2015-09-07
648
Перший міжмережевий екран встановлюється в точці сполучення Web-портала з мережею Інтернет і виконує фільтрацію пакетів даних, що поступають з мережі Інтернет в сегмент демілітаризованої зони. Фільтрація здійснюється на основі критерій мережевого, транспортного і прикладного рівня стека TCP/IP. Другий міжмережевий екран встановлюється так, щоб через нього проходили всі пакети, якими обмінюються сервери сегменту демілітаризованої зони і сегменту службових серверів. Цей міжмережевий екран виконує фільтрацію тільки на мережевому і транспортному рівнях. Схематично установка міжмережевого екрану в комунікаційному сегменті Web-портала показана на рис. 3.
Рис. 3. Схема установки міжмережевих екранів в Web-порталі
Другий міжмережевий екран дублює функції захисту на той випадок, якщо порушник зможе зламати зовнішній екран. Треба сказати, що потенційна уразливість атакам зовнішнього міжмережевого екрану обумовлена тим, що він виконує складну фільтрацію пакетів даних на прикладному рівні за допомогою програмних модулів, які можуть містити помилки. Прикладом тут можуть служити помилки, недавно виявлені в модулях міжмережевого екрану “CheckPoint FW-1”, що містять уразливість типу “переповнювання буфера” (http://www.us-cert.gov/cas/techalerts/TA04-036A.html). Використовуючи цю уразливість, порушники могли отримати повний контроль над міжмережевим екраном і використовувати його для розвитку атаки на сервера Web-портала. Проте з урахуванням того, що внутрішній міжмережевий екран виконує лише базову фільтрацію на мережевому і транспортному рівні, він не може бути уразливий відносно тих атак, які використовують уразливості модулів, зайнятих обробкою пакетів даних на прикладному рівні.
|
|
|
Зовнішній міжмережевий екран також виконує захист від атак типу “відмова в обслуговуванні” (denial of service), які реалізуються шляхом формування великого числа запитів на встановлення мережевих з'єднань з публічними Web-серверами. В результаті проведення атаки Web-сервери не справляються з обробкою всіх запитів, що приводить до виходу з ладу всього Web-портала. Захист від такого роду атак забезпечується шляхом обмеження максимальної кількості вхідних TCP-з’єднань, які можуть бути встановлені з однієї IP-адреси. В цьому випадку міжмережевий екран блокуватиме всі спроби встановити мережеві з'єднання, кількість яких перевищує задане обмеження, забезпечуючи тим самим захист Web-серверів від перевантаження їх обчислювальних ресурсів.
Розмежування доступу на прикладному рівні реалізується засобами прикладного програмного забезпечення, встановленого на серверах Web-порталу. Це ПО повинно забезпечувати ідентифікацію і аутентифікацію адміністратора і деяких користувачів порталу і призначати їм відповідні права доступу до файлових ресурсів. Аутентифікація може забезпечуватися на основі паролів або цифрових сертифікатів.
