2020-01-15
92
Проблема міжсіткового екранування формулюється в такий спосіб. Нехай маємо дві інформаційні системи чи дві безлічі інформаційних систем. Екран (firewall) – це засіб розмежування доступу клієнтів з однієї безлічі систем до інформації, що зберігається на серверах в іншій безлічі.
Малюнок 1
Малюнок 1.Екран FireWall.
Екран виконує свої функції, контролюючи всі інформаційні потоки між цими двома безлічами інформаційних систем, працюючи як деяка “інформаційна мембрана”. У цьому змісті екран можна уявляти собі як набір фільтрів, що аналізують проходячу через них інформацію і, на основі закладених у нього алгоритмів, приймає рішення: чи пропустити цю інформацію чи відмовити в її пересиланні. Крім того, така система може виконувати реєстрацію подій, зв'язаних із процесами розмежування доступу. Зокрема, фіксувати всі “незаконні” спроби доступу до інформації і, додатково, сигналізувати про ситуації, що вимагають негайної реакції, тобто здіймати тривогу.
Звичайно екранують системи роблять несиметричними. Для екранів визначаються поняття “усередині” і “зовні”, і завдання екрана полягає в захисті внутрішньої мережі від “потенційно ворожого” оточення. Найважливішим прикладом потенційно ворожої зовнішньої мережі є Internet.
|
|
|
Розглянемо більш докладно, які проблеми виникають при побудові систем, що екранують. При цьому ми будемо розглядати не тільки проблему безпечного підключення до Internet, але і розмежування доступу усередині корпоративної мережі організації.
По-перше, очевидна вимога до таких систем, це забезпечення безпеки внутрішньої (що захищаються) мережі і повний контроль над зовнішніми підключеннями і сеансами зв'язку.
По-друге, екрануюча система повинна мати могутні і гнучкі засоби керування для простого і повного втілення в життя політики безпеки організації і, крім того, забезпечення простої реконфігурації системи при зміні структури мережі.
По-третє, екрануюча система повинна працювати непомітно для користувачів локальної мережі і не утрудняти виконання ними легальних дій.
По-четверте, екрануюча система повинна працювати досить ефективно і встигати обробляти весь вхідний і вихідний трафік у “пікових” режимах. Це необхідно для того, щоб firewall не можна було, образно говорячи, “закидати” великою кількістю викликів, що привели б до порушення її роботи.
По-п'яте. Система забезпечення безпеки повинна бути сама надійно захищена від будь-яких несанкціонованих впливів, оскільки вона є ключем до конфіденційної інформації в організації.
По-шосте. В ідеалі, якщо в організації є кілька зовнішніх підключень, у тому числі й у віддалених філіях, система керування екранами повинна мати можливість централізовано забезпечувати для них проведення єдиної політики безпеки.
|
|
|
По-сьоме. Система Firewall повинна мати засіб авторизації доступу користувачів через зовнішні підключення. Типової є ситуація, коли частина персоналу організації повинна виїжджати, наприклад, у відрядження, і в процесі роботи їм, тим немение, потрібно доступ, принаймні, до деяких ресурсів внутрішньої комп'ютерної мережі організації. Система повинна вміти надійно розпізнавати таких користувачів і надавати їм необхідний доступ до інформації.
