Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4628 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский университет «МИЭТ»
Предмет:
Защита информации
Файл:
лекции 2022 / Lecture5.doc
Скачиваний:
8
Добавлен:
21.08.2022
Размер:
81.41 Кб
Скачать
►Содержание►

5.3. Основные компоненты мэ

МЭ состоят, как правило, из нескольких компонент, основными из которых являются следующие компоненты:

  • Фильтрующие маршрутизаторы;

  • Шлюзы сетевого уровня;

  • Шлюзы прикладного уровня.

5.3.1. Фильтрующие маршрутизаторы

В этом случае фильтрация пакетов осуществляется на основе адресной информации, содержащейся в заголовках пакетов. В простейшем случае фильтрующий маршрутизатор (ФМ) фильтрует IP – пакеты по следующим параметрам:

  • По IP – адресу отправителя или по IP – адресу получателя;

  • По порту отправителя или получателя (порт означает привязку пересылки информации к конкретной прикладной задаче, т.е. если отправитель и получатель информации работают совместно по двум прикладным задачам, задачи могут быть привязаны к различным портам).

Пример работы фильтрующего маршрутизатора

Необходимо обеспечить фильтрацию протоколов для следующего фрагмента сети:

Управляющий Компьютер

(А= 123.4.5.6)

TELNET

Фильтрующий маршрутизатор

Сервер новостей

(А= 123.4.5.9)

SMTP

NNTP

Почтовый клиент

(А= 123.4.5.8)

Почтовый клиент

(А= 123.4.5.7)

Примечание: (NNTP – Network News Transfer Protocol)

Сведем набор правил фильтрующего маршрутизатора для данного фрагмента сети в таблицу.

Тип протокола

Адрес отправителя

Адрес получателя

Порт отправителя

Порт получателя

Действие

TCP

*

123.4.5.6

1023

23

Разрешить

TCP

*

123.4.5.7

 1023

25

Разрешить

TCP

*

123.4.5.8

 1023

25

Разрешить

TCP

129.6.48.254

123.4.5.9

 1023

119

Разрешить

*

*

*

*

*

Запретить

Комментарии:

  1. Первое правило позволяет пропускать пакеты типа TCP из сети Интернет от любого источника с номером порта, большим, чем 1023, к получателю с адресом 123.4.5.6 в порт 23. Порт 23 связан с сервером TELNET и все клиенты TELNET должны иметь порты с номерами, не меньшими 1023.

  2. Правила 2 … 4 – аналогичны первому правилу.

  3. Пятое правило блокирует все остальные пакеты.

Недостатки фильтрующих маршрутизаторов:

  • Правила фильтрации пакетов формулируются сложно и обычно нет средств для тестирования их корректности, кроме ручного тестирования;

  • Внутренняя сеть видна из общедоступной сети;

  • Не помогают при атаках типа «подмена адреса», когда кракер использует адрес авторизованного клиента;

  • При нарушении работоспособности ФМ все компьютеры за ним становятся полностью незащищенными либо недоступными;

  • Отсутствует должным образом реализованная аутентификация пользователя.

Соседние файлы в папке лекции 2022
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности