8784

Меж сетевой экран (МСЭ) или firewall

Доклад

Информатика, кибернетика и программирование

МСЭ Другим популярным методом защиты сетей является использование МежСетевого Экрана (МСЭ) илиfirewall. МСЭ или брандмауэр (перевод на немецкий язык англ. Firewall) осуществляет фильтрацию IP пакетов для защиты внутренней информационной среды ...

Русский

2013-02-17

59 KB

5 чел.

МСЭ

Другим популярным методом защиты сетей является использование МежСетевого Экрана (МСЭ) или firewall.

МСЭ или брандмауэр (перевод на немецкий язык англ. Firewall) осуществляет фильтрацию IP пакетов для защиты внутренней информационной среды (Intranet) от несанкционированных действий со стороны внешней среды (Extranet/Internet).

Расположение firewall иллюстрирует рисунок 1.

Рис. 1. Место МСЭ.

По степени глубины анализа содержимого пакетов МСЭ принято делить на несколько типов.

Простой пакетный фильтр (packet filter) обычно размещается на шлюзе (маршрутизаторе) и работает совместно с NAT разрешая, запрещая или отвечая на пакеты согласно устанавливаемым правилам (цепочкам) в зависимости от направления следования пакетов (OUT/IN), IP адресов, портов и протоколов. Каждый пакет в таких МСЭ рассматривается независимо от предыдущих. МСЭ этого типа могут защитить от некоторых атак типа DoS (ping-of-death, SYN-flood и др.).

МСЭ с контролем соединения (virtual circuit control) чаще всего выполнен в виде отдельного устройства и устанавливает правила пропуска или уничтожения пакетов в зависимости от текущего «виртуального» соединения, т.е. учитываются предыдущие пакеты. Виртуальность понимается в том смысле, что некоторые протоколы (например, UDP) не устанавливают соединения в традиционном смысле.

МСЭ с контролем приложения (application layer gateway) практически не отличается от сервиса proxy и в продвинутых моделях проксирует не только традиционные приложения с HTTP, FTP, но и другие протоколы.

Наиболее защищённой считается структура с двумя МСЭ, отделяющими ресурсы для публичного доступа в т.н. демилитаризованную зону DMZ (DeMilitarized Zone). Организация DMZ позволяет с помощью различий в правилах фильтрации пакетов внешних и внутренних источников достаточно надёжно устранить проникновение злоумышленников из вне во внутреннюю сеть.

На рисунке 2. представлена схема организации DMZ.

Рис. 2. Схема организации DMZ.