Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Система защиты



Сегодня в области сетевой безопасности наблюдается тенденция предложения не отдельных продуктов, а комплексных решений. На основе межсетевых экранов (МЭ) разрабатываются целые комплексы средств сетевой безопасности, обеспечивающие защиту сетевого периметра. Современные МЭ могут легко интегрироваться с другими решениями в области информационной безопасности, в частности, с антивирусными средствами и системами обнаружения и предотвращения вторжений, что позволяет строить эффективную, гибкую и прозрачную систему защиты.

Существуют три основные технологии построения МЭ:

- пакетные фильтры без контроля состояний (stateless packet filters);

- пакетные фильтры с контролем состояний (stateful inspection packet filters);

- прокси-службы прикладного уровня (application proxy services);

Наиболее эффективная защита обеспечивается при реализации в МЭ всех перечисленных технологий. Это отвечает основному принципу информационной безопасности - комплексности.

Кроме основной функции фильтрации информационных потоков в МЭ реализуются:

- механизмы обеспечения удаленного доступа;

- технологии построения виртуальных частных сетей (VNP).

Большинство МЭ позволяют обнаруживать и предотвращать основные виды сетевых атак, таких как:

- атаки на системы доменных имен (DNS);

- атаки с использованием ошибок в реализациях протоколов различных уровней;

- DoS-атаки;

- подмена IP-адресов;

- подмена МАС-адресов.

Межсетевые экраны ведущих производителей позволяют осуществлять фильтрацию трафика на основе анализа содержимого полей данных протоколов прикладного уровня. Таким образом, можно, например, блокировать доступ к сайтам с нежелательным содержанием.

На рынке представлено большое количество разнообразных МЭ, отличающихся производительностью и ценой. Лидеры рынка - компании Checkpoint Software Technologies и компании Cisco Systems. Их продукты сертифицированы по основным западным отраслевым стандартам и требованиям Гостехкомиссии РФ и, по мнению специалистов, являются на сегодняшний день наилучшими МЭ корпоративного уровня.

Компания Cisco Systems, один из признанных лидеров в области сетевых решений, предлагает широкий выбор продуктов по обеспечению сетевой безопасности, причем не только для защиты отдельных участков корпоративной сети, а комплексные решения, интегрируемые в инфраструктуру предприятия для обеспечения информационной безопасности на всех уровнях, включая средства защиты периметра и средства построения виртуальных частных сетей.

В частности, для защиты периметра разработан программно-аппаратный МЭ Cisco PIX Firewall, обеспечивающий многоуровневую защиту, на основе использования широкого набора встроенных функций, включая контроль состояния с помощью алгоритма адаптивной защиты Adaptive Security Algorithm и анализ протоколов сетевого, транспортного и прикладного уровней с применением механизма Deep Packet Inspectionегории заказчиков, позволяет строить решения для сетей любого масштаба. Межсетевые экраны семейства Cisco Pix обеспечивают:

- поддержку виртуальных частных сетей (VPN);

- скрытие топологии защищаемой сети с помощью трансляции адресов (NAT) и портов (PAT);

- фильтрацию URL и блокирование IM и P2P;

- работу с большим количеством протоколов, включая ESMTP, ICMP, SunRPC, NIS+, GTP/GPRS;

- контроль всего спектра протоколов для IP-телефонии и мультимедиа - H.323, SIP, SCCP, MGCP, RTSP и т. д.;

- режим виртуальных МЭ, в котором возможно разделение одного МЭ на несколько независимых виртуальных.

Продукция данного класса имеет встроенную систему обнаружения вторжений (IDS). Средства организации виртуальных частных сетей встроены в маршрутизаторы и МЭ производства Cisco Systems. При организации виртуальных частных сетей могут применяться различные методы аутентификации, в том числе сертификаты PKI X.509 v.3, одноразовые пароли, протоколы RADIUS, TACACS+. Встроенная в Cisco Pix и другие решения компании, такие как маршрутизаторы Cisco IOS и концентраторы виртуальных частных сетей Cisco VPN 3000 Concentrator Series, технология EasyVPN предлагает легкоуправляемую и масштабируемую архитектуру виртуальной частной сети, которая реализуется за счет автоматического распределения политик виртуальной частной сети всем подключившимся клиентам.

