- •Оглавление
- •От редактора перевода
- •Введение
- •Использовать
- •Аргументировано обсуждать
- •IV. Применять знания
- •Модуль 1. Компьютерные системы
- •Обзор компьютерных систем
- •1.1.1. Компоненты компьютерных систем
- •Эволюция компьютерных систем
- •1.2.1. Краткая историческая справка
- •Закон Мура
- •1.2.2. Применение компьютерных систем
- •Представление данных в компьютерных системах
- •1.3.1. Биты и байты
- •1.3.2. Системы счисления
- •Модуль 2. Системы аппаратного обеспечения
- •2.1 Процессор и память
- •2.1.1 Процессор. Основы.
- •2.1.2 Типы памяти
- •2.1.3 Лабораторная работа: Эталонное тестирование (необязательная)
- •2.2 Внешние устройства
- •2.2.1 Присоединяемые внешние устройства
- •2.2.2 Шины
- •2.2.3 Входные/выходные устройства
- •2.3 Запоминающие устройства
- •2.3.1 Интерфейсы дисковых контроллеров
- •2.3.2 Накопитель (запоминающее устройство большой ёмкости)
- •2.4 Соединение компонентов аппаратного обеспечения
- •2.4.1 Как компоненты компьютера работают вместе
- •2.4.2 Лабораторная работа: Изучение компьютерных систем
- •2.4.3 Лабораторная работа: Конфигурация online
- •2.5 Повышение производительности компьютера
- •2.5.1 Закон Мура
- •2.5.2 “Узкие” места (Bottlenecks)
- •2.5.3 Производительность и время ожидания
- •Модуль 1 и Модуль 2 Обзорные материалы
- •Закон Мура
- •Модуль 3. Программное обеспечение операционных систем
- •Структура
- •3.1.1 Уровни программного обеспечения
- •3.1.2 Bios: Жизнь снизу
- •3.1.3 Управление процессами
- •3.1.4 Лабораторная работа: диспетчер задач (Task Manager)
- •3.2 Управление устройствами и конфигурация
- •3.2.1 Управление прерываниями
- •3.2.2 Характеристики аппаратного обеспечения
- •3.2.3 Конфигурация
- •3.2.4 Лабораторная работа: Управление устройствами
- •3.3. Распределение ресурсов
- •3.3.1 Виртуальная память
- •3.3.2 Совместное использование файлов и принтеров
- •3.4. Файловые системы
- •3.4.1 Организация файлов
- •3.4.2 Таблица размещения файлов (File Allocation Table) и файловая система nt
- •Модуль 4. Прикладное программное обеспечение
- •4.1 Основы программного обеспечения
- •4.2 Использование систем программного обеспечения
- •4.2.1 Лабораторная работа: Команды dos
- •4.2.2 Лабораторная работа: Макросы
- •4.2.3 Лабораторная работа: Встроенные объект-приложения
- •4.3 Пакетные файлы сценариев
- •4.3.1 Расширенные функции командной строки
- •4.3.2 Команды пакетного файла
- •4.3.3 Лабораторная работа: Создание пакетного файла
- •4.4 Базы данных
- •4.4.1 Лабораторная работа: Поиск в библиотеке Конгресса
- •4.5 Проектирование программного обеспечения
- •4.5.1 Введение в разработку крупномасштабных программных систем (Large-Scale Software).
- •4.5.2 Модель открытого кода
- •4.5.3 Средства для создания и управления программным обеспечением
- •Модуль 3 и Модуль 4 - Материалы для проверки
- •Базы данных
- •Виртуальная память
- •Модуль 5. Сетевые системы
- •5.1 Основы Интернета
- •5.1.1 Типы mime
- •5.1.2 Языки Интернет
- •5.2 Локальные и глобальные сети
- •5.3 Стратегии коммуникации
- •5.3.1 Структура клиент-сервер (Client-Server Framework)
- •5.3.2 Равноправное соединение
- •5.4 Технологии передачи данных
- •5.5 Архитектура Интернет
- •5.5.1 Роутеры и tcp/ip
- •5.5.2 Сервис доменных имен (Domain Name Service)
- •5.5.3 Способность к подключению
- •5.5.4 Провайдеры Интернет-сервиса (Internet Service Providers)
- •Модуль 6. Безопасность компьютера
- •6.1 Угрозы безопасности
- •6.1.1 Злоумышленники: кто, зачем и как?
