Схемы подключения мэ с несколькими сетевыми интерфейсами. Схемы подключения мэ

1.2 Основные схемы подключения МЭ

При подключении корпоративной сети к глобальным сетям необходимо разграничить доступ в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть, а также обеспечить защиту подключаемой сети от удаленного НСД со стороны глобальной сети. При этом организация заинтересована в сокрытии информации о структуре своей сети и ее компонентов от пользователей глобальной сети. Работа с удаленными пользователями требует установления жестких ограничений доступа к информационным ресурсам защищаемой сети.

Часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями защищенности:

· свободно доступные сегменты (например, рекламный WWW-сервер);

· сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов);

· закрытые сегменты (например, финансовая локальная подсеть организации).

Для подключения МЭ могут использоваться различные схемы, которые зависят от условий функционирования защищаемой сети, а также от количества сетевых интерфейсов и других характеристик, используемых МЭ. Широкое распространение получили схемы:

· защиты сети с использованием экранирующего маршрутизатора;
единой защиты локальной сети;

· единой защиты локальной сети;

· с защищаемой закрытой и не защищаемой открытой подсетями;

· с раздельной защитой закрытой и открытой подсетей.

Рассмотрим подробнее схему с защищаемой закрытой и незащищаемой открытой подсетями. Если в составе локальной сети имеются общедоступные открытые серверы, то их целесообразно вынести как открытую подсеть до МЭ (рисунок 1).

Этот способ обладает высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до МЭ.

Некоторые МЭ позволяют разместить эти серверы на себе. Однако такое решение не является лучшим с точки зрения безопасности самого МЭ и загрузки компьютера. Схему подключения МЭ с защищаемой закрытой подсетью и не защищаемой открытой подсетью целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети.

Если же к безопасности открытых серверов предъявляются повышенные требования, тогда необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.

Глобальная международная компьютерная сеть Интернет

Основу Интернет составляют каналы большой пропускной способности - backbones, связывающие крупные узлы сети. Существует два основных способа подключения пользователя к сети Интернет: ? постоянное подключение по выделенной линии...

Использование SQL в прикладном программировании

Попав на сайт, пользователь может зарегистрироваться или авторизоваться. Если пользователь попытается подписаться на рассылку без авторизации, то всплывет модальное окно с приглашением войти на сайт...

Исследование организации сети доступа малого предприятия к сети Интернет

Автоматизированное рабочее место (АРМ) можно подключить к глобальной сети различными способами: Подключение второго компьютера к Интернет через роутер Если в офисе имеется стационарный компьютер и был приобретен второй стационарный...

Типичная схема подключения кварцевого резонатора от 3 до 20 МГц к микроконтроллеру AT91SAM7SE приведена на рис. 4. Рис. 4...

Комбинированное звуковое USB-устройство с функциями автономного MP3-плеера и поддержкой Bluetooth

Комбинированное звуковое USB-устройство с функциями автономного MP3-плеера и поддержкой Bluetooth

Питание для F2M03MLA должно выбираться тщательно и может повлиять на уменьшение производительности модуля или даже повредить его. Производитель рекомендует использовать регулятор напряжения XC6209B332MR фирмы Torex...

Основные схемы сетевой защиты на базе межсетевых экранов

При подключении корпоративной или локальной сети к глобальным сетям необходимы: · защита корпоративной или локальной сети от удаленного НСД со стороны глобальной сети; · сокрытие информации о структуре сети и ее компонентов от пользователей...

Проектирование комбинационных схем

Комбинационной схемой (КС) называется схема из логических (переключательных) элементов, реализующая булеву функцию или совокупность булевых функций. В общем случае КС можно представить схемой, приведенной на рис. 1, где х1, х2,....хn -- входы КС, f1, f2,....

Проектирование микропроцессорной системы управления

На рисунке 2.10 приведена схема подключения динамика BA1 для звуковой сигнализации. Транзистор VT1 усиливает по току выходной сигнал с линии RC0 порта. Рисунок 2.10 - Схема подключения аварийного датчика На рисунке 2...

