2020-04-12
273
Демилитаризованная зона (ДМЗ) представляет собой изолированную локальную сеть, которая является буфером между внутренней сетью предприятия и внешней сетью. ДМЗ имеет адресное пространство сети отличное от внутренней сети.
Локальная сеть ДМЗ является единственной частью сети предприятия, которую видно во внешней сети, поэтому она называется «грязной» ДМЗ.
ДМЗ ограничивается устройствами защиты периметра - маршрутизаторами периметра и брандмауэрами
Сеть, находящаяся за второй линией защиты невидима во внешней сети и называется «чистой» ДМЗ.
Брандмауэр
Брандмауэр — это сетевое устройство, предназначенное для защиты внутренней сети от вредоносных воздействий из внешней сети.
Брандмауэр для трафика является узким местом, так как весь поток данных, из внутренней сети во внешнюю и обратно, должен проходить через него.
Брандмауэр пропускает трафик, прошедший авторизацию в соответствии с применяемой политикой защиты, и делает внутреннюю сеть невидимой снаружи.
|
|
|
Брандмауэры могут быть организованы несколькими способами.
• Пакетный фильтр. Выполняется проверка каждого пакета на соответствие заданным параметрам с использованием ACL без осуществления контроля сеансов. В рамках возможностей Cisco IOS Firewall эту задачу могут решать маршрутизаторы общего назначения.
• Шлюз прикладного уровня. Выполняется проверка данных прикладного уровня во всех пакетах перед установлением соединения. Пропускаются только разрешенные данные.
• Шлюз канального уровня. Выполняется проверка легальности сеансов TCP и UDP перед открытием соединения. В начале сеанса брандмауэр создает таблицу с допустимыми соединениями для этого сеанса и пропускает только данные, соответствующие параметрам этого сеанса. После завершения сеанса таблица уничтожается, а канал закрывается.
• Прокси-сервер (сервер-посредник). Выполняет защиту внутренней сети с помощью трансляции IP-адресов внутренней сети в IP-адрес своего внешнего интерфейса.
Средства защиты, предоставляемые Cisco IOS Firewall
Брандмауэр можно реализовать, используя возможности Cisco IOS Firewall, которые доступны в программном обеспечении Cisco IOS маршрутизаторов Cisco.
1. СВАС (Context-Based Access Control — список контроля доступа на основе контекста) обеспечивает защиту и контроль доступа к приложениям для всего трафика IP, проходящего через сеть.
2. Проверка заголовков пакетов и запрет обработки подозрительных пакетов на основе указанных параметров. Обеспечивает защиту маршрутизатора от установления полуоткрытых соединений TCP.
|
|
|
3. Контрольные журналы обеспечивают детальное описание соединений с учетом штампов времени, адресов источника и получателя, номеров портов и общего количества переданных байтов.
4. Предупреждение об угрозе в реальном масштабе времени с помощью создания и отправки записей о несанкционированных действиях.
5. Система обнаружения вторжений (IDS – intrusion detection system) является сенсором, проверяющим поток проходящих через маршрутизатор пакетов и сеансов связи, проверяя их на наличие специальных сигнатур IDS.
6. Опосредованная (proxy) аутентификация выполняет аутентификацию с использованием удаленной базы данных через HTTP.
| Возможность | Защита от угроз |
| СВАС | Подтасовка данных, удаленный доступ |
| Проверка заголовков пакетов | Блокирование сервиса |
| Контрольные журналы | Подтасовка данных |
| Предупреждение об угрозе в реальном масштабе времени | Подтасовка данных |
| Система IDS | Все известные |
| Опосредованная (proxy) аутентификация | Несанкционированный доступ |
При настройке средств защиты на граничном маршрутизаторе или брандмауэре важно четко определить направления работы системы защиты. Нельзя оставлять бреши и в то же время необходимо предоставить требуемые сервисы пользователям сети.
Для этого, процесс конфигурации системы защиты должен быть структурирован по направленности действий средств защиты.
Трансляция IP-адресов подробно была рассмотрена в курсе «Применение сетевого оборудования Cisco», поэтому в данном курсе не описывается. Остальные направления рассмотрим далее.
Направления действий системы защиты
1. Контроль сервисов TCP/IP.
2. Контроль изменений маршрутной информации.
3. Контроль доступа.
4. Конфигурация CBAC.
5. Защита от блокирования сервисов.
6. Шифрование на сетевом уровне.
7. Трансляция IP-адресов.
