Разработка проекта сети без границ для банковской системы
Содержание
ВВЕДЕНИЕ................................................................................................................ 12
1 Классическая архитектура корпоративной сети ................................................. 14
1.1 Средства, реализующие защиту компьютерной сети в банковской системе
........................................................................................................................... 16
1.2 Функции межсетевых экранов....................................................................... 17
1.2.1 Фильтрация трафика .............................................................................. 18
1.2.2 Выполнение функции посредничества ................................................ 19
1.2.3 Идентификация и аутентификация пользователей ............................ 21
1.2.4 Трансляция сетевых адресов................................................................. 22
1.2.5 Администрирование, регистрация событий и генерация отчетов .... 23
1.3 Классификация МЭ ......................................................................................... 24
1.3.1 Мостиковые МЭ ..................................................................................... 24
1.3.2 Фильтрующие маршрутизаторы........................................................... 25
1.3.3 Шлюз сеансового уровня ...................................................................... 25
1.3.4 Шлюз прикладного уровня ................................................................... 26
1.3.5 МЭ экспертного уровня......................................................................... 28
1.4 Политика работы МЭ...................................................................................... 28
1.5 Схемы подключения МЭ ................................................................................ 28
1.5.1 Схема единой защиты локальной сети ................................................ 28
1.5.2 Схема защищаемой закрытой и не защищаемой открытой подсетями
................................................................................................................. 29
1.5.3 Схема с раздельной защитой закрытой и открытой подсетей .......... 30
1.6 Основные недостатки контроля доступа в традиционной архитектуре
корпоративной сети................................................................................................... 31
2 Cisco TrustSec в рамках архитектуры «Сети без границ» .................................. 32
2.1 Что такое Cisco TrustSec? ............................................................................... 32
2.2 Задачи управления доступом Cisco TrustSec................................................ 33
2.3 Архитектура Cisco TrustSec ........................................................................... 34
2.4 Компоненты Cisco TrustSec............................................................................ 36
2.5 Инфраструктура Cisco TrustSec ..................................................................... 39
2.6 Сетевая аутентификация и идентификация Cisco TrustSec ........................ 39
2.6.1 Настройка Flexible Authentication на порту коммутатора.................. 39
2.7 Авторизация и применение политик в сети ................................................. 44
2.7.1 Авторизация на основе VLAN и dACL................................................ 44
2.7.2 Авторизация на основе Групп Безопасности ...................................... 46
2.8 Профилирование и оценка состояния устройств......................................... 49
2.9 Гостевой доступ .............................................................................................. 53
3 Cisco Energy Wise в рамках архитектуры «Сети без границ» ........................... 58
3.1 Что такое Cisco EnergyWise? ......................................................................... 58
3.2 Архитектура Cisco EnergyWise...................................................................... 59
3.3 Домен Cisco EnergyWise................................................................................. 60
3.4 Атрибуты Cisco EnergyWise........................................................................... 62
3.5 Уровни EnergyWise ......................................................................................... 64
3.6 Запросы EnergyWise........................................................................................ 66
3.7 Прототип системы доменов для банковской системы ................................ 67
4 Безопасность жизнедеятельности......................................................................... 68
4.1 Анализ условий труда сотрудников .............................................................. 68
4.2 Характеристики здания и помещения........................................................... 69
4.2 Технические характеристики оборудования ................................................ 71
4.3 Расчет зануления ............................................................................................. 72
4.4 Анализ пожарной безопасности .................................................................... 77
5 Бизнес план ............................................................................................................. 81
5.1 Резюме .............................................................................................................. 81
5.2 Финансовый план ............................................................................................ 81
5.2.1 Расчет капитальных вложений ............................................................. 81
5.2.2 Расчет стоимости монтажа.................................................................... 81
5.2.3 Расчет затрат на проектирование сети................................................. 82
5.2.4 Расчет затрат на материалы для проектирования сети ...................... 82
5.2.5 Расходы на оплату труда ....................................................................... 82
5.2.6 Расчет социальных отчислений ............................................................ 84
5.2.7 Расчет накладных расходов .................................................................. 84
5.3 Эксплуатационные издержки ........................................................................ 85
5.4 Оценка эффективности реализации проекта ................................................ 88
5.5 Вывод................................................................................................................ 93
Заключение ................................................................................................................ 94
Список использованной литературы....................................................................... 95
Список сокращений .................................................................................................. 96
Приложение А ........................................................................................................... 97
Приложение B.......................................................................................................... 117
Приложение С.......................................................................................................... 121
Приложение D ......................................................................................................... 123
1 Классическая архитектура корпоративной сети
Прежде чем начинать строить сеть с применением новой архитектуры
Cisco «Сети без границ», необходимо рассмотреть основные принципы и
аспекты построения традиционной архитектуры корпоративной сети, а так же
методы обеспечения безопасности и политик доступа к тем или иным
приложениям, находящимся как внутри локальной сети предприятия (сервера,
ЦОД), так и за её пределами (доступ к Интернет и др.). Рассмотрим
классическую схему построения корпоративной сети (Рисунок 1.1).
