Анализ проблем информационной безопасности в компьютерной сети организации, подключенной к сети Интернтет

Проверка пакетов на соответствие заданным условиям. Данный метод обеспечивает проверку заголовков сетевого и транспортного уровня в механизме фильтрации пакетов межсетевого экрана. Проверка пакетов на соответствие заданным условиям применяется практически во всех современных межсетевых экранов и одно время была стандартным методом защиты.

Прозрачная аутентификация Windows. Благодаря прозрач

ной аутентификации межсетевой экран получает учетные данные пользователя из клиентской операционной системы без постороннего вмешательства. Строгий контроль внешнего доступа пользователей и групп осуществляется без запроса учетных данных пользователя.

Протоколирование всех имен пользователей и приложений Web и Winsock. Протоколирование — обязательное условие для подготовки исчерпывающих отчетов о соответствии законодательству и эффективного сотрудничества с правоохранительными органами. Через протоколирование имен пользователей и приложений Winsock межсетевой экран получает информацию о приложениях и ресурсах, доступных пользователю при подключении через межсетевой экран.

Контроль на прикладном уровне через туннели SSL (Secure Sockets Layer). Такой контроль позволяет выполнить проверку на соответствие заданным условиям и проанализировать протокол соединения в шифрованном туннеле SSL. Межсетевые экраны, которые обеспечивают только проверку пакетов на соответствие заданным условиям, не могут контролировать заголовки и данные прикладного уровня в шифрованных туннелях SSL.

Поддержка Microsoft Exchange Server. Межсетевые экраны со встроенной поддержкой Exchange повышают безопасность удаленных соединений через Internet со службами Exchange, в том числе Outlook Web Access (OWA), Outlook Mobile Access (OMA), Exchange ActiveSync, Secure Exchange RPC и RPC over HTTP. Эта характеристика охватывает встроенные функции двухфакторной аутентификации, например RSA SecurID компании RSA Security.

Контроль шлюзового и клиентского трафика VPN на прикладном уровне. Благодаря контролю шлюзовых и клиентских соединений VPN межсетевой экран проверяет как пакеты на соответствие заданным условиям, так и туннельные соединения через PPTP, Layer Two Tunneling Protocol (L2TP)/IPsec или IPsec на прикладном уровне. Контроль на прикладном уровне соединений через канал VPN предотвращает распространение таких «червей», как Blaster и Sasser. Например, межсетевой экран ISA Server 2004 компании Microsoft обеспечивает соответствие стандарту вызовов удаленных процедур RPC (remote procedure call) и блокирует Blaster и аналогичные угрозы.

Обнаружение и предотвращение несанкционированного доступа. Методы обнаружения и предотвращения несанкционированного доступа ориентированы на аномалии сетевого и транспортного уровня, угрожающие набору протоколов TCP/IP межсетевого экрана. Большинство межсетевых экранов систем обнаружения и предупреждения вторжений Intrusion Detection System (IDS)/Intrusion Prevention System (IPS) можно настроить на пересылку предупреждений администраторам без активных действий или предупреждение с принятием мер для предотвращения нападения. На практике большинство межсетевых экранов IDS/IPS запрещают попытки несанкционированного доступа в момент обнаружения.

Сервер удаленного доступа VPN и шлюз VPN. Сервер удаленного доступа VPN принимает клиентские соединения VPN от систем и подключает эту систему в корпоративную сеть. Шлюз VPN связывает целые сети через межсайтовое VPN-соединение.

VPN-клиент. Для всех традиционных удаленных клиентских соединений VPN необходима клиентская программа (в бесклиентских SSL VPN в качестве клиента используется браузер). Большинство межсетевых экранов обеспечивают соединения PPTP и L2TP/IPsec со встроенным в Windows VPN-клиентом от Microsoft. Для некоторых межсетевых экранов требуются дополнительная (расширенная) клиентская программа VPN, которая обеспечивает проверку соответствия требованиям безопасности клиента VPN, и специальные протоколы IPsec для прохождения трансляции сетевых адресов NAT (Network Address Translation). Эти программы могут предоставляться бесплатно, но иногда их приходится покупать отдельно.

10/100-Мбит/с порты локальной сети. Межсетевой экран с несколькими портами Ethernet, выделенными для локальных соединений, обеспечивает более глубокую физическую сегментацию зон безопасности. В некоторых межсетевых экранов имеется несколько портов Ethernet, но ограничено число портов, которые могут использоваться для подключения к Internet.

Порты WAN. В некоторых межсетевых экранов ограничено число портов для прямого подключения к Internet. В других для этой цели можно использовать сколь угодно много портов.

Балансировка нагрузки. Несколько межсетевых экранов можно подключить параллельно и балансировать входящие и исходящие соединения через межсетевой экран. В идеальном случае соединения равномерно распределяются между межсетевыми экранами, и результаты работы каждого устройства меняются в лучшую сторону благодаря предотвращению перегрузки отдельных межсетевых экранов.

Число пользователей. В некоторых межсетевых экранов ограничено число пользователей или IP-адресов, которые могут устанавливать соединения через межсетевой экран. Эти межсетевые экраны лицензированы для работы с определенным числом пользователей и, если превышен лицензионный порог, генерируют соответствующее предупреждение.

Передача функций отказавшего межсетевого экрана исправному устройству. Данная функция позволяет подключить два или несколько межсетевых экранов таким образом, чтобы они могли обслуживать соединения вместо отказавших устройств. Резервирование может быть «холодным» (без нагрузки), «горячим» (под нагрузкой) или с балансировкой нагрузки. Некоторые процедуры переключения автоматические, а в других случаях требуется вмешательство администратора.

Переключение Internet-провайдера и объединение полосы пропускания.Возможность работы с несколькими Internet-провайдерами — важнейшее требование любой организации, деятельность которой зависит от связи с Internet. Межсетевые экраны со сменой Internet-провайдеров могут переключаться на работоспособную линию, если связь с одним или несколькими провайдерами прерывается. Объединение полосы пропускания заключается в соединении нескольких линий связи в скоростной канал доступа к ресурсам Internet.

Настройка. Большинство межсетевых экранов обеспечивают Web-соединения SSL в некоторых или во всех конфигурациях. Некоторые межсетевые экраны поддерживают интерфейс командной строки в сеансе терминала, а межсетевые экраны на базе ISA Server обеспечивают шифрованные соединения RDP, совместимые со стандартом обработки информации FIPS (Federal Information Processing Standard).

Процессор. Данная характеристика в пояснениях не нуждается. Она указывает тип и быстродействие основного процессора межсетевого экрана.

Web-кэширование и proxy-сервер. Некоторые межсетевые экраны располагают встроенным сервером Web-кэширования. Web-кэширование ускоряет доступ в Internet для конечных пользователей и может существенно понизить нагрузку на канал связи с Internet и соответствующие расходы. Компонент Web-proxy значительно повышает безопасность, полностью разлагая на составные части, а затем проверяя и восстанавливая проходящие через него сообщения HTTP.

 Скачать реферат