Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 3:

Межсетевые экраны

Ключевые слова: операционная система, межсетевой экран, доступ, ЛВС, im-черви, экранирование, ПО, бизнес-процессы, firewall, инфраструктура безопасности, checkpointing, корпоративная сеть, расширяемость, пакетный фильтр, трансляция, сетевой адрес, DSL, минимум, Web, программное обеспечение, интерфейс, инструментарий, сетевой протокол, ограничение доступа, черный ящик, протокол TCP, эталонная модель взаимосвязи открытых систем, ISO, логическая модель, прикладной уровень, smtp, SNMP, Telnet, уровень представления, XDR, уровень сеанса, RPC, транспортный уровень, NetBIOS, UDP, сетевой уровень, ARP, IPX, OSPF, канальный уровень, Arcnet, Ethernet, Token Ring, физический уровень, коаксиальный кабель, оптоволокно, витая пара, среда передачи данных, кабель, сетевой интерфейс, среда передачи, macs/s, medium, access control, управление доступом, компания ibm, SNA, DEC, маршрутизация, внутренняя сеть, MAC-адрес, DHCP, Хакер, transmission, протоколы управления, datagram, мультимедийность, мультиплексирование, декодирование, прикладная программа, DARPA, линия связи, отказоустойчивость, корпорация, SPX, NetBeui, почтовый ящик, уровень модели, сеть Ethernet, хост, address resolution, протокол разрешения адресов, протокол IP, SYN, ACK, доверенность, маскарад, номер порта, ICMP, ping, затраты, документирование, бизнес-процесс, политика использования, SSH, угрозы безопасности, требования безопасности, анализ работы, лицензия, GPL, утилита, ядро, сервер-посредник, реакция, rpm, компакт-диск, список, forwarder, команда, DROP, reject, mark, TOS, mirror, redirection, операции, файл, интерпретатор, командный язык, имя файла, vi, маршрутное имя, bash, csh, режим доступа, текущий каталог, переменные окружения, опыт, регистр, диапазон, flush, широковещательный адрес, протокол icmp, входящий поток, RST, почтовый сервер, дейтаграмма, сетевой пакет, протоколирование, Интернет, адрес, место, NAT, трансляция адреса, masquerading, базовая конфигурация, компьютер, Subscribe, синтаксис, системные требования, программа, запуск, безопасность, Windows, Unix, поддержка, модуль, вход в программу, дистрибутив, имя хоста, MODULE, bad, DMZ, маска подсети, rule, AND, self-limiting, IRC, help, сервер, corporate, server, IPsec, туннель, информационное наполнение, удаленный доступ, вторжение, ADSL, N-ISDN, жесткий диск, конфигурация, intel, pentium, ОЗУ, процессор, диск, плата, расходы, мониторинг, easy-to-use, BIOS, OC-3, автообнаружение, установка программ, disable, цифровая абонентская линия, провайдер, внешний модем, метод доступа, setup, интерфейс командной строки, порт, SSL, поле, заставка, имя пользователя, пароль, admin, главная страница, меню, graph, proxy, dynamic dns, DHS, remote access, PDF, альтернативные

Теперь, когда у вас есть достаточно безопасная операционная система и вы освоили несколько основных приемов, перейдем к использованию некоторых более сложных защитных средств. В этой лекции описано, как настраивать и обслуживать безопасный межсетевой экран с открытыми исходными текстами. Если у вас уже есть межсетевые экраны, можно все равно прочитать данную лекцию, чтобы освежить в памяти или узнать, как они действуют. Это пригодится при изучении следующих лекций, где обсуждаются сканеры портов и уязвимостей.

Межсетевой экран - это устройство, являющееся первым рубежом передовой линии обороны против всех входящих атак или ненадлежащего использования вашей сети. Межсетевой экран может отразить или смягчить многие виды атак и экранировать (заслонить) внутренние серверы и рабочие станции от Интернета. Межсетевой экран способен также предотвратить доступ извне к машинам внутренних ЛВС. При растущем использовании случайных сканеров и автоматических червей и вирусов, экранирование внутренних машин от Интернета важно как никогда. Правильно сконфигурированный межсетевой экран существенно продвинет вас по пути защиты от внешних атак. (Защита от внутренних атак - совершенно другая проблема, которая рассматривается в лекциях с 4 по 7).

Обзор лекции

Изучаемые концепции:

  • Основные понятия сетей TCP/IP
  • Как работают межсетевые экраны
  • Философия конфигурирования межсетевых экранов
  • Бизнес-процессы для межсетевых экранов
  • Примеры конфигураций межсетевых экранов

Используемые средства:

Iptables, Turtle Firewall, SmoothWall

В наше время мало кто сомневается, что межсетевой экран является обязательным компонентом любой инфраструктуры безопасности. Доступно множество жизнеспособных коммерческих альтернатив: Cisco, NetScreen, SonicWALL, Checkpoint - это лишь небольшая часть поставщиков высококлассных коммерческих решений, ориентированных на большие корпоративные сети с интенсивными потоками данных.

Компании Linksys (принадлежащая теперь Cisco), D-Link, NETGEAR предлагают младшие модели межсетевых экранов потребительского уровня. Как правило, подобные устройства не обладают высокой конфигурируемостью и расширяемостью: обычно они действуют как пакетные фильтры, блокируя входящие соединения и осуществляя динамическую трансляцию сетевых адресов. Они предназначаются для кабельных и DSL-соединений и могут не выдержать более высокой нагрузки.

Старшие модели межсетевых экранов сделают практически все, что вы от них захотите, но это потребует денежных затрат - как минимум, нескольких тысяч долларов. Для их настройки зачастую требуется изучение нового синтаксиса или интерфейса. Некоторые из более новых моделей, такие как SonicWALL и NetScreen, поставляются с интерфейсом конфигурации на основе Web, но это обычно достигается за счет меньшей глубины конфигурационных опций.

Малоизвестный и редко афишируемый секрет некоторых коммерческих межсетевых экранов состоит в том, что в их основе лежит программное обеспечение с открытыми исходными текстами. На самом деле вы платите за высококачественную коробку и линию технической поддержки. Это может быть оправданным для организаций, которые нуждаются в дополнительной поддержке. Однако, если вы готовы изучать еще один интерфейс, и если в коммерческом продукте используются те же технологии, которые доступны бесплатно, почему бы не создать свой собственный межсетевой экран с помощью средств с открытыми исходными текстами, представленных в этой книге, и сохранить своей фирме тысячи долларов? Даже если вы не собираетесь выбрасывать свой коммерческий межсетевой экран, лучшее понимание его работы и того, что происходит за сценой, поможет сделать его конфигурацию более безопасной.

Прежде чем мы погрузимся в инструментарий, я хочу рассмотреть основы функционирования межсетевых экранов и обработку ими различных сетевых протоколов для ограничения доступа к сети. Даже если вы не планируете использовать программное обеспечение с открытыми исходными текстами для своего межсетевого экрана, полезно знать немного больше о том, что в действительности происходит внутри этого черного ящика.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Гончик Цымжитов
Гончик Цымжитов
Россия, Санкт-Петербург
Александр Косенко
Александр Косенко
Украина, Днепропетровск