- •6.1.2 Кража личности и нарушение конфиденциальности (Identity Theft and Privacy Violation)
- •6.1.3 Вредоносные программные средства
- •6.1.4 Отказ от обслуживания
- •6.2 Технологии безопасности
- •6.2.1 Шифрование
- •6.2.2 Применение шифрования
- •6.2.3 Идентификация
- •6.3 Предотвращение, определение и восстановление
- •6.3.1 Система сетевой защиты (Firewall)
- •6.3.2 Средства определения вторжения
- •6.3.3 Восстановление данных
- •6.3.4 Обзор типов безопасности
- •Модуль 5 и Модуль 6 Обзорный материал
- •Шифрование
- •Приложение а. Выполнение файла Visual Basic
- •Приложение в. Загрузка приложения WinZip
- •Рекомендации по чтению ssd2
6.3 Предотвращение, определение и восстановление
Наряду с использованием технологий безопасности, таких как шифрование и аутентификация, есть дополнительные возможности защитить данные, предотвращая и контролируя сетевые действия. Также важно сохранять дубликаты данных на случай их порчи или потери.
Последовательность чтения:
|
6.3.1 Система сетевой защиты (Firewall)
-
Шлюз приложения
-
Фильтр пакетов
-
Шлюз приложения в сравнении с фильтром пакетов
-
Гибрид
-
Атаки злоумышленников, предотвращаемые Firewal
-
Настройка Firewall
Система сетевой защиты (firewall) – программа или аппаратное устройство, которое защищает вашу сеть, фильтруя входящие пакеты из Интернета вашей защищенной сетью или компьютерной системой. Она может использоваться в качестве рентабельного метода для защиты домашнего компьютера или организации. Использование firewall для защиты частной сети подобно использованию ворот и охраны для защиты собственности. Оно обеспечивает границу между вашей защищенной системой и Интернетом. Система сетевой защиты является одним из первых препятствий против несанкционированного доступа к компьютерным системам и данным. Она служит цензором в вашей компьютерной системе. Обычно она устанавливается между внутренней сетью и Интернетом, чтобы гарантировать прохождение входного и выходного трафика только через защищенную сеть. Если входящий трафик не распознается firewall как допустимый, то он не пропускается.
Firewall также важен, так как он обеспечивает единую “точку заслона”, где может быть осуществлена политика безопасности и выполнен контроль. Системы сетевой защиты часто обеспечивают отчеты администратору о видах прошедших данных, количестве трафика и числе попыток взломать защищенную систему.
Рисунок внизу показывает firewall в виде фильтра входящего в защищенную систему трафика.
Рисунок 1. Firewall и защищенная сеть
Шлюз приложения
Существует два типа firewall . Первый тип – шлюз приложения (application gateway). Вместо разрешения корпоративным узлам связываться непосредственно с внешними узлами, коммуникации идут через приложение, называемое прокси (proxy), запускаемое или непосредственно находящееся за firewall. Например, когда корпоративный узел пытается читать веб-страницу, он устанавливает связь с Веб-прокси, работающем на firewall вместо фактического сервера. Прокси будет принимать запросы и, если они одобрены, то происходит обращение к странице фактического сервера. Как только страница получена, прокси, в соответствии с настройками, проверяет ее и затем пересылает запрашивающему узлу. Подобные прокси программы могут быть для электронной почты и других приложений.
Фильтр пакетов
Второй тип firewall – это фильтр пакетов (packet filter). Он использует информации из заголовка пакета для определения, можно ли пропустить пакет через firewall. Возвращает адрес отправителя пакета, адрес получателя и данные. Если источник доставки или точка назначения недопустимы, пакет блокируется, и запись в протоколе может быть проверена сетевым менеджером.
Фильтры пакета осуществляют только грубый контроль доступа. Причина в том, что им придется принять решения о фильтрации, основанные исключительно на соответствии полей заголовка (например, номера портов или адреса IP) с определенными известными значениями. Например, можно ограничить приложения, которые могут посылать данные через систему сетевой защиты, основываясь на номерах портов. Поскольку электронная почта обычно использует порт 25, законный почтовый трафик посылается на 25-й порт, чтобы он прошел через систему сетевой защиты. Также можно ввести ограничения, основанные на IP- адресах, с которыми могут связаться хосты или корпоративные сетевые системы. Например, фильтр пакета может предотвратить связь со специфическими веб-узлами. Однако если веб-сервер использует нестандартные имена портов или, если прокси использует маски IP-адресов, то фильтр пакета может и не задержать все пакеты, нарушающие корпоративную политику.
Более современный метод фильтрации пакетов сравнивает подлинные части ключей пакета. Firewall проверяет пакеты и отслеживает их состояния от пакета к пакету. Также он отслеживает связь между пакетами для обеспечения возврата запрошенных данных изнутри firewall.
