- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Один межсетевой экран
Для создания демилитаризованной зоны может использоваться один межсетевой экран. При этом DMZ отделяется от внешней сети, как показано на рис. 16.10. Внешняя сеть формируется маршрутизатором ISP и маршрутизатором. DMZ реализуется на третьем интерфейсе межсетевого экрана. Межсетевой экран самостоятельно контролирует доступ к демилитаризованной зоне.
увеличить изображение Рис. 16.10. Архитектура демилитаризованной зоны с одним межсетевым экраном
При использовании архитектуры с одним межсетевым экраном весь трафик принудительно проходит через межсетевой экран. Межсетевой экран должен быть настроен на пропуск трафика для определенных служб на каждой системе DMZ. На межсетевом экране также следует вести журналы для фиксации данных о трафике, как пропущенном, так и заблокированном.
Межсетевой экран представляет собой единственную точку сбоя и потенциальное "узкое место" для трафика. Если ключевым аспектом безопасности общей архитектуры сети является доступность, межсетевой экран должен быть настроен на обход ошибок. Аналогично, если предполагается, что DMZ будет принимать большой объем трафика, межсетевой экран должен уметь обрабатывать этот трафик, а также трафик, исходящий из внутренней сети и направленный в интернет.
Администрирование рассматриваемой архитектуры упрощено относительно маршрутизатора и межсетевого экрана, так как только межсетевой экран настраивается на разрешение или запрет прохождения трафика. Маршрутизатор не требует использования фильтров, хотя некоторые функции фильтрации могут сделать межсетевой экран более эффективным. Кроме того, системы в демилитаризованной зоне в некоторой степени защищены межсетевым экраном, и поэтому задача по их полной защите упрощается. Однако ошибочно полагать, что в DMZ могут находиться незащищенные системы. Здесь лишь говорится о том, что межсетевой экран обеспечивает защиту таким же образом, как фильтрующий маршрутизатор и, в некоторой степени, исключает необходимость удаления ненужных служб.
Два межсетевых экрана
Третья архитектура демилитаризованной зоны изображена на рис. 16.11. Здесь используются два межсетевых экрана для отделения DMZ от внешней и внутренней сети. Внешняя сеть по-прежнему находится между маршрутизатором провайдера и первым межсетевым экраном. Демилитаризованная зона теперь располагается между межсетевыми экранами 1 и 2. Межсетевой экран 1 настроен на разрешение прохождения всего трафика DMZ, а также всего внутреннего трафика. Конфигурация межсетевого экрана 2 более ограничительна и предусматривает только пропуск исходящего трафика в интернет.
Архитектура с двумя межсетевыми экранами требует, чтобы межсетевой экран 1 мог обрабатывать достаточный объем трафика, если системы в DMZ будут работать с большим объемом трафика. Межсетевой экран 2 может быть менее производительной системой, так как он обрабатывает только внутренний трафик. Кроме того, межсетевые экраны бывают двух различных типов.
Такая конфигурация повышает общий уровень безопасности, так как одна единственная атака вряд ли приведет к злоумышленному воздействию на оба межсетевых экрана. По аналогии с системами, имеющими один межсетевой экран, системы DMZ защищены от интернета межсетевым экраном 1.
Пара межсетевых экранов повышает стоимость архитектуры и требует дополнительных усилий по управлению и настройке.
увеличить изображение Рис. 16.11. Архитектура демилитаризованной зоны с двумя межсетевыми экранами