Аппаратные и программные средства межсетевого экранирования

Рассмотрим основные схемы размещения межсетевых экранов.

МЭ на основе фильтрации пакетов представлен на рис. 5.2.

МЭ на основе фильтрации пакетов

Рис. 5.2. МЭ на основе фильтрации пакетов

Это самая простая, но наименее эффективная схема. Фильтрация осуществляется по классическому принципу: по 1Р адресам. К недостаткам следует отнести:

  • - сложность назначения правил фильтрации;
  • - отсутствие регистрации событий;
  • - сложность тестирования правил фильтрации;
  • - каждому хосту требуются свои правила усиленной аутентификации.

В МЭ на основе простого шлюза (рис. 5.3) внешняя и внутренняя сети полностью разделены, а значит полностью устранен 1Р трафик внутренней сети во внешнюю сеть. В результате создается локальная экранированная подсеть, где размещаются системы, доступные извне.

К недостаткам можно отнести невозможность работы некоторых служб, требующих прямого доступа.

МЭ на основе простого шлюза

Рис. 5.3. МЭ на основе простого шлюза

При использовании экранирующего шлюза (рис. 5.4) устанавливается правило: весь интернет-трафик направляется в прикладной шлюз, а из него - во внутреннюю сеть, Для некоторых служб устанавливаются исключения, по которым возможен прямой доступ к хостам защищаемой сети.

Гибкость сети достигается снижением безопасности.

МЭ на основе экранированного шлюза

Рис. 5.4. МЭ на основе экранированного шлюза

Использование экранированной подсети (рис. 5.5) позволяет гибко осуществлять любую политику безопасности сети.

Руководящими документами сформулированы основные требования к МЭ. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.

Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1 Г, третий - для 1В, второй - для 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.

Экранированная подсеть

Рис. 5.5. Экранированная подсеть

Требования к межсетевым экранам представлены в табл. 5.1.

Таблица 5.1

Показатели защищенности

Классы защищенности

5

4

3

2

1

Управление доступом (фильтрация данных и трансляция адресов)

+

+

+

+

=

Идентификация и аутентификация

-

-

+

=

+

Регистрация

-

+

+

+

=

Администрирование: идентификация и аутентификация

+

-

+

+

+

Администрирование: регистрация

+

+

+

=

=

Администрирование: простота использования

-

-

+

=

+

Целостность

+

=

+

+

+

Восстановление

+

=

=

+

=

Тестирование

+

+

+

+

+

Руководство администратора защиты

+

=

=

=

=

Тестовая документация

+

+

+

+

+

Конструкторская (проектная) документация

+

=

+

=

+

«+» - присутствуют новые требования;

«-» - требования отсутствуют;

«=» - требования совпадают с предыдущим классом.

Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к средствам вычислительной техники и АС в соответствии с руководящими документами ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться.

Для АС класса ЗБ, 2Б должны применяться МЭ не ниже 5 класса.

Для АС класса ЗА, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:

  • - при обработке информации с грифом «секретно» - не ниже 3 класса;
  • - при обработке информации с грифом «совершенно секретно» - не ниже
  • 2 класса;
  • - при обработке информации с грифом «особой важности» - не ниже
  • 1 класса.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >