Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 222
Текст из файла (страница 222)
После того как сетевой экран установил допустимость ТСР-соединения, он начинает работать простым передаточным звеном между клиентом и сервером. Для того чтобы контролировать процесс установления соединения, сетевой экран должен фиксировать для себя текущее состояние соединения, то есть заноминатль, какое последнее сообщение отправил клиент и какое сообщение он ожидает получить. Такой подход, когда пропускаются только те пакеты, которые удовлетворяют логике работы соответствующего протокола, называют фильтрацией с учетом контекста (згагебт! Расйег 1пзресбоп). Благодаря такой способности брандмауэры сетевого уровня могут защищать серверы внутренней сети от различных вилов атак, использующих уязвимости протоколов, в частности от РоЯ-атак.
Сетевые экраны прикладного уровня способны интерпретировать, анализировать и контролировать содержимое сообщений, которыми обмениваются приложения. К этому уровню относят прокси-серверы, о которых мы будем говорить подробнее далее. Прокси-сервер перехватывает запросы клиентов к внешним серверам с тем, чтобы потом отправить их от своего имени.
Этот тип сетевых экранов обеспечивает самый высокий уровень защиты, хотя и имеет свои недостатки, например требует больших вычислительных затрат. Кроме того, проксн-серверы могут скрывать адрес «доверившегося» ему клиента, что снижает эффективность других средств зашиты. Реализация Реализация сетевого экрана так же многовариантна, как и его функциональность. В качестве аппаратной составляющей сетевого экрана может выступать маршрутизатор или комбинация маршрутизаторов, компьютер или комбинация компьютеров, комбинация маршрутизаторов и компьютеров, наконец, это может быть специализированное устройство.
Таким же разнообразием отличается и программная составляющая сетевого экрана, имеющая гибкую структуру и включающая в себя различные модули, функции которых могут широко варьироваться. Сложная структура аппаратных н программных средств сетевого экрана, разнообразие настраиваемых параметров, наборы правил, регламентирующих работу фильтров разного уровня, списки паролей и другой информации для проведения аутентификации, списки прав доступа пользователей к внутренним и внешним ресурсам сети — все это требует от администратора значительной дополнительной работы по конфигурированию. Только в случае качественной начтройки аппаратуры и программных модулей сетевой экран действительно может стать краеугольным камнем системы зашиты сети предприятия.
«Умные» сетевые экраны позволяют администратору упростить эту работу, потому что они требуют только задания высокоуровневых правил политики безопасности сети, которые затем автоматически транслируются в низкоуровневые операции по конфигурированию отдельных функциональных подсистем сетевого экрана. вво Глава 24. Сетевая безопасность Архитектура Простейшей архитектурой сети с сетевым экраном является вариант, когда все функции сетевого экрана реализуются одним программно-аппаратным устройством, например маршрутизатором или, как показано на рис.
24.23, универсальным компьютером. Такой способ построения защиты логически самый простой, однако он имеет очевидный недостаток, заключающийся в полной зависимости системы защиты от работоспособности одного звена, в данном случае — компьютера-брандмауэра. Рнс. 24.23.
Сетевой экран на базе даухзходозого компьютера Компьютер, играющий роль сетевого экрана, должен иметь, по крайней мере, два сетевых интерфейса, к одному из которых подключается внутренняя, к другому — внешняя сеть. Двухвходовой компьютер выполняет функции программного маршрутизатора, а также те функции сетевого экрана, конкретный перечень которых определяется установленным на данном компьютере программным обеспечением. Более надежные схемы сетевых экранов включают несколько элементов. В сети, показанной на рис. 24.24, на рубеже защиты установлено два маршрутизатора, между которыми располагается так называемая сеть периметра. меть перкмзетре, нлн сеть ддекмартериврванней «сны (ЬМе), — зто сеть, которую длз до' бвввеньм еще сдиртоуровнвееввтру вйутренией сети размещают мезйуйфтренней и внешней свтяммвквчестйе4уфера: .
В сети периметра обычно располагаются компьютеры, которые предоставляют общедоступные сервисы, например почтовый сервер, внешний сервер РХЯ или внешний веб-сервер предприятия. В этой зоне могут быть размещены также проксн-серверы. Учитывая, что само назначение этих компьютеров предполагает практически никак не ограничиваемый ВВ1 Сетевые экраны доступ к ним внешних пользователей (а значит, и злоумышленников), их необходимо защищать особенно тщательно.
Главными задачами при защите этих компьютеров (называемых иногда компьютерами-бастионами) является обеспечение целостности и доступности размещенных на них данных для пользователей внешней сети. Эту задачу решают «ннднвидуальные» средства защиты, устанавливаемые на компьютерах-бастионах, такие, например, как антивирусные программы или фильтры спама. ан «« Рис. 24.24. Сетевой экран на базе двух маршрутизаторов Чтобы пояснить, каким образом сеть периметра усиливает защиту внутренней сети, давайте посмотрим, что произойдет, если какой-либо злоумышленник сможет «взломать» первый рубеж защиты — внешний маршрутизатор — и начнет прослушивать график подключенной к нему сети периметра.
