Смекни!
smekni.com

Свойства брандмауэра (стр. 2 из 3)

При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не могли случайно или умышленно открыть дыру в локальную сеть через эти сервера. Для повышения уровня защищенности возможно использовать в одной сети несколько брандмауэров, стоящих друг за другом.

Администрирование

Легкость администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут образовать дыру, через которую может быть взломана система. Поэтому в большинстве брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют просматривать информацию, сгруппированную по каким либо критериям - например, все что относится к конкретному пользователю или сервису.

Системы сбора статистики и предупреждения об атаке

Еще одним важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.

Аутентификация

Аутентификация является одним из самых важных компонентов брандмауэров. Прежде чем пользователю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого он себя выдает (предполагается, что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы разрешены называется авторизацией. Авторизация обычно рассматривается в контексте аутентификации - как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы). При получении запроса на использование сервиса от имени какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для данного пользователя и передает управление серверу аутентификации. После получения положительного ответа от сервера аутентификации брандмауэр образует запрашиваемое пользователем соединение.

Как правило, используется принцип, получивший название "что он знает" - т.е. пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос.

Одной из схем аутентификации является использование стандартных UNIX паролей. Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом.

Чаще всего используются схемы с использованием одноразовых паролей. Даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить следующий пароль из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы - последние представляют из себя устройства, вставляемые в слот компьютера. Знание секретного слова необходимо пользователю для приведения этого устройства в действие. Ряд брандмауэров поддерживают Kerberos - один из наиболее распространенных методов аутентификации. Некоторые схемы требуют изменения клиентского программного обеспечения - шаг, который далеко не всегда приемлем. Как правило, все коммерческие брандмауэры поддерживают несколько различных схем, позволяя администратору сделать выбор наиболее приемлемой для своих условий

Брандмауэр - firewall - сетевой экран - может помочь ограничить доступ к компьютеру сторонних лиц через Интернет. Брандмауэры бывают двух видов, программные и аппаратные, они помогают обеспечить защиту от злоумышленников, пытающихся получить доступ к компьютеру в локальной сети и сети интернет (хакерские атаки, вирусы, спам и т.д.).

Зачем нужен брандмауэр?

Firewall необходим для контроля входящего и исходящего трафика на компьютере или в локальной сети, позволяет пресекать практически все виды сетевых атак, вырезать рекламу (отключает баннеры, рекламные скрипты, всплывающие окошки и проч.), убирать cookies, не отдавать "чужим" серверам информацию о вашем компьютере, делает бесполезной работу "троянов" и средств удалённого администрирования. Помимо этого брандмауэры помогают избежать участия вашего компьютера в таких атаках на другие компьютеры без вашего ведома. Использование брандмауэра особенно важно при постоянном подключении к Интернету, например через кабельную, DSL - или ADSL-линии.

Аппаратные брандмауэры

Рекомендуется использовать такие брандмауэры, если на компьютере установлена одна из ранних версий Windows. Многие точки беспроводного доступа для домашних сетей уже имеют встроенные брандмауэры наряду с маршрутизаторами. Подключить брандмауэр в сеть так же просто, как подключить к телефону автоответчик. Отсоедините подключение Ethernet между кабельным или DSL-модемом и ПК и подсоедините между ними брандмауэр. (Это подходит для большинства брандмауэров, хотя и не для всех)

Программные брандмауэры

Программные брандмауэры для защиты компьютеров с ранними версиями Windows можно приобрести у ряда поставщиков. Эти же поставщики предлагают брандмауэры, которые можно использовать с Windows XP.

Брандмауэр подключения к Интернету может не взаимодействовать с некоторым сетевым программным обеспечением, установленным на компьютере. В большинстве случаев такую несовместимость можно устранить, скорректировав работу брандмауэра подключения к Интернету или обратившись за советом к поставщику программного обеспечения или услуг Интернета. Иногда проблему можно решить, установив более новую версию программного обеспечения.

Предупреждение: firewall требует четкой настройки, неправильная настройка приведет к некорректной работе программ, использующих сетевой трафик.

Брандмауэр Cisco PIX Firewall

Самый передовой в отрасли брандмауэр (межсетевой защитный экран), работа которого основана на трансляции сетевых адресов, обеспечивает несравненную гибкость при разработке проекта сети.

Брандмауэр PIX (Private Internet Exchange) Firewall фирмы Cisco Systems обеспечивает абсолютную защиту внутренней сети корпорации от несанкционированного доступа из внешнего мира.

Функционирование PIX Firewall основывается на ядре операционной системы, совершенно отличном от UNIX; это ядро ориентировано на работу в реальном масштабе времени и обеспечивает принципиально иной уровень безопасности. Обеспечение безопасности брандмауэром PIX Firewall не усложняет административное управление сетью и не сопряжено с риском, присущим системам брандмауэрной защиты на основе UNIX.

Сетевому администратору предоставляются всесторонние возможности проведения анализа всех транзакций, включая попытки несанкционированного проникновения в сеть корпорации. PIX Firewall обеспечивает контролируемый доступ к Internet. Программное обеспечение брандмауэра отличается возможностью масштабирования и простотой конфигурирования; на настройку типичной конфигурации уходит не больше пяти минут.

Для PIX Firewall характерны высокая производительность, небольшая цена, незначительный объем технического обслуживания. Этот брандмауэр надежно защитит внутреннюю сеть корпорации от несанкционированного доступа.

PIX Firewall обеспечивает безопасный доступ к Internet из частных сетей. PIX Firewall использует схему параметрической (stateful) защиты NAT (Network Address Translation - трансляция сетевых адресов). Эта схема надежным щитом отгораживает внутреннюю корпоративную сеть от Internet, прослеживая такие параметры соединения, как порты источника и порты назначения, адреса, порядковые номера пакетов TCP и дополнительные флаги TCP. Брандмауэр PIX Firewall обеспечивает безопасность доступа пользователей внутренней сети вашей организации к Internet и одновременно защищает вашу внутреннюю сеть от несанкционированного доступа извне.

PIX Firewall также обеспечивает дополнительные преимущества для вашей организации, предоставляя возможность расширения и изменения конфигурации сетей TCP/IP, не беспокоясь, хватит ли для этого IP-адресов. NAT позволяет использовать любые из имеющихся IP-адресов или адреса из резервного пула полномочной организации, выделяющей адреса в Internet (IANA - Internet Assigned Numbers Authority) (в соответствии с RFC 1918).

В брандмауэре имеется плата Cisco PIX Firewall Private Link, которая осуществляет шифрование данных и обеспечивает безопасность связи при соединениях по Internet между несколькими системами PIX Firewall на основе стандарта шифрования данных DES (DES - Data Encryption Standard).

Адаптивная безопасность

Контролируются следующие параметры входящего трафика:

IP-адреса источника и назначения

Номера порта источника и назначения

Протокол

Порядковый номер TCP

Полностью запрещается доступ во внутреннюю сеть из внешней сети