Главная страница
Навигация по странице:

  • Аппаратный МЭ

  • Относительная простота развертывания и использования

  • Размеры и энергопотребление.

  • Производительность.

  • Фильтрующий маршрутизатор

  • Шлюзы сеансового уровня.

  • Шлюзы уровня приложений

    		•

    Документ Microsoft Word. Аппаратные межсетевые экраны


    Скачать 16.05 Kb.
    НазваниеАппаратные межсетевые экраны
    Дата17.03.2023
    Размер16.05 Kb.
    Формат файлаdocx
    Имя файлаДокумент Microsoft Word.docx
    ТипДокументы
    #998325

    АППАРАТНЫЕ МЕЖСЕТЕВЫЕ ЭКРАНЫ

    Проблема обеспечения безопасности информации с каждым годом становится всё более актуальной. Любую ценную нам информацию необходимо защитить всеми доступными средствами. Одним из возможных направлений решения данной проблемы является использование межсетевых экранов.

    Современные технологии сетевой защиты являются одним из наиболее динамичных сегментов современного рынка обеспечения безопасности. Средства сетевой защиты настолько стремительно развиваются.

    В общем случае, для обеспечения сетевой защиты между двумя информационными системами (ИС) происходит фильтрация трафика между зонами сети. Это позволяет использовать межсетевой экран для разграничения прав доступа в сеть, защиты от сканирования сети компании, проведения сетевых атак. Проще говоря, межсетевой экран – это одно из устройств, при помощи которого обеспечивается сетевая безопасность.

    Аппаратный МЭ – это, как правило, специальное оборудование, составляющие которого (процессоры, платы и т.п.) спроектированы специально для обработки трафика. Работает они на специальном ПО — это необходимо для увеличения производительности оборудования.

    У «железных» межсетевых экранов наблюдаются следующие преимущества:

    Относительная простота развертывания и использования. Подключил, включил, задал параметры через веб-интерфейс и забыл о его существовании.

    Размеры и энергопотребление. Как правило, аппаратные брандмауэры имеют более скромные размеры и меньшее энергопотребление. Не всегда, правда, энергопотребление играет роль, а вот размеры важны. Одно дело небольшая компактная коробочка, другое — огромный «системник».

    Производительность. Обычно производительность у аппаратного решения выше. Хотя бы потому, что аппаратный межсетевой экран занимается только своей непосредственной функцией — фильтрацией пакетов. На нем не запущены какие-либо сторонние процессы и службы, как это часто бывает в случае с программными брандмауэрами.

    Надежность. Считается, что аппаратные решения более надежны (именно по причине того, что на них редко когда выполняются сторонние службы).
    Выделим следующие классы межсетевых экранов:

    Фильтрующие маршрутизаторы.

    Шлюзы сеансового уровня.

    Шлюзы уровня приложений.
    Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-заголовках пакетов. Фильтрующий маршрутизатор обычно может фильтровать IP-пакеты на основе группы следующих полей заголовка пакета:

    IP-адрес отправителя;

    IP-адрес получателя;

    порт отправителя;

    порт получателя.

    Шлюзы сеансового уровня.

    Данный класс маршрутизаторов представляет собой транслятор TCP-соединения. Шлюз принимает запрос авторизованного клиента на конкретные услуги и после проверки допустимости запрошенного сеанса устанавливает соединение с местом назначения (внешним хостом).

    Шлюзы уровня приложений

    С целью защиты ряда уязвимых мест, присущих фильтрующим маршрутизаторам, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как Telnet и FTP. Подобное приложение называется proxy-службой, а хост, на котором работает proxy-служба, — шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне.

    Обнаружив сетевой сеанс, шлюз приложений останавливает его и вызывает уполномоченное приложение для оказания завершаемой услуги.
    Вывод.

    Защита информационной системы должна быть комплексной — это и программные, и аппаратные брандмауэры, и антивирусы, и правильная настройка самой системы. Что же касается сравнения между программными и аппаратными брандмауэрами, то первые эффективно использовать для защиты каждого узла сети, а последние — для защиты всей сети в целом. Аппаратный брандмауэр не может обеспечить защиту каждой отдельной рабочей станции, бессилен при атаках внутри сети, а также не может выполнить разграничение ИСПДн(Информационная система персональных данных), которое необходимо выполнять в контексте защиты персональных данных.

    написать администратору сайта