2015-06-05
990
Фильтрующие маршрутизаторы (пакетные фильтры)
Данные МЭ осуществляют фильтрацию входящих в сеть и исходящих из сети пакетов на основе информации, содержащихся в их TCP и IP заголовках. Как правило, фильтрация осуществляется на основе следующих основных полей:
- IP адреса отправителя;
- IP адреса получателя;
- порта отправителя;
- порта получателя.
Порты отправителя и получателя используются для идентификации сетевой службы, к которой производится обращение, например, FTP (21), TELNET (23) и т.д.
Пример набора правил фильтрации для такого МЭ представлен в таблице 8.1.
Табл. 8.1 Пример правил фильтрации
| Тип | Адрес отправителя | Адрес получателя | Порт отправителя | Порт получателя | Действие |
| TCP | * | 129.1.2.3 | >1023 | Разрешить | |
| TCP | 123.6.49.234 | 123.1.2.9 | >1023 | Разрешить |
Основными достоинствами МЭ данного типа является невысокая их стоимость и скорость фильтрации.
Основные недостатки МЭ данного вида являются:
· несокрытие структуры внутренней сети,
· нестойкая процедура аутентификации по IP адресу, которую можно обмануть путем подмены IP адреса злоумышленником.
|
|
|
Шлюзы сетевого уровня
Использование подобных МЭ позволяет исключить прямое взаимодействие между хостами. Данные шлюзы принимают запросы доверенных клиентов, и после проверки допустимости сеанса связи устанавливают соединение с требуемым хостом. Такой МЭ выполняет роль посредника между соединяемыми хостами, не давая им взаимодействовать напрямую.
Данные МЭ выполняют также функцию трансляции адресов (NAT), скрывая внутреннюю структуру сети от внешних пользователей. Они выполняют преобразование внутренних IP-адресов сети в один «надежный» IP-адрес, ассоциируемый с МЭ. Внешние пользователи открытой сети «видят» только внешний IP-адрес шлюза.
Недостатком шлюзов сетевого уровня является невозможность фильтрации трафика «внутри службы».
Шлюз прикладного уровня
Данные МЭ позволяют не только пропускать либо не пропускать определенные службы, но и осуществлять фильтрацию трафика «внутри» таких служб, как TELNET, FTP, HTTP и т.д. Например, пользователю внутри FTP соединения может быть запрещено использовать команду put. Данные МЭ используют стойкие протоколы аутентификации пользователей, не позволяющие осуществить подмену доверенного источника, позволяют снизить вероятность взлома систем с использованием уязвимостей ПО.
Отметим, что в организации часто возникает потребность в создании в составе корпоративной сети нескольких сегментов с различными уровнями защищенности, например, свободных сегментов, сегментов с ограниченным доступом, закрытых сегментов. В этом случае могут понадобиться различные варианты установки МЭ. Рассмотрим основные схемы расстановки МЭ и реализуемые при этом функции по защите.
|
|
|
В простейших случаях, при необходимости защитить внутреннюю сеть организации от несанкционированного доступа внешних пользователей INTERNET, используют схему, представленную на рис. 8.1, где МЭ используется как фильтрующий маршрутизатор.
Схема, представленная на рис. 8.2, позволяет организовать из видимых снаружи серверов отдельную сеть, с правилами доступа, отличающимися от правил доступа к ПК остальной части интрасети. Возможно ограничение доступа от пользователей INTERNET к серверам организации, пользователей интрасети к серверам организации.
Рис. 8.2. Защита бастиона серверов
На рис. 8.3 представлен еще один вариант подключения МЭ – с выделением демилитаризованной зоны (DMZ). Организация DMZ предназначена для защиты хостов данной зоны от атак из INTERNET, а также от внутренних пользователей организации. В DMZ могут выноситься WEB, FTP SMTP, DNS серверы и пр.
Рис. 8.3. Схема подключения двух МЭ с введением демилитаризованной зоны