Разработка и реализация вычислительного устройства в программе "Minecraft"

Логические элементы (в майнкрафте они почему-то называются гейты или вентили) являются основой всех механизмов. Элемент NOT (инвертор) возвращает сигнал, противоположный полученному. Это реализация логического НЕ. Рис. 4. Инвертор...

Разработка контроллера для манипулятора-указателя трекбола

Сложность питания оптопары заключается в том, что от +5V нужно питать фотодиод, на который подается +2,5V. Следовательно, нужно добавить два резистора (R4 и R5), чтобы получить делитель напряжения, на них было нужное нам падение напряжения. Рис...

Связь с помощью сетей телекоммуникации

Спутниковый канал. Достаточно высокая скорость работы, мобильность. Для такого подключения необходимо дорогостоящее оборудование и сложная настройка, высокая цена аренды канала, зависимость от погодных условий...

Системы управления базой данных на предприятии

В отделе ПО установлены машины класса Pentium IV с процессорами Intel Pentium 2.6 и Intel Celeron 1.7 Такие компьютеры используются для сложных вычислений, написания программ, обработки информации. Периферийные устройства состоят из плоттера, лазерного принтера...

Техническое обслуживание многофункциональных устройств

Подключение МФУ к сети изображено на рисунке 3 Рисунок 3 - Подключение МФУ к сети Если подключение осуществляется без сети, то подключение производится без маршрутизатора. Это используется...

Удаленное управление компьютером с мобильного устройства

Перед запуском пульта необходимо убедиться, что присутствует доступ в сеть(WiFi или GRPS, в зависимости от личных предпочтений). При запуске приложения вы увидите следующий экран (Рисунок 4.5): Размещено на http://www.allbest.ru/ Размещено на http://www.allbest...

Содержание:

Каждая электрическая схема состоит из множества элементов, которые, в свою очередь, также включают в свою конструкцию различные детали. Наиболее ярким примером служат бытовые приборы. Даже обычный утюг состоит из нагревательного элемента, температурного регулятора, контрольной лампочки, предохранителя, провода и штепсельной вилки. Другие электроприборы имеют еще более сложную конструкцию, дополненную различными реле, автоматическими выключателями, электродвигателями, трансформаторами и многими другими деталями. Между ними создается электрическое соединение, обеспечивающее полное взаимодействие всех элементов и выполнение каждым устройством своего предназначения.

В связи с этим очень часто возникает вопрос, как научится читать электрические схемы, где все составляющие отображаются в виде условных графических обозначений. Данная проблема имеет большое значение для тех, кто регулярно сталкивается с электромонтажом. Правильное чтение схем дает возможность понять, каким образом элементы взаимодействуют между собой и как протекают все рабочие процессы.

Виды электрических схем

Для того чтобы правильно пользоваться электрическими схемами, нужно заранее ознакомиться с основными понятиями и определениями, затрагивающими эту область.

Любая схема выполняется в виде графического изображения или чертежа, на котором вместе с оборудованием отображаются все связующие звенья электрической цепи. Существуют различные виды электрических схем, различающиеся по своему целевому назначению. В их перечень входят первичные и вторичные цепи, системы сигнализации, защиты, управления и прочие. Кроме того, существуют и широко используются принципиальные и , полнолинейные и развернутые. Каждая из них имеет свои специфические особенности.

К первичным относятся цепи, по которым подаются основные технологические напряжения непосредственно от источников к потребителям или приемникам электроэнергии. Первичные цепи вырабатывают, преобразовывают, передают и распределяют электрическую энергию. Они состоят из главной схемы и цепей, обеспечивающих собственные нужды. Цепи главной схемы вырабатывают, преобразуют и распределяют основной поток электроэнергии. Цепи для собственных нужд обеспечивают работу основного электрического оборудования. Через них напряжение поступает на электродвигатели установок, в систему освещения и на другие участки.

