46789 (588444), страница 9
Текст из файла (страница 9)
Более масштабные сети с высоким уровнем защиты
Средним и крупным предприятиям, а также их филиалам свойственны похожие требования к безопасности. Как и небольшим компаниям с надежной защитой, им требуются исчерпывающая проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне, полное протоколирование и функции управления доступом пользователей/групп через межсетевой экран. Основное различие между надежно защищенной крупной компанией и малым предприятием заключается в гораздо больших финансовых возможностях корпорации, которые соответствуют требованиям информационной безопасности.
Таким фирмам не нужны самые технологичные и производительные межсетевые экраны стоимостью 35 тыс. долл., им скорее требуется надежная информационная защита. Единственная атака на прикладном уровне может привести к потерям, исчисляемым миллионами долларов.
Выяснить, сколько денег организации этого типа готовы потратить на защиту межсетевым экраном, нелегко. Некоторые компании придают безопасности чрезвычайно большое значение и готовы заплатить более 10 тыс. долл. за превосходный межсетевой экран с проверкой пакетов и контролем на прикладном уровне. С другой стороны, многие средние и крупные предприятия, которые нуждаются в надежной защите, неохотно платят более 2500 долл. за этот решающий компонент инфраструктуры сетевой безопасности. В целом большинство организаций такого размера охотно тратит от 5000 до 6000 долл. за хороший межсетевой экран.
В таблице 3.3 показан выбор межсетевых экранов, обычно развертываемых в более крупных предприятиях с высоким уровнем безопасности. SonicWALL PRO 4060 и Cisco PIX 515E-UR-FE-BUN выполнены на основе традиционного аппаратного межсетевого экрана и обеспечивают соответствующий уровень сетевой безопасности. Проверка пакетов на соответствие заданным условиям — основа этих продуктов обеспечения безопасности, для ее реализации не требуется дорогостоящих модулей расширения. Обе модели отличаются высокой производительностью, но им не хватает возможностей балансировки нагрузки и передачи функций отказавшего устройства исправному, если они крайне необходимы для бесперебойного доступа к важнейшим данным.
В отличие от них, устройство RoadBLOCK F302PLUS на базе ISA Server 2004 компании RimApp обеспечивает исчерпывающий контроль на прикладном уровне по приемлемой цене. В стандартной конфигурации реализованы фильтры Web-узлов, проверка загружаемых из Internet файлов на вирусы и фильтры спама. Кроме того, с помощью модулей RainWall и RainConnect компании Rainfinity устройство RoadBLOCK обеспечивает балансировку нагрузки и передачу функций отказавшего устройства исправному как для аппаратных межсетевых экранов RoadBLOCK, так и для каналов связи Internet-провайдеров. Устройство RoadBLOCK поддерживает все упомянутые выше высокоуровневые функции подготовки отчетов и протоколирования и располагает мощными функциями управления пользовательским и групповым доступом из входящих и исходящих соединений через межсетевой экран.
Оптимальный выбор
Высокоуровневые сетевые межсетевые экраны, представленные в данном разделе, обеспечивают превосходный уровень безопасности и высокую производительность для средних и крупных предприятий. При выборе оптимального межсетевого экрана следует в первую очередь обратить внимание на контроль на прикладном уровне и исчерпывающие возможности протоколирования и подготовки отчетов о доступе пользователей и приложений. Кроме того, при выборе аппаратного межсетевого экрана важно помнить об отказоустойчивости.