Очевидно, что он получит доступ только к графику общедоступных серверов, которы»ьне является секретным. Внешний маршрутизатор призван фильтровать график с целью защиты сети периметра н внутренней сети. Однако строгая фильтрация в этом случае оказывается невостребованной. Общедоступные серверы по своей сути предназначены для практически неограниченного доступа. Что касается защиты внутренней сети, правила фильтрации для доступа к ее узлам и сервисам являются одними и теми же для обоих маршрутизаторов, поэтому внешний маршрутизатор может просто положиться в этом деле на внутренний маршрутизатор. Обычно внешний маршрутизатор находится в зоне веденья провайдера, и администраторы корпоративной сети ограиияен ы в возможностях его оперативного реконфигурировани я.
Это является еше одной причиной, по которой функциональная нагрузка на внешний маршрутизатор обычно невелика. Основная работа по обеспечению безопасности локальной сети возлагается на внутренний марируаизатор, который защищает ее как от внешней сети, так н от сети периметра.
Пра- вв2 Глава 24. Сетевая безопасность вила, определенные для узлов сети периметра по доступу к ресурсам внутренней сети, часто бывают более строгими, чем правила, регламентирующие доступ к этим ресурсам внешних пользователей. Это делается для того, чтобы в случае взлома какого-либо компьютера- бастиона уменьшить число узлов и сервисов, которые впоследствии могут быть атакованы с этого компьютера. Именно поэтому внутренний маршрутизатор должен отбрасывать все пакеты, следующие во внутреннюю сеть из сети периметра, исключая пакеты нескольких протоколов (иапример, НТТР ВМТР РХЯ), абсолютно необходимых пользователям внутренней сети для обращения к внешним серверам соответственно веб-службы, электронной почты и ()Х5, установленным в сети периметра. П рокси-серверы В этом разделе мы рассмотрим функциональное назначение, принципы работы и особенности реализации прокси-серверов, которые наряду с пакетными фильтрами являются важнейшими компонентами сетевых экранов.
Функции прокси-сервера йфо)(шк,Пейвер —,',' это особый тнп приложений. которое выполняет функции посредника между .кпнрптркнМн н сеРвер)в4мп чрпбтьрцидпредепенных сетевых прнвоженнй, причем прш~попатеетерк чтп квйфгяФ пррцвййрждт ан~трМ(йбй(йвя)ншаемой) сети, в серверы,— внешней (потшгк(неявно'шктр)к)й) (е)ть Роль транзитного узла позволяет прокси-серверу логически разорвать прямое соединение между клиентом и сервером с целью контроля процесса обмена сообшеииями между ними. Подобно сетевому экрану, прокси-сервер может эффективна выполнять свои функции только при условии, что контролируемый им график ие пойдет обходным путем.
Прокси-сервер может быть установлен ие только иа платформе, где работают все остальные модули сетевого экрана (рис. 24.25, а), ио и иа любом другом узле внутренней сети или сети периметра (рис. 24.25, 6). В последнем случае программное обеспечение клиента должно быть сконфигурировано таким образом, чтобы у него ие было возможности установить прямое соединение с ресурсным сервером, минуя прокси-сервер. Когда клиенту необходимо получить ресурс от какого-либо сервера (файл, веб-страницу, почтовое сообщение), ои посылает свой запрос прокси-серверу. Прокси-сервер анализирует этот запрос иа основании заданных ему администратором правил и решает, каким образом он должен быть обработан (отброшен, передан без изменения ресурсному серверу, модифицирован тем или иным способом перед передачей, немедленно обработан силами самого прокси-сервера).
В качестве правил, которыми руководствуется прокси-сервер, могут выступать условия пакетной фильтрации. Правила могут быть достаточно сложными, например в рабочие часы блокируется доступ к тем или иным узлам и/или приложениям, а доступ к другим / узлам разрешается только определенным пользователям, причем для РТР-серверов пользователям разрешается делать лишь загрузку, а выгрузка запрещается. Прокси-серверы ввз Прокси-серверы могут также фильтровать почтовые сообщения по типу пересылаемого файла (например, запретить получение сообщений формата МРЗ) и по их коитеиту. К разным пользователям могут применяться разные правила фильтрации, поэтому часто иа прокси-серверы возлагается задача аутентификации пользователей. Рис.
24.26. Варианты расположения прокоп-серверов; э — на сетевоы экране, о — на узле внутренней сети Если после всесторонней оценки запроса от приложения прокоп-сервер констатирует, что запрос удовлетворяет условиям прохождения дальше во внешнюю сеть, то ои выполняет по поручению прилолсетг(гя, 'но ош своего имени процедуру соединения с сервером, затребованным данным приложением. В некоторых случаях прокоп-сервер может изменять запрос клиента. Например, если в него встроена функция трансляции сетевых адресов (см. раздел «Трансляция сетевых адресов» в главе 18), ои может подменять в пакете запроса 1Р-адреса и/или номера ТСР- и ШЭР- 884 Глава 24.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