Вторичными считаются те цепи, в которых подаваемое напряжение не превышает 1 киловатта. Они обеспечивают выполнение функций автоматики, управления, защиты, диспетчерской службы. Через вторичные цепи осуществляется контроль, измерения и учет электроэнергии. Знание этих свойств поможет научиться читать электрические схемы.

Полнолинейные схемы используются в трехфазных цепях. Они отображают электрооборудование, подключенное ко всем трем фазам. На однолинейных схемах показывается оборудование, размещенное лишь на одной средней фазе. Данное отличие обязательно указывается на схеме.

На принципиальных схемах не указываются второстепенные элементы, которые не выполняют основных функций. За счет этого изображение становится проще, позволяя лучше понять принцип действия всего оборудования. Монтажные схемы, наоборот, выполняются более подробно, поскольку они применяются для практической установки всех элементов электрической сети. К ним относятся однолинейные схемы, отображаемые непосредственно на строительном плане объекта, а также схемы кабельных трасс вместе с трансформаторными подстанциями и распределительными пунктами, нанесенными на упрощенный генеральный план.

В процессе монтажа и наладки широкое распространение получили развернутые схемы с вторичными цепями. На них выделяются дополнительные функциональные подгруппы цепей, связанных с включением и выключением, индивидуальной защитой какого-либо участка и другие.

Обозначения в электрических схемах

В каждой электрической цепи имеются устройства, элементы и детали, которые все вместе образуют путь для электрического тока. Они отличаются наличием электромагнитных процессов, связанных с электродвижущей силой, током и напряжением, и описанных в физических законах.

В электрических цепях все составные части можно условно разделить на несколько групп:

  1. В первую группу входят устройства, вырабатывающие электроэнергию или источники питания.
  2. Вторая группа элементов преобразует электричество в другие виды энергии. Они выполняют функцию приемников или потребителей.
  3. Составляющие третьей группы обеспечивают передачу электричества от одних элементов к другим, то есть, от источника питания - к электроприемникам. Сюда же входят трансформаторы, стабилизаторы и другие устройства, обеспечивающие необходимое качество и уровень напряжения.

Каждому устройству, элементу или детали соответствует условное обозначение, применяющееся в графических изображениях электрических цепей, называемых электрическими схемами. Кроме основных обозначений, в них отображаются линии электропередачи, соединяющие все эти элементы. Участки цепи, вдоль которых протекают одни и те же токи, называются ветвями. Места их соединений представляют собой узлы, обозначаемые на электрических схемах в виде точек. Существуют замкнутые пути движения тока, охватывающие сразу несколько ветвей и называемые контурами электрических цепей. Самая простая схема электрической цепи является одноконтурной, а сложные цепи состоят из нескольких контуров.

Большинство цепей состоят из различных электротехнических устройств, отличающихся различными режимами работы, в зависимости от значения тока и напряжения. В режиме холостого хода ток в цепи вообще отсутствует. Иногда такие ситуации возникают при разрыве соединений. В номинальном режиме все элементы работают с тем током, напряжением и мощностью, которые указаны в паспорте устройства.

Все составные части и условные обозначения элементов электрической цепи отображаются графически. На рисунках видно, что каждому элементу или прибору соответствует свой условный значок. Например, электрические машины могут изображаться упрощенным или развернутым способом. В зависимости от этого строятся и условные графические схемы. Для показа выводов обмоток используются однолинейные и многолинейные изображения. Количество линий зависит от количества выводов, которые будут разными у различных типов машин. В некоторых случаях для удобства чтения схем могут использоваться смешанные изображения, когда обмотка статора показывается в развернутом виде, а обмотка ротора - в упрощенном. Таким же образом выполняются и другие .

Также осуществляются упрощенным и развернутым, однолинейным и многолинейным способами. От этого зависит способ отображения самих устройств, их выводов, соединений обмоток и других составных элементов. Например, в трансформаторах тока для изображения первичной обмотки применяется утолщенная линия, выделенная точками. Для вторичной обмотки может использоваться окружность при упрощенном способе или две полуокружности при развернутом способе изображения.

