Одом У. - CISCO Официальное руководство по подготовке к сертификационным экзаменам CCENTCCNA ICND1 - 2010 (953096), страница 44
Текст из файла (страница 44)
Брандмауэры и адаптивные средства безопасности С! есо (АЗА) Брандмауэры исследуют все входящие в сеть выходящие из нее пакеты„для того чтобы отфильтровать нежелательный график. Брандмауэры отделяют'допустимые данные от недопустимых на основе многих характеристик пакетов, в частности, 1Р- адресов отправителя и получкгеля, а также номеров ТСР- и ШЭР-портов (в которых косвенно указан протокол приложения). Брандмауэры также анализируют загаловки уровня приложений Термин брандмауэр относится к области строительства и архитектурй) К брандмауэру здания предъявляются два основных требования: он должен быль сделан из огнеупорных материалов, и архитектор ограничивает количество проемов в стене (двери, каналы лля проводки и трубопровода), ограничивая тем самым пути распространения огня. Анатогичным образом бранлмауэр в сети должен быть »закаленным» против атак на сеть. Он должен запрещать лоступ всем накатам, кроме тех, которым доступ был разрешен сетевым инженерном в соответствии с установленными а сети правилами.
Этот процесс по аналогии с брандмауэром.эдапня часто :ф~~,,'.":;,::. называется "открытием дыры" Брандмауэры находятся на пути пересылки пакетов межау двумя свтямп, пРи .;1),'-';:~.''р . этом часто один 1А)ч-интерфейс подсоединен к безопасной локальной сети. а дру- %:- »'.,„"-', г)пг интерфейс — к менее безопасной сети (часто Интернет). Кроьгегтого, поскольку -'- 4:-;:;:,"'; некоторые узлы предприягия должны быть доступны из сети Интврйет„пе сути, ';,;",;" наиболее опасная ситуация — брандмауэр обычно имеет интерфейс, 'подсоединен.''",„-", Йый к другой небольшой части сети предприятия, которая назы~аФтся,двь~йлг(тари.-"': Жванной зоной ((зепййгапхед Еопе — ОМХ). 1)МХ-зона локальнойгев(э».ПРВЛЯтвя)-'"-г'яет собой место, где расположены устройства, которые должны.быгь дввтУпны» из- ~~!!'-'-'~~)не, но этот доступ подвергает их серьезному риску.
на рис.б;16,;покйпзи"пРи )',:,,"'мер пРоектирования сети, имеющей один брандмауэр с тремя иитеРФ~Й~вип ',:;:::;;,:Для выполнения своих задач брандмауэр должен быть скоифнгурирювдп'таким ),,',МРазом, чтобы он "знал", какие его интерфейсы подсоединены,,к,;вг()ггр~гзп~й '"!,","-."~внешней и демилитаризованной частям сети. кроме того, должны.бьг)ч»'сковФв~ъ'" ; ~гпрованы правила, которые указывают брандмауэру, какие типы траФн4шюи((ются .'...:.,'(Й)п»уетимыми„а какие — нет. На рисунке показаны два типичпых дппЗсв~9~ьгя,'по- "-",зека и олин, который обычно является запрещенным (потоки показапы::пягктиР- т(а(ями линиями); Часть 1.
Основы сетей Рис. б.! б. Общи» схема сети с браидмаузрам ° Разрешить веб-клиентам внугренней сети (таким, как компькпер ПК1) М".,:::1 правлять пакеты веб-серверу (в данном случае серверу хсин. ехапр1е . соах) ° Запретить веб-клиентам внешней сети (таким как ПК5) отправку пакетов Иебьз" серверам внутренней части сети (таким как внутренний сервер Хтес)всо.
осла). ',;, а Разрешить веб-клиентам внешней сети (таким как компьютер ПК5) подай~,'.;,,' диняться к веб-серверам демилитаризованной зоны ВМс (таким как сервер хенх». 1хес1всо. соха). Ранее корпорапия Сьзсо выпускала брандмауэры под ~орговой маркой Р)Х. 11'-;.„ сколько лет назал Спасо выпустила на рынок нелое поколение новых аллар срелств обеспечения сегевой безопасности, используя торговую марку АЯА (Аоар(... Яеспгйу Аррйапсе — адаптивные устройства безопасности). Аппаратные сред ', АЬА могут играть роль брандмауэра и выполнять другие функции обеспечения бв '',',. пасности, в том числе комбинации этих ролей. Поэтому, когда идет речь о безас(вв'. ности сети, термин "брандмауэр" по-прежнему применяется к этим функпиямгх",. в настояшее время устройство Сосо может быть установленным ранее устаревш бранлмауэром Р1Х или более новым АЗА (в нижней части рис.