Рисунок 1.1 - Традиционная архитектура корпоративной сети
Как видно из рисунка 1.1, корпоративная сеть предприятия (в нашем
случае, банка), состоит из главного офиса (HQ), удаленных филиалов и
удаленных сотрудников (сотрудники, работающие из дома и подключающиеся
к внутренним ресурсам сети через виртуальную защищённую сеть (VPN-
туннель)). К внутренним ресурсам банка относятся сервера, которые
выполняют все операции и занимаются обработкой данных, иными словами -
центры обработки данных (ЦОДы). Это могут быть сервера баз данных
(Database Servers), Интернет сервера (Web - Servers), файловые сервера (FTP
Servers), почтовые сервера (Mail Servers), сервера приложений (Application
Servers) и многие другие. Так как все эти сервера являются главным
вычислительным ядром всей корпоративной сети, то они обычно
располагаются отдельно в серверной комнате в отдельно выделенном сегменте
сети (или даже сегментах) в так называемой DMZ - зоне. Между входом в
DMZ- зону и локальной сетью предприятия находится Межсетевой Экран (так
же его ещё называют Firewall), который выполняет некую роль посредника
между источником и приемником, при этом фильтруя и анализируя входящий и
исходящий трафик. Межсетевой экран так же располагается между внутренней
локальной сетью предприятия и глобальной сетью. Таким образом, внутренняя
локальная сеть главного офиса находится в своеобразной защищенной области,
а роль «защитника» этой области обеспечивает Межсетевой экран. С
удаленным филиалом (филиалами) центральный офис обменивается
информацией через защищенную приватную сеть (Virtual Private Network) ,
иными словами, своеобразный «туннель». Таким же образом, и сотрудник,
работающий дома, подключается к корпоративной сети предприятия через
защищенный VPN - туннель.
Таким образом, исходя из рисунка 1.1, границы нашей корпоративной
сети четко определены из соображений безопасности, предприятие может лишь
контролировать входящий и исходящий трафики, то есть, нет такой
возможности сделать весть трафик «прозрачным», а именно знать, кто и что
подключается к вашей корпоративной сети, откуда происходит подключение и
как происходит подключение. С внедрением одного из решений архитектуры
«Сети без границ», а именно, нового решения по обеспечению комплексной
безопасности Cisco TrustSec, все это станет возможным и такое понятие как
«границы предприятия» размоются, и новая корпоративная сеть будет
выглядеть, как показано на рисунке 1.2
Рисунок 1.2 - Архитектура «Сети без границ»
Таким образом, Cisco предлагает новую концепцию построения
корпоративной сети предприятия, в которой будут интегрированы такие
понятия как «проводная сеть», «беспроводная сеть» и сеть «VPN», при этом
будет реализована единая политика управления для данного нового решения
(Рисунок 1.3).
Рисунок 1.3 - Решение «Унифицированного доступа»
Прежде чем рассматривать решение Cisco TrustSec, нужно более детально
рассмотреть основные методы защиты и политики в рамках данной
корпоративной сети, а так же устройства (коммутаторы, маршрутизаторы,
межсетевые экраны), на которых эта защита реализуется.
1.1
Средства,реализующие защиту компьютерной сети в банковской системе
Наиболее популярным в наше время средством защиты корпоративной
информации от внешних и внутренних угроз является межсетевой экран.
Межсетевой экран - это система межсетевой защиты, позволяющая разделить
каждую сеть на две и более части и реализовать набор правил, определяющих
условия прохождения пакетов с данными через границу из одной части общей
сети в другую. Как правило, эта граница проводится между корпоративной
(локальной) сетью предприятия и глобальной сетью Интернет (Рисунок 1.4),
хотя ее можно провести и внутри корпоративной сети предприятия [1].
Рисунок 1.4 - Традиционное размещение МЭ в корпоративной сети
1.2 Функции межсетевых экранов
Основными функциями межсетевых экранов, как контрольных пунктов,
на сегодняшний день является контроль трафика, входящего во внутреннюю
корпоративную сеть, и трафика, исходящего из внутренней корпоративной
сети.
Контроль информационных потоков, проходящих через межсетевой
экран, состоит в их фильтрации и преобразовании в соответствии с набором
определенных заданных правил. Поскольку в современных МЭ фильтрация
может осуществляться на разных уровнях эталонной модели взаимодействия
открытых систем (ЭМВОС, OSI), МЭ удобно представить в виде системы
фильтров. Каждый фильтр на основе анализа проходящих через него данных,
принимает решение - пропустить дальше, перебросить за экран, блокировать
или преобразовать данные (Рисунок 1.5) [1].
