Обеспечение информационной безопасности в сетях ip


Download 331.73 Kb.
bet43/56
Sana14.12.2022
Hajmi331.73 Kb.
#1003978
TuriЗакон
1   ...   39   40   41   42   43   44   45   46   ...   56
Bog'liq
Грузинский Технический Университет

Фильтрация пакетов

Основана на аутентифицированных заголовках, адресах отправителя и получателя, и т.п. Простая и дешёвая. Подходит для роутеров.

Основана на содержимом и семантике высокого уровня. Более интеллектуальная и более сложная.

Производительность

Меньшее число переключений контекста и перемещения данных.

Большее число переключений контекста и перемещения данных. Большие блоки данных могут ускорить криптографические операции и обеспечить лучшее сжатие.

Платформы

Любые системы, включая роутеры

В основном, конечные системы (клиенты/серверы), также firewalls.

Firewall/VPN

Весь трафик защищён.

Защищён только трафик уровня приложений. ICMP, RSVP, QoS и т.п. могут быть незащищены.

Прозрачность

Для пользователей и приложений.

Только для пользователей.

Текущий статус

Появляющийся стандарт.

Широко используется WWW браузерами, также используется некоторыми другими продуктами.

Табл. 2. Классификация типовых удаленных атак на распределенные ВС
7.3 FireWall
Интернет-технологии FireWall (Межсетевые экраны)
Обзор
Когда Вы соединяете Вашу сеть с Internet или с другой сетью, фактор обеспечения безопасности доступа в Вашу сеть имеет критическое значение.
Наиболее эффективный способ защиты при связи с Internet предполагает размещение межсетевого экрана FireWall между Вашей локальной сетью и Internet. Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные.
Существует три основных типа межсетевых экранов - пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов.
Как правило, МСЭ совмещает в себе функции двух или трех типов.
Как уже отмечалось, для того, чтобы эффективно обеспечивать безопасность сети, firewall обязан отслеживать и управлять всем потоком, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений), firewall должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.
Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений - главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).
Итак, управляющие решения требуют, чтобы firewall имел доступ, возможность анализа и использования следующих вещей:

  1. Информация о соединениях - информация от всех семи уровней в пакете.

  2. История соединений - информация, полученная от предыдущих соединений. Например, исходящая команда PORT сессии FTP должна быть сохранена для того, чтобы в дальнейшем с его помощью можно было проверить входящее соединение FTP data.

  3. Состояния уровня приложения - информация о состоянии, полученная из других приложений. Например, аутентифицированному до настоящего момента пользователю можно предоставить доступ через firewall только для авторизованных видов сервиса.

  4. Манипулирование информацией - вычисление разнообразных выражений, основанных на всех вышеперечисленных факторах.


Download 331.73 Kb.

Do'stlaringiz bilan baham:
1   ...   39   40   41   42   43   44   45   46   ...   56



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling