Назначение межсетевых экранов

В настоящее время вопросам безопасности данных в распределенных компьютерных системах уделяется значительное внимание. Разработан ряд средств для обеспечения информационной безопасности, предназначенных для использования на различных компьютерах с разными операционными системами (ОС). В качестве одного из направлений можно выделить межсетевые экраны (firewalls), предназначенные контролировать доступ к информации со стороны пользователей внешних сетей.

Сформулируем проблему межсетевого экранирования. Пусть существуют две информационные системы или два множества информационных систем (компьютерных сетей). Экран тогда будет средством разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве. Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем, работая как своеобразная "информационная мембрана" (рис.10.5). В этом смысле экран можно представлять себе как набор фильтров, анализирующих информацию, которая через них проходит, и, на основе заложенных в него алгоритмов, принимает решение: пропустить эту информацию, отказать в ее пересылке.

Схема использования межсетевого экрана

Рис.10.5. Схема использования межсетевого экрана

Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа. В частности, фиксировать все "сомнительные" попытки доступа к информации и дополнительно сигнализировать о ситуации, требующие немедленной реакции администратора.

Конечно системы для экранирования делают несимметричными. Для экранов определяются понятия "внутри" и "снаружи", и задача экрана состоит в защите внутренней сети от "потенциально враждебного" окружения. Самым ярким примером потенциально враждебной внешней сети является Интернет.

Рассмотрим более подробно, какие проблемы возникают при построении экранирующих. При этом мы будем рассматривать не только проблему безопасного подключения к сети Интернет, но и разграничение доступа внутри корпоративной сети организации:

1. обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;

2. экранирующая система должна иметь мощные и гибкие средства управления для простого и полного воплощения в жизнь политики безопасности организации и, кроме того, обеспечение простой реконфигурации системы при изменении структуры сети;

3. экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий;

4. экранирующая система должна работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в "пиковых" режимах. Это необходимо для того, чтобы экран нельзя было, образно говоря, "забросать" большим количеством вызовов, которые привели бы к нарушению ее работы;

5. система должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации;

6. оптимально, если в организации есть несколько внешних подключений, в том числе и в удаленных филиалах, с централизованным обеспечением проведения единой политики безопасности;

7. система межсетевого экранирования должна иметь средство авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда части персонала в процессе работы требуется удаленный доступ к некоторым ресурсам внутренней компьютерной сети организации (например, в командировке).

Классическим примером, в котором соблюдены приведенные выше принципы, является программный комплекс Solstice FireWall компании Sun Microsystems. Данный пакет неоднократно отмечался наградами на выставках и конкурсах. Он имеет много полезных особенностей, выгодно выделяют его среди продуктов аналогичного назначения.

 
< Пред   СОДЕРЖАНИЕ   След >