя. Межсетевые экраны - основа защиты сетевого периметра. С точки зрения безопасности сетевой, периметр, или граница сети - это место, с которого для данной сети начинает применятьсяется возможностями МЭ и их правильной настройкой. Они могут применяться и для защиты внутри сетевого периметра. Они позволяют структурировать сеть, выделяя сегменты с различной степенью защищенности и контролируя информационные потоки между ними. Главная страница / Архитектура отрасли |