Обзор и классификация межсетевых экранов
Межсетевые экраны (далее - МЭ) – это программный или аппаратно-программный комплекс, реализующий функции фильтрации сетевого трафика (информационных потоков) между двумя и более автоматизированными системами (АС) по некоторому набору правил (база правил или БП), определяемых политикой безопасности (ПБ). Необходимо отметить, что в современные МЭ зачастую включают дополнительные средства защиты. Это обусловлено тем, что МЭ устанавливается на границе нескольких АС, и расширение его функционала является весьма удобным. Таким образом, МЭ полностью подпадает под определение ИО, данное в первой главе. МЭ являются эффективным средством защиты информации, и в настоящее время используются в большинстве корпоративных защищённых сетей. Вместе с тем, строгая математическая и инженерно-техническая проработка вопросов построения межсетевых экранов в доступной литературе практически отсутствует. В связи с большим разнообразием МЭ, существующих на сегодняшний день, возникает вопрос о том, как проводить рассмотрение последних. Естественным решением в таких случаях является классификация. Рассмотрим существующие подходы. Классификация приведенная в РД Гостехкомиссии морально устарела, так как на сегодняшний день практически все МЭ осуществляют фильтрацию в соответствии наивысшим требованиям данной классификации. Вместе с тем МЭ, сертифицированных в соответствии с РД крайне мало, так как разработчики МЭ зачастую не предоставляют исходных кодов и описаний, формализованных в виде документов в соответствии с ГОСТами. Так же существуют классификации по способу реализации, по типам защищаемых объектов и уровням модели взаимодействия открытых систем. Наибольший интерес представляет классификация по уровням модели взаимодействия открытых систем (OSI), как наиболее общая относительно конкретных технологий и их реализаций для взаимодействия между информационными системами. Вместе с тем такая классификация носит достаточно условный характер. Рассмотрим МЭ в соответствии с моделью OSI с учётом необходимых уточнений и возможных упрощений.
Физический уровень выполняет передачу битов по физическим каналам. На этом уровне определяются характеристики физических сред передачи данных и параметров электрических сигналов. Этот уровень можно исключить из рассмотрения по следующим причинам: - В определении МЭ подразумевается, что он работает с информацией, представленной в виде набора битов, а не в виде конкретных электрических сигналов; - Все устройства, подключенные к сети, осуществляют фильтрацию на физическом уровне (выделяют полезный сигнал на фоне помех и т.д.) Канальный уровень обеспечивает передачу кадра данных между любыми узлами в сетях с типовой топологией либо между двумя соседними узлами в сетях с произвольной топологией. Из всех функций канального уровня представляется необходимым использовать только те, которые работают с MAC-адресами. Соответственно в качестве МЭ канального уровня рассматриваются управляемые коммутаторы. Там же указывается, что появление коммутаторов 3 уровня, а так же расширение возможностей коммутаторов 2 уровня посредством внедрения технологии VLAN позволяют использовать коммутаторы для фильтрации на сетевом и транспортном уровнях. Сетевой уровень обеспечивает доставку данных между любыми двумя узлами в сети с произвольной топологией, при этом он не берет на себя никаких обязательств по надежности передачи данных. Транспортный уровень отвечает за доставку сообщений с заданным уровнем надежности, разбиение сообщений на пакеты, использует средства для обнаружения, а иногда устранения потери отдельных пакетов сообщения. В рамках данной работы будем считать, что все сообщения приходят без ошибок, но, как и в случае с канальным уровнем, нельзя исключить данный уровень из рассмотрения не оставив часть его функций. Поэтому, присоединим эту часть к сетевому уровню (расширим функции сетевого уровня, тем самым, получив возможность исключения оставшейся части транспортного уровня). На сетевом и транспортном уровнях функционируют статические и динамические фильтры пакетов.
Сеансовый уровень предоставляет средства управления диалогом, позволяющие фиксировать, какая из взаимодействующих сторон является активной в настоящий момент, а также предоставляет средства синхронизации в рамках процедуры обмена сообщениями. На этом уровне функционируют МЭ, называемые инспекторами состояний, или фильтрами контроля состояния канала связи. Дополнительно на данном уровне функционируют так называемые посредники сеансового уровня. Уровень представления имеет дело с внешним представлением данных. На этом уровне могут выполняться различные виды преобразования данных, такие как компрессия и декомпрессия, шифровка и дешифровка данных. Мы не будем брать его в рассмотрение, так как фильтрация данных осуществляется до или после их преобразований он может быть включен в состав либо прикладного, либо сеансового уровня. Прикладной уровень – это набор сетевых сервисов, предоставляемых конечным пользователям и приложениям. На этом уровне функционируют посредники прикладного уровня. Результаты рассмотрения существующих типов МЭ иллюстрирует следующий рисунок: Типы межсетевых экранов Дополнительно необходимо отметить, что существует ещё один тип МЭ. Это так называемые МЭ экспертного уровня, которые реализуют все вышеперечисленные технологии, за исключением фильтрации МАС-адресов. Практически все коммерческие МЭ относят именно к этому классу.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|