шлюзове на ниво приложение - компютърни науки, програмиране

10. Приложение Layer шлюзове

За да се премахне някои от недостатъците на филтриращи маршрутизатори, защитни стени трябва да използват допълнителен софтуер за филтриране на Telnet и FTP услуги като съобщения. Такъв софтуер се нарича прокси сървър (прокси сървъри) и хост компютъра, на които те се извършват, - портал за кандидатстване.

За да се постигне по-високо ниво на сигурност и гъвкавост на шлюзовете на ниво приложение и филтриращи рутери могат да бъдат комбинирани в един защитна стена. Като пример, помисли мрежа, в която рутера през филтъра се блокира входящия TELNET и FTP връзка. Този рутер позволява преминаването на Telnet и FTP пакети само до един домакин - компютър - ниво приложение портал TELNET / FTP. На външен потребител, който иска да се свърже към система в мрежата, трябва първо да се свържете към порта за кандидатстване, а след това до съответната вътрешна компютъра домакин.

Приложно ниво Gateways дават възможност за най-високо ниво на защита, тъй като взаимодействието с външния свят се осъществява чрез малък брой приложни програми, разрешени посредник напълно контролира целия входящ и изходящ трафик.

шлюзове на ниво приложение имат редица предимства в сравнение с нормален режим, в който се прилага движението се предава директно към вътрешния домакин - компютри. Тези предимства.

# 252; Невидимостта защитена мрежова структура на глобалната мрежа Интернет. Имената на вътрешни системи не могат да общуват с външни системи чрез DNS, тъй като шлюз за кандидатстване може да бъде един-единствен хост - компютърът, на името на което трябва да се знае, че извън системи.

# 252; Силна идентификация и регистрация. трафик на приложения може да бъде потвърден, преди да достигне вътрешните Силите, и може да бъде регистриран по-ефективно, отколкото със стандартна регистрация.

# 252; Оптималната връзката между цена и производителност. Допълнителна или хардуер за удостоверяване или регистрация трябва да се инсталира само на шлюза за кандидатстване.

# 252; Прости правила за филтриране. Правила за филтриране рутери са по-малко сложни, отколкото биха били, ако самата рутера за филтриране на трафика заявление и го изпраща на голям брой вътрешни системи. Маршрутизаторът трябва да премине трафик приложение, предназначени само за шлюза за кандидатстване, както и да блокира целия останал трафик.

# 252; Възможността за организиране на голям брой проверки. защита на ниво приложение позволява на голям брой допълнителни проверки, което намалява възможността за счупване с "дупки" в софтуера.

Недостатъците на шлюзовете на ниво приложение, включват:

# 251; ниска производителност в сравнение с филтриране рутери; по-специално, с помощта на клиент-сървър протоколи, като TELNET, се изисква двуетапна процедура за входните и изходните съединения;

# 251; по-високите разходи в сравнение с филтриране рутер.

В допълнение към TELNET и FTP шлюзовете на ниво приложение, обикновено се използва за електронна поща, Windows, както и някои други услуги.

Един важен елемент от концепцията за удостоверяване защитна стена (удостоверяване на потребителя). Преди потребителят се предоставя правото да използва каквато и услуга, е необходимо да се уверите, че той наистина кой е той твърди, че е.

Един от начините е да се използва за удостоверяване стандарт UNIX-парола. Въпреки това, тази схема е най-уязвим от гледна точка на сигурността - паролата може да бъде уловена и използвана от друго лице. Много от инцидентите в интернет възникнала отчасти поради уязвимостта на традиционните пароли. Нападателите могат да гледат телевизия в Интернет и пресечната изпратена им в ясни пароли текстови, така че схемата за удостоверяване с традиционните пароли трябва да се разглежда остаряла.

Тъй като защитни стени могат да централизира управлението на достъпа до мрежата, те са подходящо място за инсталиране на софтуер или силни удостоверяване устройства. Въпреки че средствата за сигурна идентификация могат да бъдат използвани за всеки хост - компютър, практически ги проведе на защитната стена. Фиг. Тя показва, че в една мрежа, без защитна стена, като се използват строги мерки за удостоверяване неавтентифицирани приложения за трафика като TELNET или FTP, може директно да се премине към системите в мрежата. Ако домакинът - компютри не използват строги мерки за идентификация, атакуващият може да се опита да се справи пароли или прихващане на мрежовия трафик, за да открие в него сесии, по време на които се предават паролите.

В този случай, TELNET сесия, или FTP, създаден от Интернет с мрежовите системи трябва да бъде проверен с помощта на силна автентикация означава, преди да бъдат допуснати, системата за мрежа, може да поиска да се даде възможност за достъп и статични пароли, но тези пароли, дори и ако те ще бъдат засечени от атакуващият, не може да се използва като средство за силна удостоверяване и други компоненти на защитна стена за предотвратяване на нарушители или заобикаляне на защитна стена.

12.Osnovnye схема на мрежова сигурност въз основа на защитни стени

Когато свържете корпоративна или локална мрежа към администратора на мрежата за сигурност на WAN трябва да изпълнява следните задачи:

защита Ø или корпоративна мрежа от неоторизиран достъп от област мрежата широк;

Ø скрий информация за структурата на мрежата и неговите компоненти от интернет потребителите,

Ø едновременен достъп до защитената мрежа WAN и от защитената мрежа към глобалната мрежа.

Необходимостта да се работи с отдалечени потребители изискват монтирането на твърди ограничения на достъпа до информационните ресурси на защитената мрежа. По този начин често е необходимо за организацията като част от мрежата korporatsionnoy няколко сегмента с различни нива на сигурност:

Ø сегмент с ограничен достъп (например, служители на организацията за достъп от отдалечени места)

Ø затворен сегменти (например мрежови местната финансова организация).

Основните схеми на защитни стени, използвани за защита на корпоративни или локална мрежа:

Ø защитна стена - филтриране рутер;

Ø защитна стена на базата dvuportovogo врата;

Ø защитна стена на базата на екраниран портал;

Ø защитна стена - екраниран подмрежа.

пъти. Поради спецификата на схемата на информация определи сумата на информация, свързана с неговата страна съдържание, то се оказва не-vayutsya универсални. Universal е азбучен подход за измерване на количеството информация. При този подход, съобщението е показано на всяка система за знак, се разглежда като набор-ТА съобщи, че целевата позиция в posledovatelnos-ти.

СУБД; можете да контролира разпространението на области на външната памет, за да контролират достъпа на потребителите до базата данни и т.н. в индивидуална цялата система, в цялото предприятие или ограничени вещни корпоративна мрежа. Като цяло, набор сървърни продукти единадесети въпрос Sybase компания е солидна, добре обмислен набор от инструменти, които могат да бъдат.