Графические изображения других элементов:

  • Контакты. Применяются в коммутационных устройствах и контактных соединениях, преимущественно в выключателях, контакторах и реле. Они разделяются на замыкающие, размыкающие и переключающие, каждому из которых соответствует свой графический рисунок. В случае необходимости допускается изображение контактов в зеркально-перевернутом виде. Основание подвижной части отмечается специальной незаштрихованной точкой.
  • . Могут быть однополюсными и многополюсными. Основание подвижного контакта отмечается точкой. У автоматических выключателей на изображении указывается тип расцепителя. Выключатели различаются по типу воздействия, они могут быть кнопочными или путевыми, с размыкающими и замыкающими контактами.
  • Плавкие предохранители, резисторы, конденсаторы. Каждому из них соответствуют определенные значки. Плавкие предохранители изображаются в виде прямоугольника с отводами. У постоянных резисторов значок может быть с отводами или без отводов. Подвижный контакт переменного резистора обозначается в виде стрелки. На рисунках конденсаторов отображается постоянная и переменная емкость. Существуют отдельные изображения для полярных и неполярных электролитических конденсаторов.
  • Полупроводниковые приборы. Простейшими из них являются диоды с р-п-переходом и односторонней проводимостью. Поэтому они изображаются в виде треугольника и пересекающей его линии электрической связи. Треугольник является анодом, а черточка - катодом. Для других видов полупроводников существуют собственные обозначения, определяемые стандартом. Знание этих графических рисунков существенно облегчает чтение электрических схем для чайников.
  • Источники света. Имеются практически на всех электрических схемах. В зависимости от назначения, они отображаются как осветительные и сигнальные лампы с помощью соответствующих значков. При изображении сигнальных ламп возможна заштриховка определенного сектора, соответствующего невысокой мощности и небольшому световому потоку. В системах сигнализации вместе с лампочками применяются акустические устройства - электросирены, электрозвонки, электрогудки и другие аналогичные приборы.

Как правильно читать электрические схемы

Принципиальная схема представляет собой графическое изображение всех элементов, частей и компонентов, между которыми выполнено электронное соединение с помощью токоведущих проводников. Она является основой разработок любых электронных устройств и электрических цепей. Поэтому каждый начинающий электрик должен в первую очередь овладеть способностями чтения разнообразных принципиальных схем.

Именно правильное чтение электрических схем для новичков, позволяет хорошо усвоить, каким образом необходимо выполнять соединение всех деталей, чтобы получился ожидаемый конечный результат. То есть устройство или цепь должны в полном объеме выполнять назначенные им функции. Для правильного чтения принципиальной схемы необходимо, прежде всего, ознакомиться с условными обозначениями всех ее составных частей. Каждая деталь отмечена собственным условно-графическим обозначением - УГО. Обычно такие условные знаки отображают общую конструкцию, характерные особенности и назначение того или иного элемента. Наиболее ярким примером служат конденсаторы, резисторы, динамики и другие простейшие детали.

Гораздо сложнее работать с компонентами, представленными транзисторами, симисторами, микросхемами и т.д. Сложная конструкция таких элементов предполагает и более сложное отображение их на электрических схемах.

Например, в каждом биполярном транзисторе имеется минимум три вывода - база, коллектор и эмиттер. Поэтому для их условного изображения требуются особые графические условные знаки. Это помогает различить между собой детали с индивидуальными базовыми свойствами и характеристиками. Каждое условное обозначение несет в себе определенную зашифрованную информацию. Например, у биполярных транзисторов может быть совершенно разная структура - п-р-п или р-п-р, поэтому изображения на схемах также будут заметно отличаться. Рекомендуется перед тем как читать принципиальные электрические схемы, внимательно ознакомиться со всеми элементами.

Условные изображения очень часто дополняются уточняющей информацией. При внимательном рассмотрении, можно увидеть возле каждого значка латинские буквенные символы. Таким образом обозначается та или иная деталь. Это важно знать, особенно, когда мы только учимся читать электрические схемы. Возле буквенных обозначений расположены еще и цифры. Они указывают на соответствующую нумерацию или технические характеристики элементов.