6.16 показана пи грамма устройства АЯА), Глава 6. Основы протокола ТСРЛР: передача данных, приложения... 207 Анти-х Всеоггьемлюший план зашиты сети требует использования нескольких функций, которые предотвращают возникновение известных типов проблем. Например, установленное на узле антивирусное обеспечение помогает предотвратить заражение компьютера вирусами.
Средства Сьэсо АЬА обеспечивавзт или помогают создать глубинную защиту, которая включает в себя ряд средств, предотвращающих такие проблемы, как заражение вирусами. Поскольку названия нескольких отдельных инструментов начинаются с приставки "анти-"', специалисты Свсо используютлермин анти-х (апй-х) для обозначения целого класса инструментов жгщиты, которые предотврашакн возникновение различных проблем, включав следующие. ° Антивирусные средства (аой-Ипв).
исгюльзуются для сканирования потока данных в сети и предотвращения передачи известных вирусов на основе их сигнатур. ° Аити-щпиов (авб-хруяаге): сканирует сетевой поток для предотвращения пере- дачи программ-шпионов. ° Анти-сам (аой-аращ): анализирует почтовые сообгцения до того, как они попа- дут к пользователялц уничтожая или отделяя нежелательную корреспонденцию. 4- ° Анти-фишинг (аой-рЬЬЫой): осуществляет мониторинг () КЕ, отправленных в сообщениях по сети, для поиска РК), которым свойственны рЫарйпй-атаки, предотвращая похищение пользовательских данных. ° Фильтрация 3./КЕ (()И.
ййегщй): фильтрует веб-график на основе ()К для предотвращения подсоединений пользователей к "нежелательным'* сайтам. 4!':"'-.. а Фильтрация электронной почты (Е-огай Гйгеппй). "предоставляет антиспамсредства. Также фильтрует почтовые сообщения, содержащие оскорбительные материалы, потенциально защищая предприятие от судебного преследования. редсзва Сьчсо ЛэА могут быть использованы для всех перечисленных выше ий "анти-х". Обнаружение вторжений в сеть и их г) редотвре(цение которые типы атак трудно обнаружить средствами "анти-х'*. Например, если ный вирус заражает компьютер только через приложение к электронному ьму файла сп(в-за-азгзгцв.ехе, то АВА или антивирусное программное ечение компьютера сможет легко илентифицировать и уничтожить этот вирус.
о некоторые виды атак имеют значительно более изощренный характер. Атаки даже не включать в себя передачу файлов, используя вместо этого множество , более сложных методов, часто пользуясь недавно обнаруженными дефекта- перацнонной системе. мире сетевой безопасности есть два типа средств защиты, которые могут быть ьзованы для предотвращения изощренных атак: система обнаружения вторже1гпапзазоп Регесйоп Буеегпэ — !РБ) и система предотвращения вторжений йзп Ргечепбоп Буэгещэ — ! РБ).
средства систем (РБ и (РВ обнаруживают эти зы, анализируя тенденции в поисках атак, которые используют особые шабз(онй ений и другие факторьь Например, системы (РЗ и 3 РБ могут следить за послеЛаиостнми,пакртовэ пеРесылвемых междУ Узлами в поззскйх файлов, отПРва- Часть !. Оси<хны сетей ляемых на все большее количество узлов, что может свидетельствовать о наличии червя, который пытается распространяться по сети. Системы 11)$ и 1РЗ различаются главным образом тем, как они следят за з)зафиком в сети, и тем, как онн реагируют в случае подозрений на угрозы. Средства !ОБ обычно получают копии пакетов через порт мониторинга, нс становясь частью маршрута пересылки пакетов. Система 1ОВ может после этого оценить уровень каждой потенциальной угрозы и в случае необходимости запросить помощь в предотвраще- нии атаки у других устройств, таких как маршрутизаторы и бра<щмауэры (если они в состоянии это сделать).
Средства !РВ часто находятся на пути пересылки пакетов, что дает возможность !РЯ выполнять такие же функции, как и функции 1ПЯ, но в дополнение к ним ! РЯ имеет возможность реагировать на график и фильтровать его. Способность быстро реагировать весьма важна для прелотврашения некоторых атак, таких, например, как червь Яап<щег, появившийся в 2003 году, который удваивал ':,.:";.',. число зараженных узлов примерно каждые 9 секунд и смог заразить 75000 узлов за,".,' первые !О минут атаки.