8784

Меж сетевой экран (МСЭ) или firewall

Доклад

Информатика, кибернетика и программирование

МСЭ Другим популярным методом защиты сетей является использование МежСетевого Экрана (МСЭ) илиfirewall. МСЭ или брандмауэр (перевод на немецкий язык англ. Firewall) осуществляет фильтрацию IP пакетов для защиты внутренней информационной среды ...

Русский

2013-02-17

59 KB

5 чел.

МСЭ

Другим популярным методом защиты сетей является использование МежСетевого Экрана (МСЭ) или firewall.

МСЭ или брандмауэр (перевод на немецкий язык англ. Firewall) осуществляет фильтрацию IP пакетов для защиты внутренней информационной среды (Intranet) от несанкционированных действий со стороны внешней среды (Extranet/Internet).

Расположение firewall иллюстрирует рисунок 1.

Рис. 1. Место МСЭ.

По степени глубины анализа содержимого пакетов МСЭ принято делить на несколько типов.

Простой пакетный фильтр (packet filter) обычно размещается на шлюзе (маршрутизаторе) и работает совместно с NAT разрешая, запрещая или отвечая на пакеты согласно устанавливаемым правилам (цепочкам) в зависимости от направления следования пакетов (OUT/IN), IP адресов, портов и протоколов. Каждый пакет в таких МСЭ рассматривается независимо от предыдущих. МСЭ этого типа могут защитить от некоторых атак типа DoS (ping-of-death, SYN-flood и др.).

МСЭ с контролем соединения (virtual circuit control) чаще всего выполнен в виде отдельного устройства и устанавливает правила пропуска или уничтожения пакетов в зависимости от текущего «виртуального» соединения, т.е. учитываются предыдущие пакеты. Виртуальность понимается в том смысле, что некоторые протоколы (например, UDP) не устанавливают соединения в традиционном смысле.

МСЭ с контролем приложения (application layer gateway) практически не отличается от сервиса proxy и в продвинутых моделях проксирует не только традиционные приложения с HTTP, FTP, но и другие протоколы.

Наиболее защищённой считается структура с двумя МСЭ, отделяющими ресурсы для публичного доступа в т.н. демилитаризованную зону DMZ (DeMilitarized Zone). Организация DMZ позволяет с помощью различий в правилах фильтрации пакетов внешних и внутренних источников достаточно надёжно устранить проникновение злоумышленников из вне во внутреннюю сеть.

На рисунке 2. представлена схема организации DMZ.

Рис. 2. Схема организации DMZ.


 

А также другие работы, которые могут Вас заинтересовать

70770. РАБОТА С СУБД ACCESS 2000. СОЗДАНИЕ ПРОСТЕЙШЕЙ БАЗЫ ДАННЫХ МАЛОГО ПРЕДПРИЯТИЯ 566.5 KB
  Требуется создать БД предприятия, занимающегося мелкооптовыми поставками товара. Специализация МП определяется типом товара. В качестве возможных вариантов специализации предлагаются: продукты питания; бытовая техника; компьютеры и комплектующие; строительные материалы...
70771. Создание запросов. Запрос с параметрами 44.5 KB
  Именно для этого служат запросы. Запрос это временная таблица. Это значит что данные в них не хранятся постоянно а только временно вызываются из таблиц по заранее заданному шаблону в момент активизации запроса.
70772. Исследование нелинейных цепей постоянного тока 293.5 KB
  В одной системе координат построить вольтамперные характеристики нелинейных элементов и результирующие расчётные ВАХ цепи при последовательном параллельном и смешанном соединениях элементов. Результаты измерений Таблица № 1 Снятие ВАХ нелинейных элементов Rn1 и Rn2.
70774. Исследование зеркальной антенны (ЗА) 207.5 KB
  Экспериментально выяснить влияние смещения облучателя ЗА из фокуса параболоидного зеркала антенны на ширину и направление главного лепестка характеристики направленности антенны.
70775. Определение коэффициента вязкости жидкости методом Стокса 170.5 KB
  Цель работы: Изучить явление переноса на примере внутреннего трения; определить динамический и кинематический коэффициент вязкости жидкости. Для явления внутреннего трения справедлив закон Ньютона: градиент скорости динамический коэффициент вязкости...