1. Dual Homed

Межсетевой экран в таком варианте подключения осуществляет физическое и логическое разделение двух сетей, принимая решение о возможности установления соединения между ними.

1.1. Демилитаризованная зона (ДМЗ)

В некоторых случаях межсетевым экраном допускается использование нескольких сетевых адаптеров с установленными различными политиками безопасности. Для этого используется ДМЗ.

Как правило, в ДМЗ размещают службы, которые должны быть доступны и клиентам внешней сети, и клиентам защищаемой сети. Поскольку доступ к сервисам ДМЗ должен осуществляться из открытой сети, то в ДМЗ определяются менее жёсткие требования к сетевой безопасности, но достаточные для организации защиты от угроз. Если в сети используются группы пользователей с чётким разграничением доступных сервисов или различными уровнями конфиденциальности обрабатываемой информации, то межсетевой экран может контролировать сетевые потоки не только во внешние сети, но и между внутренними сегментами сети. Выделение ДМЗ, а также поддержка нескольких сетевых интерфейсов позволяет вести централизованное управление защитой сетевых ресурсов с различными принятыми политиками безопасности.

Пример: Пусть имеется корпоративный web-сервер осуществляющий публикацию данных компании в корпоративной сети. Эти данные извлекаются web-сервером из внутреннего сервера баз данных. Доступ к серверу баз данных разрешён только во внутренней сети. Для обеспечения работы интерфейса web-системы управления базой данных необходимо разрешить доступ от web-сервера к серверу баз данных. Тогда при получении доступа к web-серверы мы запросто можем получить доступ к серверу баз данных.

Выделение web-сервера в ДМЗ не только решает задачи защиты от внешних угроз, но и минимизирует возможность проникновения в локальную сеть.

1.2. Разрешение маршрутизации между сетевыми интерфейсами

В большинстве случаев маршрутизация разрешена между сетевыми интерфейсами на уровне операционной системы, при этом механизмы динамической и статической фильтрации управляются трафиком. В процессе загрузки/перезагрузки операционной системы существует короткий момент времени, в который сетевой стек с загруженным сервисом маршрутизации включен, а межсетевой экран с его правилами фильтрации ещё не загрузился.

При использовании межсетевым экраном только прикладных посредников необходимость в маршрутизации пакетов отсутствует. В этом случае прикладные посредники устанавливают посредничество между клиентом и сервером без поддержки маршрутизации со стороны ОС. При этом маршрутизацию между сетевыми интерфейсами можно запретить.

1.4. Межсетевой экран в локальной вычислительной сети

Межсетевой экранможно использовать для сегментирования локальной вычислительной сети с целью повышения её уровня информационной безопасности и защиты отдельных сетевых сегментов. Сегментирование в локальной сети используется тогда:

Когда в локальной сети присутствуют функциональные группы, обрабатывающие информацию с различным уровнем доступа,

Когда необходимо осуществлять управляемый доступ к прикладным и служебным сервисах,

Когда необходимо контролировать обмен информационными потоками между различными функциональными группами.

2. Экранирующий экран

В отличие от межсетевого экранас несколькими интерфейсами, разделяющего две и более сетей, экранирующий экран (бастион хост) подключен только к внутренней сети и имеет один сетевой интерфейс. В такой схеме большое внимание уделяется настройке таблиц маршрутизации таким образом, чтобы весь входящий трафик отправлялся на интерфейс межсетевого экрана, а во внутренней сети в качестве шлюза был указан IP-адрес межсетевого экрана.

  1. Экранирующая подсеть

Конфигурация экранирующая подсеть добавляет дополнительный уровень безопасности в конфигурацию экранирующего экрана путём внесения сетевого сегмента для улучшения изоляции экранирующей сети.

Технологии МЭ

1. Сетевая трансляция адресов(NАT).

