Вы находитесь на странице: 1из 40

Межсетевые экраны

С.А. Печень 2003-2006 spechen@sv.ukrtelecom.net


Терминология
Межсетевой Экран (МЭ, Firewall) - это локальное
(однокомпонентное) или функционально-
распределенное программное (программно-
аппаратное) средство (комплекс), реализующее
контроль за информацией, поступающей в АС и/или
выходящей из АС.
Содержание
1. Введение в понятие межсетевые экраны.
2. Ущерб в сфере IT.
3. Понятие DMZ. Необходимость построения DMZ. Стратегия
защиты серверов. DMZ и межсетевые экраны.
Типы межсетевых экранов. Их основные различия.
Преимущества и недостатки.
4. Управление межсетевых экранов. Технологии CISCO
(CSPM)
5. Понятие списков доступа ACL (правил), NAT, PAT,
принципы и алгоритмы работы межсетевых экранов
6. Интеграция c IDS.
7. Основы работы с межсетевые экраны PIX.
8. Персональные Межсетевые экраны
Понятие межсетевые экраны

МЭ обеспечивает защиту АС посредством фильтрации


информации, т.е. ее анализа по совокупности критериев и
принятия решения о ее распространении в (из) АС на основе
заданных правил, проводя таким образом разграничение доступа
субъектов из одной АС к объектам другой АС. Каждое правило
запрещает или разрешает передачу информации определенного
вида между субъектами и объектами. Как следствие, субъекты из
одной АС получают доступ только к разрешенным
информационным объектам из другой АС. Интерпретация набора
правил выполняется последовательностью фильтров, которые
разрешают или запрещают передачу данных (пакетов) на
следующий фильтр или уровень протокола.
DMZ
DMZ (De-Militarized Zone) - это специальная
защищенная часть сети, подключенная
непосредственно к устройству разграничения
доступа. Обычно это сеть, связанная с
дополнительным сетевым интерфейсом на
компьютере, - шлюзе с запушенным на нем
приложением безопасности. Использование
такого решения обеспечивает прохождение
любого трафика DMZ через устройство
разграничения доступа и контроля, что
позволяет реализовать необходимые методы
защиты, направленные против атак взломщиков.
Для чего необходим DMZ?
Без DMZ, располагая серверы публичного доступа в
защищаемой сети, мы подвергаем всю сеть потенциальной
опасности: взломщики могут воспользоваться особенностями
программного обеспечения сервера, получить доступ к нему, а
затем и ко всей сети.
Примерная схема подключения
ACL
Расширенное управление
протоколами
Mail Guard
DNS Guard
Fragmentation,AAA&Syn Flood
Guard
Syslog
IDS в составе FW
Failover
Failover
FO screen1
FO screen2
Translation
AAA
AAA
IDS
Примерная схема включения
IDS
Методы реакции
Конфигурация IDS
newsignatures
Конфигурация IDS Blocking
Properties
Конфигурация IDS Blocking
Device
Конфигурация IDSBlocking
device INT
Создание динамических
списоков на роутере
Типы
На рынке для потенциально клиента предлагается
широчайший выбор средств типа межсетевой экран.
Программно-аппаратные комплексы, обеспечивающие
высокую защищенность вкупе с высокой скоростью, и
полностью программные. И однокомпонентные и
распределенные межсетевые экраны, персональные и
реверсивные, фильтры пакетов и прокси.
Чтобы определить какой файрвол является
лучшим для Вас, рассмотрим пять вопросов:
Какие возможности являются наиболее важными?
Были ли вирусные атаки и атаки сетевых червей?
Какие другие методы обеспечения безопасности
используются?
Сколько времени необходимо потратить на
настройку файрвола?
Много ли программ, требующих автоматического
доступа к интернет я использую?
Возможности
Фильтрация входящего трафика
Фильтрация исходящего трафика
Проверка целостности приложения
Шифрование данных
Сокрытие вашего присутствия
Создание отчетов / Ведение логов
Защита электронной почты от вирусов
Блокирования всплывающих (Pop-up) рекламных окон
Слежение за cookie
Защита от шпионского ПО
Защита ноутбука
Сравнение ПМЭ начального уровня
Сравнение ПМЭ «продвинутого» уровня
Курсы
SECUR 642-501 Securing Cisco IOS
Networks (SECUR) (formerly MCNS)
CSPFA 642-521 Cisco Secure PIX Firewall
Advanced (CSPFA)
CSVPN 642-511 Cisco Secure Virtual Private
Networks (CSVPN)
CSIDS 9E0-100 Cisco Secure Intrusion
Detection Systems (CSIDS)
Курсы ГНЦ на базе «Академии Cisco».Киев
Ценовое распределение аппаратных
устройств МСЭ и VPN