Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Начинающему CIO

Оснащение сети средствами безопасности начнем с пограничного (edge) уровня, устройства которого обеспечивают выход «во внешний мир». Обязательным элементом данного уровня является маршрутизатор доступа, обеспечивающий как обработку пакетов на границе с WAN-сетью, так и терминирование сервисов IP-телефонии. В качестве такого устройства рекомендуем использовать одну из моделей маршрутизаторов с интегрированными сервисами Cisco ISR. Эти маршрутизаторы способны выполнять широкий набор функций сетевой защиты, но с учетом небольшого масштаба рассматриваемой сети (порядка 500 рабочих станций) лучше возложить эти функции на отдельное устройство Cisco ASA, устанавливаемое за маршрутизатором доступа.

ASA (Adaptive Security Applian-ce) – многофункциональный программно-аппаратный комплекс, выполняющий, в частности, функции межсетевого экрана и системы предотвращения атак (IPS). Система Cisco IPS обнаруживает вредоносную активность в трафике и способна блокировать атаки в режиме реального времени. Сегодня поддерживается более 1500 сигнатур атак в таких протоколах, как IP, TCP, UDP, DNS, FTP и HTTP, причем возможно постоянное обновление сигнатур.

Функции IPS могут быть реализованы различными способами, например, программно (в IOS) на маршрутизаторах ISR или на отдельном устройстве. Однако для рассматриваемого проекта первый вариант чреват проблемами с производительностью маршрутизатора (алгоритмы IPS сильно загружают процессор), а второй – «великоват» и дороговат. Оптимально, как уже говорилось, использовать функции IPS в устройстве ASA, где они реализуются с помощью специального модуля.

Система Cisco IPS обеспечивает также частичную защиту от атак типа «отказ в обслуживании» (DOS). Однако, на наш взгляд, компания с штатом в несколько сот сотрудников вряд ли способна сама эффективно защититься от DOS-атак, особенно от распределенных (DDOS), – такую защиту ей должен обеспечить оператор связи. Даже если компания готова потратиться на эффективные средства защиты от атак DOS и DDOS, в ходе таких атак могут быть «забиты» все каналы доступа в WAN-сеть и Интернет. И это еще одна причина, по которой целесообразно поручить защиту оператору.

Говоря об ASA, стоит отметить, что вместо модуля IPS в данное устройство можно поставить другой модуль – CSC (Content Security and Control), который обеспечивает функции антиспама, антивируса и антифишинга (защиты от перехвата и подмены идентификационной информации). Однако в рассматриваемом проекте эти функции можно реализовать и в других точках, например на компьютерах конечных пользователей или на сервере-посреднике, а место в ASA отдать под модуль IPS. Кстати, компания Cisco предлагает выделенные устройства IronPort, которые выполняют не только функции CSC, но и массу других. Но это уже очень мощные и дорогие решения, ориентированные на крупные предприятия.

Главная страница / Архитектура отрасли