Архітектура МЕ

Після визначення вимог щодо безпеки мережі, що захищається і розробки політики доступу до мережевих ресурсів виникає завдання проекту-вання МЕ Залежно від вимог до межсетевому обміну організа- ції і ступеня забезпечуваної захищеності периметра її мережі в МЕ може входити від одного до декількох розглянутих компонентів Склад і спо-соб їх взаємного розташування визначає архітектуру МЕ Існують наступні базові схеми побудови МЕ (можуть бути модифіковані в інші варіанти конфігурації) на основі:

– Фільтруючого маршрутизатора

– Дводомної вузла (вузла з двома мережевими інтерфейсами)

– Екрануючого вузла

– Екрануючому мережі

МЕ на основі фільтруючого маршрутизатора являє собою апарат-

ратний або програмний маршрутизатор на периметрі мережі, що захищається, в якому визначений набір правил, що встановлюють дозволені мережеві

сервіси (рис 35) Кожен мережевий пакет перед прийняттям рішення про його маршрутизації перевіряється на приналежність до дозволенного типу трафіка

ка Переваги і недоліки даної схеми МЕ визначаються возможностя-

ми функціонуючого на маршрутизаторі пакетного фільтра

Рис 35 МЕ на основі фільтруючого маршрутизатора

МЕ на основі дводомної вузла являє собою компютер з двома мережевими інтерфейсами, один з яких підключено до захищається внутріш-ній мережі, а другий – до зовнішньої (рис 36) Стандартна служба маршрутіза- ції мережевих пакетів в ОС дводомної вузла відключається для того, щоб не-посереднє взаємодія між вузлами внутрішньої і зовнішньої мережі було неможливим Межсетевое взаємодія в рамках дозволених сер-вісов забезпечується проксі-сервером, функціонуючим на дводомної уз-ле Схема в порівнянні з попередньою характеризується більшим ступенем безпеки, але що надається користувачам мережі набір сервісів огра-ничен і визначається ПО проксі-сервера

Рис 36 МЕ на основі дводомної вузла

МЕ на основі екрануючого вузла являє собою комбінацію попередніх схем: до складу його входять фільтруючий маршрутизатор на пе-метру і проксі-сервер, що функціонує на вузлі-бастіоні з одним ін-терфейса, у внутрішній мережі (рис 37) Пакетний фільтр на Маршрутизат-ре конфігурується таким чином, що дозволений входить і виходить мережевий трафік обовязково проходить через вузол-бастіон Схема характеризу-ється більшою гнучкістю порівняно зі схемою МЕ на основі дводомної вузла, так як сервіс, який не підтримується проксі-сервером, може бути раз-вирішене безпосередньо через маршрутизатор

Рис 37 МЕ на основі екрануючого вузла

Схема МЕ на основі екрануючому мережі являє собою розвиток попередньої схеми і відрізняється від неї наявністю додаткового маршрутів-тізатора (рис 38) Між зовнішнім і внутрішнім фільтруючими маршрути- заторами створюється «менш захищається» мережу, звана періметровая се-тьма або демілітаризованою зоною (DMZ), яка «екранує» захищається мую мережу від зовнішнього світу Як правило, в періметровая мережі установлюються вузли з проксі-сервером і серверами відкритих сервісів

Рис 38 МЕ на основі екрануючому мережі

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*