Анализ средств обеспечения безопасности компьютерной сети

Т Средств для обеспечения безопасности компьютерной сети существует множество, они могут быть выполнены как в виде устройств (аппаратные средства), так и в форме программных продуктов.

Были выделены следующие цели для защиты предприятия: 1) аутентификация пользователей, 2) разграничение доступа, 4) защита инф. ресурсов ПК. Для защиты локальной сети: 5) разграничение доступа, 6) Защита межсетевого взаимодействия.

Аппаратные Средства

Межсетевые экраны (firewall, брандмауэр) делают возможной фильтрацию входящего и исходящего трафика, идущего через систему. Межсетевой экран использует один или более наборов «правил» для проверки сетевых пакетов при их входе или выходе через сетевое соединение, он или позволяет прохождение трафика или блокирует его. Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая но, не ограничиваясь типом протокола, адресом хоста источника или назначения и портом источника или назначения.

Межсетевые экраны могут серьезно повысить уровень безопасности хоста или сети. Они могут быть использованы для выполнения одной или более нижеперечисленных задач:

• -для защиты и изоляции приложений
• -сервисов и машин во внутренней сети от ненужного трафика, приходящего из внешней сети Интернета. Для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети Интернет; для поддержки преобразования сетевых адресов (network address translation, NAT), что позволяет использование во внутренней сети приватных IP адресов (либо через один выделенный IP адрес, либо через адрес из пула автоматически присваиваемых публичных адресов). Брандмауэр может защитить ИС на трех уровнях: сетевом (контроль адресов), транспортном («машины состояний» основных протоколов) или прикладном (прокси — системы). Он обеспечивает трансляцию адресов по алгоритмам NAT, скрывая внутренние IP-адреса в пакетах, отправляемых в Интернет. Сервис NAT поддерживает два режима трансляции: статический и динамический. При статической трансляции адреса пакетов заменяются в соответствии с задаваемыми правилами. Администратор может создать таблицу трансляции адресов на основе адресов источника, назначения и сервиса (задаваемого, например, номером TCP/UDP порта). При динамической трансляции внутренние адреса автоматически заменяются одним адресом, имеющим глобальное значение в Интернете. Функции NAT позволяют скрыть значения внутренних адресов сети или использовать в качестве внутренних частные адреса, к которым маршрутизация из Интернета не поддерживается, что во многих случаях надежно защищает корпоративную сеть от внешних атак. Не следует переоценивать показатели пропускной способности. В реальных условиях они могут сильно отличаться от того, что сообщают производители.

На нее влияют число заданных правил, объем и тип трафика. Например, большинство межсетевых экранов надежно обрабатывают большие пакеты, но при множестве сеансов с короткими пакетами могут вести себя нестабильно. Следует помнить о том. что межсетевой экран — всегда узкое место в сети. Если ориентироваться. только на скорость, то лучше просто купить маршрутизатор. Правила работы брандмауэра придется уточнять после каждой атаки и инсталляции нового приложения. Растущий бизнес может потребовать пересмотра политики безопасности, и нужен пользовательский интерфейс, который позволит легко это сделать.

— Качество работы брандмауэра непосредственно зависит от того, какие инструкции задаст администратор. Даже самая передовая и совершенная технология будет бессильна, если его конфигурация подобна ситу. Эффективность брандмауэров по-прежнему существенно зависит от правил и политики защиты.