При использовании NАT межсетевой экран выступает посредником между двумя IP-узлами, организую 2 канала передачи данных. При этом межсетевой экран использующий NАT взаимодействует с внешним IP-узлом от имени внутреннего, но использую свой IP-адрес.

Типы IP-адресации локальных сетей:

  1. 10.0.0.0 – 10.255.255.255
  2. 172.16.0.0 – 172.31.255.255
  3. 192.168.0.0 – 192.168.255.255

NAT обеспечивает простую и надёжную защиту путём установления так называемой «однонаправленной маршрутизации», когда сетевые пакеты передаются через межсетевой экран только из внутренней сети. Сетевая трансляция адресов осуществляется в трёх режимах:

Динамический

Статический

Комбинированный.

Различают также трансляцию адреса источника и трансляцию адреса назначения. NAT применяется в следующих случаях:

1. Политика безопасности требует скрытия внутреннего адресного пространства сети

2. Смена адресов хостов в сети невозможна

3. Необходимо подключить сеть с большим количеством хостов, но с ограниченным количеством статических IP-адресов

Динамическая трансляция

При динамическом режиме, называемом трансляцией портов, межсетевой экран имеет один внешний адрес. Все обращения в общедоступную сеть со стороны клиента внутренней сети осуществляются с использованием этого адреса. Межсетевой экран при обращении клиента выделяет ему уникальный порт транспортного протокола для внешнего IP-адреса. Количество портов: 65000

Пример: В локальной сети используется не маршрутизируемая сеть с адресным пространством 10.0.0.0. Клиент локальной сети желает установить соединением с web-сервером 207.46.130.149.

ОС формирует обычные IP-пакеты и отправляет их в сеть. При прохождении пакетов через межсетевой экран, последний меняет адрес источника на адрес внешнего интерфейса, а транспортный порт источника – на первый свободный из пула неиспользуемых портов и заново вычисляет контрольную сумму. Для web-сервера клиентом выступает хост, имеющий IP-адрес 200.0.0.1, то есть МЭ. Сервер отвечает клиенту обычным образом.

Динамическая трансляция с динамической выборкой IP-адресов

В динамическом режиме с динамической выборкой внешние IP-адреса выделяются динамически из пула внешних адресов. Как и при динамической трансляции, для каждого соединения используется транспортный порт. Отличие заключается в том, что при исчерпании всего пула портов выделяется следующий внешний IP-адрес.

Статическая трансляция адресов

При статической трансляции внешнему интерфейсу МЭ назначается столько зарегистрированных IP-адресов, сколько хостов имеется во внутренней сети.

Пример:

1. Клиент общедоступного сегмента сети обращается к web-серверу по адресу 200.0.0.21. 2. МЭ находит в своей таблице маршрутизации соответствующее правило и заменяет адрес назначения на 10.0.0.21.

3. Сервер возвращает ответный пакет с адресом источника 10.0.0.21.

4. При выходе из локальной сети МЭ заменяет свой адрес на 200.0.0.21.

Статическая трансляция с динамической выборкой IP-адресов

Данный вид трансляции не использует транспортные порты, а каждому клиенту динамически назначается IP-адрес из пула внешних адресов.

анализ и фильтрацию проходящих через него сетевых пакетов. В зависимости от установленных правил, МЭ пропускает или уничтожает пакеты, разрешая или запрещая таким образом сетевые соединения. МЭ является классическим средством защиты периметра компьютерной сети: он устанавливается на границе между внутренней (защищаемой) и внешней (потенциально опасной) сетями и контролирует соединения между узлами этих сетей. Но бывают и другие схемы подключения, которые будут рассмотрены ниже.

Английский термин, используемый для обозначения МЭ - firewall . Поэтому в литературе межсетевые экраны иногда также называют файервол или брандмауэр (немецкий термин, аналог firewall ).

Как уже было отмечено, фильтрация производится на основании правил. Наиболее безопасным при формировании правил для МЭ считается подход "запрещено все, что явно не разрешено". В этом случае, сетевой пакет проверяется на соответствие разрешающим правилам, а если таковых не найдется - отбрасывается. Но в некоторых случаях применяется и обратный принцип: "разрешено все, что явно не запрещено". Тогда проверка производится на соответствие запрещающим правилам и, если таких не будет найдено, пакет будет пропущен.