Шлюз приложения в сравнении с фильтром пакетов
По сравнению с пакетными фильтрами прокси-приложения могут обеспечить более скрупулезный контроль доступа, и они также имеют преимущества в том, что проверяют содержимое. Например, прокси-приложения могут скрыть email с привилегированной информацией. Дополнительно, они могут отклонять данные необычного формата или привести данные к корректной форме. Однако, они медленнее, чем пакетные фильтры. Более того, прокси должны быть созданы для каждого приложения. Отметим, что если корпоративная сеть подключена к Интернету через firewall, использующий шлюзы приложения, то хосты в этой сети не видимы в Интернете. Это означает, что их IP-адреса никогда не будут показаны в любых пакетах Интернета.
Гибрид
Пытаясь скомбинировать защиту шлюзами приложений, гибкость и скорость фильтрации пакетов, продавцы создали системы, которые используют оба принципа. В этих гибридных системах, новые подключения аутентифицированы и одобрены на прикладном уровне. Остальные подключения переносятся на сеансовый уровень, где пакетные фильтры гарантируют, что передаются только те пакеты, которые являются частью постоянной (уже аутентифицированной и одобренной) пересылки.
Другие возможности включают использование как фильтра пакетов, так и прокси уровня приложений. Этот метод защищает компьютеры, которые обеспечивают услуги Интернета (например, общедоступный веб-сервер) и служит шлюзом уровня приложений, защищающим внутреннюю сеть. Дополнительно, этот метод обеспечивает множественные уровни защиты от вторжений нацеленных на сервисы внутренней сети.
Атаки злоумышленников, предотвращаемые Firewall
Firewall может защищать от попыток злоумышленников нарушить безопасность системы:
Удалённый доступ – злоумышленники могут войти в вашу защищенную сеть через Telnet логин. Firewall может блокировать трафик от Telnet и других методов удаленного доступа.
Лазейки (backdoors) в приложениях – Некоторые программы имеют специальные особенности, обеспечивающие самозванцам возможность вторжения. Отдельные программы могут содержать ошибки (bugs), обеспечивающие лазейки или скрытый доступ, который может дать самозванцу способность управлять программой. Система сетевой защиты может быть установлена, чтобы обеспечить прохождение трафика только через законные порты приложения.
Маршрутизация от источника – В большинстве случаев, путь движения пакета через Интернет определяется маршрутизаторами. Но, отправитель пакета может произвольно определить маршрут, по которому должен проходить пакет. Хакеры иногда пользуются этим, чтобы казалось, будто информация прибыла от доверенного источника или даже изнутри сети. Большинство продуктов систем сетевой защиты по умолчанию отключают подобную маршрутизацию от источника.
Вирусы – Комбинированный firewall можно использовать для исследования почтового трафика и фильтрации данных со специальными вложениями (такими как файлы с расширениями .exe and .vbs).
Отказ в обслуживании – Firewall может блокировать IP-адреса нарушителей
Настройка firewall
Эффективность системы сетевой защиты зависит от правил, указывающих какой тип данных может пройти, а какой нет. Firewall также может быть сконфигурирован для укрепления определенной стратегии защиты, устанавливаемой вами или вашей организацией на машинах в пределах защищенной сети. Для приложений, это может служить дополнительным уровнем проверки, гарантирующим, что «лазейки» приложений недоступны для использования.
Конфигурация firewall основана на уровне защиты, установленном вами или вашей организацией. Самый высокий уровень защиты может блокировать весь трафик, но он может нарушить Интернет подключение. Некоторые firewall запрещают только почтовый трафик, таким образом, защищая сеть от любых атак на почтовый сервис. Другие firewall обеспечивают низкий уровень защиты и блокируют только сервисы, известные как проблемные. В основном firewall сконфигурирован для защиты от несанкционированного удаленного доступа через Telnet. Это помогает предотвратить вхождение злоумышленников на машины вашей сети.
Некоторые системы сетевой защиты могут быть сконфигурированы так, чтобы блокировать трафик снаружи внутрь, но разрешают пользователям изнутри свободно связываться с внешней частью. Однако важно гарантировать, чтобы сообщения изнутри фильтровались системой сетевой защиты. В случае вирусной инфекции, фильтрация внутренних пакетов сети, может препятствовать распространению инфекции. Общее правило установки системы сетевой защиты – блокировать все, а затем начать выбирать, какие типы трафика разрешить.
Несмотря на конфигурацию firewall, он защищает нас только от неразрешенного трафика. Запрет всего трафика невозможен. Есть другие средства для укрепления защиты вашего компьютера, о которых рассказано в следующем разделе.