Таблица 3.2. Аппаратные межсетевые экраны для малых предприятий с высокими требованиями к безопасности
| Характеристика | SonicWALL Pro 3060 | Cisco PIX-515E-R-DMZ | Network Engines NS6200 | Symantec SGS 5420 |
| Цена в долларах | 2319 | 2699 | 2499 | 2999 |
| Контроль на прикладном уровне с учетом состояния | Нет | Да (ограничено) | Да (умеренно) | Да (ограничено) |
| Контроль прикладного протокола | Да | Да | Да | Да |
| Проверка пакетов на соответствие заданным условиям | Да | Да | Да | Да |
| Прозрачная аутентификация Windows | Нет | Нет | Да | Нет |
| Протоколирование всех имен пользователей и приложений Web и Winsock | Нет | Нет | Да | Нет |
| Контроль на прикладном уровне через туннели SSL | Нет | Нет | Да | Нет |
| Поддержка Exchange | Нет | Нет | Да | Нет |
| Контроль шлюзового и клиентского трафика VPN на прикладном уровне | Нет | Нет | Да | Нет |
| Обнаружение и предотвращение несанкционированного доступа | Да | Да | Да | Да |
| Сервер удаленного доступа VPN и шлюз VPN | Да | Да | Да | Да |
| VPN-клиент | Нет | Да | Да | Нет |
| 10/100-Мбит/с порты ЛВС | 5 | 2 | 3 | 5 |
| Порты WAN | 1 | 1 | 1 | 1 |
| Балансировка нагрузки | Нет | Нет | Да | Нет |
| Число пользователей | Неогр. | Неогр. | Неогр. | 50 |
| Передача функций отказавшего межсетевого экрана исправному устройству | Нет | Нет | Нет | Нет |
| Переключение Internet-провайдера и полосы пропускания | Нет | Нет | Нет | |
| Настройка | Web-интерфейс | Командная строка и Web-интерфейс | Ограниченный Web и FIPS-совместимый RDP | Web-интерфейс |
| Процессор | 2-ГГц Intel | 1-ГГц Intel | 2-ГГц Intel | Intel |
| Web-кэширование и proxy | Нет | Нет | Да | Нет |
Таблица 3.3. Аппаратные межсетевые экраны для крупных предприятий с высокими требованиями к безопасности
| Характеристика | SonicWALL Pro 4060 | Cisco PIX-515E UR-FE-BUN | RimApp RoadBLOCK F302PLUS |
| Цена в долларах | 4995 | 5145 | 5580 |
| Контроль на прикладном уровне с учетом состояния | Нет | Да (ограничено) | Да |
| Контроль прикладного протокола | Да | Да | Да |
| Проверка пакетов на соответствие заданным условиям | Да | Да | Да |
| Прозрачная аутентификация Windows | Нет | Нет | Да |
| Протоколирование всех имен пользователей и приложений Web и Winsock | Нет | Нет | Да |
| Контроль на прикладном уровне через туннели SSL | Нет | Нет | Да |
| Поддержка Exchange | Нет | Нет | Да |
| Контроль шлюзового и клиентского трафика VPN на прикладном уровне | Нет | Нет | Да |
| Обнаружение и предотвращение несанкционированного доступа | Да | Да | Да |
| Сервер удаленного доступа VPN и шлюз VPN | Да | Да | Да |
| VPN-клиент | Нет | Да | Да |
| 10/100-Мбит/с порты ЛВС | 5 | 6 | 2-5 |
| Порты WAN | 1 | 1-4 | 1-5 |
| Балансировка нагрузки | Нет | Нет | Да |
| Число пользователей | Неограниченно | Неограниченно | Неограниченно |
| Передача функций отказавшего межсетевого экрана исправному устройству | Да | Да | Да |
| Переключение Internet-провайдера и объединение полосы пропускания | Да | Нет | Да |
| Конфигурирование Web-интерфейс | Командная строка и Web-интерфейс | Исчерпывающий Web и FIPS-совместимый RDP | |
| Процессор | 2-ГГц Intel | 433-МГц Celeron | 2,8-ГГц Intel |
| Web - кэширование и proxy | Нет | Нет | Да |
3.2 Intrusion Detection Systems (IDS)
Система обнаружение вторжение
IDS являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IDS становятся необходимым дополнением инфраструктуры безопасности.
Обнаружение проникновения является процессом мониторинга событий, происходящих в компьютерной системе или сети, и анализа их. Проникновения определяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера или сети. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. IDS являются программными или аппаратными устройствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в сети или системе, с целью обнаружения проникновений.
IDS состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