Фильтрацию можно производить на разных уровнях эталонной модели сетевого взаимодействия OSI . По этому признаку МЭ делятся на следующие классы [ , ]:

  • экранирующий маршрутизатор;
  • экранирующий транспорт (шлюз сеансового уровня);
  • экранирующий шлюз (шлюз прикладного уровня).

Экранирующий маршрутизатор (или пакетный фильтр ) функционирует на сетевом уровне модели OSI , но для выполнения проверок может использовать информацию и из заголовков протоколов транспортного уровня. Соответственно, фильтрация может производиться по ip-адресам отправителя и получателя и по ТСР и UDP портам. Такие МЭ отличает высокая производительность и относительная простота - функциональностью пакетных фильтров обладают сейчас даже наиболее простые и недорогие аппаратные маршрутизаторы. В то же время, они не защищают от многих атак, например, связанных с подменой участников соединений.

Шлюз сеансового уровня работает на сеансовом уровне модели OSI и также может контролировать информацию сетевого и транспортного уровней. Соответственно, в дополнение к перечисленным выше возможностям, подобный МЭ может контролировать процесс установки соединения и проводить проверку проходящих пакетов на принадлежность разрешенным соединениям.

Шлюз прикладного уровня может анализировать пакеты на всех уровнях модели OSI от сетевого до прикладного, что обеспечивает наиболее высокий уровень защиты. В дополнение к ранее перечисленным, появляются такие возможности, как аутентификация пользователей, анализ команд протоколов прикладного уровня, проверка передаваемых данных (на наличие компьютерных вирусов, соответствие политике безопасности ) и т.д.

Рассмотрим теперь вопросы, связанные с установкой МЭ. На рис. 6.1 представлены типовые схемы подключения МЭ. В первом случае ( рис. 6.1), МЭ устанавливается после маршрутизатора и защищает всю внутреннюю сеть . Такая схема применяется, если требования в области защиты от несанкционированного межсетевого доступа примерно одинаковы для всех узлов внутренней сети. Например, "разрешать соединения, устанавливаемые из внутренней сети во внешнюю, и пресекать попытки подключения из внешней сети во внутреннюю". В том случае, если требования для разных узлов различны (например, нужно разместить почтовый сервер , к которому могут подключаться "извне"), подобная схема установки межсетевого экрана не является достаточно безопасной. Если в нашем примере нарушитель, в результате реализации сетевой атаки, получит контроль над указанным почтовым сервером, через него он может получить доступ и к другим узлам внутренней сети.

В подобных случаях иногда перед МЭ создается открытый сегмент сети предприятия (6.1b), а МЭ защищает остальную внутреннюю сеть . Недостаток данной схемы заключается в том, что подключения к узлам открытого сегмента МЭ не контролирует.

Более предпочтительным в данном случае является использование МЭ с тремя сетевыми интерфейсами (6.1c). В этом случае, МЭ конфигурируется таким образом, чтобы правила доступа во внутреннюю сеть были более строгими, чем в открытый сегмент. В то же время, и те, и другие соединения могут контролироваться МЭ. Открытый сегмент в этом случае иногда называется "демилитаризованной зоной" - DMZ .

Еще более надежной считается схема, в которой для защиты сети с DMZ задействуются два независимо конфигурируемых МЭ (6.1d). В этом случае, MЭ 2 реализует более жесткий набор правил фильтрации по сравнению с МЭ1. И даже успешная атака на первый МЭ не сделает внутреннюю сеть беззащитной.

В последнее время стал широко использоваться вариант установки программного МЭ непосредственно на защищаемый компьютер . Иногда такой МЭ называют "персональным". Подобная схема позволяет защититься от угроз исходящих не только из внешней сети, но из внутренней.

Понравилась статья? Поделитесь ей
Наверх