В рамках комплексного подхода к обеспечению сетевой безопасности компания Cisco Systems предлагает большое количество других продуктов, в том числе инструментарий централизованной настройки, мониторинга и отладки всех своих решений по безопасности, CiscoWorks VPN/Security Managemt Solutions (VMS). В частности, CiscoWorks VMS поддерживает управление, автоматическое обновление и проверку конфигураций до 1000 удаленных МЭ Cisco Pix, а также группирование МЭ по различным признакам.

Один из лидеров рынка средств сетевой безопасности, компания Check Point Technologies предлагает программный МЭ Check Point Firewall-1, основными достоинствами которого, как программного комплекса, являются возможность увеличения производительности за счет наращивания функциональности аппаратного обеспечения и распределения нагрузки между несколькими МЭ. Интеграция с программными продуктами других производителей, разработанными в соответствии со спецификациями OPSEC, позволяет расширять функциональность МЭ. С помощью технологий INSPECT обеспечивается эффективный контроль трафика на сетевом уровне. Firewall-1 может работать на серверах под управлением различных операционных систем:

- Windows 2000 Server (SP1, SP2, SP3), Windows 2000 Advanced Server (SP1, SP2)4

- Windows NT 4.0 (SP6a)4

- Sun Solaris 8, Sun Solaris 9;

- Red Hat Linux 7.0, 7.2, 7.3;

- Nokia IPSO;

- Check Point Secure Platform.

Существуют также программно-аппаратные реализации МЭ компании Check Point Firewall-1: Check Point VPN-1 Edge и Nokia Appliance.

Межсетевой экран Firewall-1 обеспечивает:

- эффективный контроль трафика на прикладном уровне с помощью технологии Application Intelligence;

- скрытие топологии защищаемой сети с помощью трансляции адресов (NAT);

- поддержку большого количества технологий, включая SOAP/XML, Oracle SQL и ERP и всех основных протоколов, включая HTTP, FTP, DNS, SMTP и др.;

- контроль всего спектра протоколов для IP-телефонии и мультимедиа - H.323, SIP, SCCP, MGCP, RTSP и т.д.;

- возможность интеграции с антивирусным ПО различных производителей;

- фильтрацию URL и блокирование IM и P2P.

Решение Check Point по управлению безопасностью Security Management Architecture позволяет централизованно управлять настройками безопасности неограниченного числа распределенных МЭ. Межсетевой экран Check Point имеет функциональные системы мониторинга и документирования событий SmartView Status и SmartView Tracker. Встроенные средства построения виртуальных частных сетей VPN-1 Pro позволяют использовать различные методы аутентификации, в том числе сертификаты PKI X.509 v.3, протоколы RADIUS и TACACS+.

Компания Check Point Technologies предлагает новое решение для реализации эффективного управления информационной безопасностью. Продукт Eventia Analyzer позволяет осуществлять в режиме реального времени сбор и анализ информации от различных источников: маршрутизаторов, коммутаторов, МЭ различных производителей (Check Point Technologies, Cisco Systems, Juniper), серверов web-приложений, операционных систем UNIX. С помощью Eventia Analyzer можно отслеживать различные события, в частности DoS-атаки, попытки несанкционированного сканирования и доступа в сеть.

Как же сделать выбор между двумя рассмотренными системами? В своих рекомендациях мы опираемся на собственный опыт при использовании в комплексных проектах обоих продуктов. Кроме того, мы имеем возможность тестировать проектируемые системы в единственном в России центре компетенции продуктов Checkpoint Software, созданном в нашей компании. Оба продукта, Cisco PIX и Check Point Firewall-1, построены на основе технологии Stateful Inspection, обладают высокой производительностью и надежностью. Выбор осуществляется, как правило, на основе анализа существующей информационной инфраструктуры, требуемой функциональности, архитектуры решения, технической политики заказчика.

МЕЖСЕТЕВЫЕ ЭКРАНЫ

Межсетевые экраны, или пограничные маршрутизаторы, - программные или аппаратные устройства, предназначенные в первую очередь для контроля и разграничения потоков информации между внутренними и внешними сетями. С этой целью используются задаваемые на основе политики безопасности правила, определяющие, что можно пропускать во внутреннюю сеть или выпускать из нее, а что нельзя.

Межсетевые экраны - основа защиты сетевого периметра. С точки зрения безопасности сетевой, периметр, или граница сети - это место, с которого для данной сети начинает применятьсяется возможностями МЭ и их правильной настройкой. Они могут применяться и для защиты внутри сетевого периметра. Они позволяют структурировать сеть, выделяя сегменты с различной

степенью защищенности и контролируя информационные потоки между ними.



Главная страница / Архитектура отрасли