Автор работы: Пользователь скрыл имя, 15 Апреля 2014 в 18:02, реферат
Межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Определение типов межсетевых экранов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Разработка конфигурации межсетевого экрана. . . . . . . . . . . . . . . . . . . . . . . . . . 9
Заключение .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
На базе этой политики можно построить правила политики для различных архитектур.
Архитектура 1: системы за пределами межсетевого экрана, доступные из интернета
На рис. 3 показано размещение доступных из интернета систем между сетевым экраном и внешним маршрутизатором. В таблице 1 приведены правила межсетевого экрана.
Рис. 3. Системы за пределами межсетевого экрана, доступные из Интернета.
На маршрутизаторе может быть установлена фильтрация, позволяющая только внешним данным HTTP поступать на веб-сервер и передавать на почтовый сервер только поступающие извне данные SMTP. Как видно из приведенных правил, независимо от того, какой тип межсетевого экрана используется, веб-сервер и почтовый сервер не защищены межсетевым экраном. В данном случае межсетевой экран лишь защищает внутреннюю сеть организации.
Таблица 1. Правила межсетевого экрана для расположенных за пределами межсетевого экрана систем, доступных из интернета
Номер |
Исходный IP |
Конечный IP |
Служба |
Действие |
1 |
Внутренний почтовый сервер |
Почтовый сервер |
SMTP |
Принятие |
2 |
Внутренняя сеть |
Почтовый сервер |
Любой HTTP, HTTPS, FTP, telnet, SSH |
Принятие |
3 |
Внутренняя DNS |
Любой |
DNS |
Принятие |
4 |
Любой |
Любой |
Любая |
Сброс |
Архитектура 2: один межсетевой экран
Вторая стандартная архитектура показана на рис. 4. В данной архитектуре используется один межсетевой экран для защиты как внутренней сети, так и любых других систем, доступных из интернета. Эти системы располагаются в отдельной сети.
Рис. 4. Один межсетевой экран
Таблица 2. Правила межсетевого экрана для архитектуры с одним межсетевым экраном
Номер |
Исходный IP |
Конечный IP |
Служба |
Действие |
1 |
Любой |
Веб-сервер |
HTTP |
Принятие |
2 |
Любой |
Почтовый сервер |
SMTP |
Принятие |
3 |
Почтовый сервер |
Любой |
SMTP |
Принятие |
4 |
Внутренняя сеть |
Любой |
HTTP, HTTPS, FTP, telnet, SSH |
Принятие |
5 |
Внутренняя DNS |
Любой |
DNS |
Принятие |
6 |
Любой |
Любой |
Любая |
Сброс |
Как видно из таблицы 2, правила практически аналогичны правилам архитектуры 1. Межсетевой экран дополняет правила, которые использовались в маршрутизаторе в предыдущей архитектуре. Также мы видим, что не существует явного правила, позволяющего внутреннему почтовому серверу подключаться к почтовому серверу в отдельной сети. Причиной этому является правило 2, позволяющее любой системе (внутренней или внешней) подключаться к упомянутой системе.
Архитектура 3: двойные межсетевые экраны
Третья архитектура, о которой пойдет речь, использует двойные межсетевые экраны (см. рис. 5). Доступные из интернета системы располагаются между межсетевыми экранами, а внутренняя сеть расположена за вторым межсетевым экраном. В таблице 3 приведены правила для межсетевого экрана 1.
Рис. 10.5. Архитектура 3: двойные межсетевые экраны
Как видно из таблицы 3, правила в данном случае аналогичны правилам межсетевого экрана в архитектуре 2. Но еще имеется и второй межсетевой экран. Правила для межсетевого экрана 2 приведены в табл. 4.
Таблица 3. Правила межсетевого экрана 1 в архитектуре с двумя межсетевыми экранами
Номер |
Исходный IP |
Конечный IP |
Служба |
Действие | ||||
1 |
Любой |
Веб-сервер |
HTTP |
Принятие | ||||
2 |
Любой |
Почтовый сервер |
SMTP |
Принятие | ||||
3 |
Почтовый сервер |
Любой |
SMTP |
Принятие | ||||
4 |
Внутренняя сеть |
Любой |
HTTP, HTTPS, FTP, telnet, SSH |
Принятие | ||||
5 |
Внутренняя DNS |
Любой |
DNS |
Принятие | ||||
6 |
Любой |
Любой |
Любая |
Сброс | ||||
Таблица 4. Правила межсетевого экрана 2 в архитектуре с двойным межсетевым экраном | ||||||||
Номер |
Исходный IP |
Конечный IP |
Служба |
Действие | ||||
1 |
Внутренний почтовый сервер |
Почтовый сервер |
SMTP |
Принятие | ||||
2 |
Внутренняя сеть |
Любой |
HTTP, HTTPS, FTP, telnet, SSH |
Принятие | ||||
3 |
Внутренняя DNS |
Любой |
DNS |
Принятие | ||||
4 |
Любой |
Любой |
Любая |
Сброс |
Заключение
Качественно созданный набор правил не менее важен, чем аппаратная платформа. Большая часть межсетевых экранов работает по принципу "первого соответствия" при принятии решения о передаче или отклонении пакета. При построении набора правил согласно алгоритму "первого соответствия" наиболее специфичные правила располагаются в верхней части набора правил, а наименее специфичные (т.е. более общие) - в нижней части набора. Такое размещение правил гарантирует, что общие правила не перекрывают собой более специфичные.
Примечание
Некоторые межсетевые экраны содержат обработчик набора правил, проверяющий набор на наличие правил, перекрываемых другими правилами. Обработчик информирует об этой ситуации администратора межсетевого экрана перед установкой правил на межсетевой экран.
Данный подход хорош в общем плане, однако он не решает проблему производительности межсетевого экрана. Чем больше правил необходимо проверять для каждого пакета, тем больше вычислений должен производить межсетевой экран. При разработке качественного набора правил следует принимать в расчет это обстоятельства, т. к. от него зависит уровень эффективности работы межсетевого экрана.
Для повышения эффективности работы экрана следует оценить ожидаемую нагрузку трафика на межсетевой экран и упорядочить трафик по типам. Как правило, наибольший объем занимает трафик HTTP. Для повышения эффективности межсетевого экрана следует разместить правила, относящиеся к HTTP, вверху набора правил. Это означает, что правило, позволяющее внутренним системам использовать HTTP для подключения к любой системе в интернете, и правило, разрешающее внешним пользователям осуществлять доступ к веб-сайту организации, должны быть расположены очень близко к верхней границе набора правил. Единственными правилами, которые должны находиться выше двух упомянутых правил, являются специфичные правила отказа в доступе, относящиеся к протоколу HTTP.