Рисунок 1.5 - Схема фильтрации в межсетевом экране
Неотъемлемой функцией МЭ является протоколирование
информационного обмена. Ведение журналов регистрации позволяет
администратору выявить подозрительные действия, ошибки в конфигурации
МЭ и принять решение об изменении правил МЭ.
1.2.1 Фильтрация трафика
Так как основное предназначение межсетевого экрана заключается в
фильтрации трафика, то его можно представить как ряд фильтров. Каждый из
фильтров предназначен для интерпретации отдельных правил фильтрации
путем:
1) анализа информации по заданным в интерпретируемых правилах
критериям, например по адресам получателя и отправителя или по типу
приложения, для которого эта информация предназначена;
2) принятия на основе интерпретируемых правил одного из следующих
решений:
- не пропустить данные;
- обработать данные от имени получателя и возвратить результат
отправителю;
- передать данные на следующий фильтр для продолжения анализа;
- пропустить данные, игнорируя следующие фильтры.
Правила фильтрации могут задавать и дополнительные действия, которые
относятся к функциям посредничества, например преобразование данных,
регистрация событий и др. Соответственно правила фильтрации определяют
перечень условий, по которым осуществляется:
- разрешение или запрещение дальнейшей передачи данных;
- выполнение дополнительных защитных функций.
В качестве критериев анализа информационного потока могут
использоваться следующие параметры:
- служебные поля пакетов сообщений, содержащие сетевые адреса,
идентификаторы, адреса интерфейсов, номера портов и другие значимые
данные;
- непосредственное содержимое пакетов сообщений, проверяемое,
например, на наличие компьютерных вирусов;
- внешние характеристики потока информации, например, временные,
частотные характеристики, объем данных и т. д.
Используемые критерии анализа зависят от уровней модели OSI, на
которых осуществляется фильтрация. В общем случае, чем выше уровень
модели OSI, на котором МЭ фильтрует пакеты, тем выше и обеспечиваемый им
уровень защиты [1].
1.2.2 Выполнение функции посредничества
Функции посредничества МЭ выполняет с помощью специальных
программ, называемых экранирующими агентами или программами-
посредниками. Эти программы являются резидентными и запрещают
непосредственную передачу пакетов сообщений между внешней и внутренней
сетью.
При необходимости доступа из внутренней сети во внешнюю сеть или
наоборот вначале должно быть установлено логическое соединение с
программой-посредником, функционирующей на компьютере МЭ. Программа-
посредник проверяет допустимость запрошенного межсетевого взаимодействия
и при его разрешении сама устанавливает отдельное соединение с требуемым
компьютером. Далее обмен информацией между компьютерами внутренней и
внешней сети осуществляется через программного посредника, который может
выполнять фильтрацию потока сообщений, а также осуществлять другие
защитные функции.
Следует иметь в виду, что МЭ может выполнять функции фильтрации без
применения программ-посредников, обеспечивая прозрачное взаимодействие
между внутренней и внешней сетью. Вместе с тем программные посредники
могут и не осуществлять фильтрацию потока сообщений.
В общем случае программы-посредники, блокируя прозрачную передачу
потока сообщений, могут выполнять следующие функции:
- проверку подлинности передаваемых данных;
- фильтрацию и преобразование потока сообщений, например,
динамический поиск вирусов и прозрачное шифрование информации;
- разграничение доступа к ресурсам внутренней сети;
- разграничение доступа к ресурсам внешней сети;
- кэширование данных, запрашиваемых из внешней сети;
- идентификацию и аутентификацию пользователей;
- трансляцию внутренних сетевых адресов для исходящих пакетов
сообщений;
- регистрацию событий, реагирование на задаваемые события, а также
анализ зарегистрированной информации и генерацию отчетов.
Программы-посредники могут осуществлять проверку подлинности
получаемых и передаваемых данных. Это актуально не только для
аутентификации электронных сообщений, но и мигрирующих программ (Java,
ActiveX Controls), по отношению к которым может быть выполнен подлог.
Проверка подлинности сообщений и программ заключается в контроле их
цифровых подписей [2].
Программы-посредники могут выполнять разграничение доступа к
ресурсам внутренней или внешней сети, используя результаты идентификации
и аутентификации пользователей при их обращении к МЭ.....
ВВЕДЕНИЕ................................................................................................................ 12
1 Классическая архитектура корпоративной сети ................................................. 14
1.1 Средства, реализующие защиту компьютерной сети в банковской системе
........................................................................................................................... 16
1.2 Функции межсетевых экранов....................................................................... 17
1.2.1 Фильтрация трафика .............................................................................. 18
1.2.2 Выполнение функции посредничества ................................................ 19
1.2.3 Идентификация и аутентификация пользователей ............................ 21
1.2.4 Трансляция сетевых адресов................................................................. 22
1.2.5 Администрирование, регистрация событий и генерация отчетов .... 23
1.3 Классификация МЭ ......................................................................................... 24
1.3.1 Мостиковые МЭ ..................................................................................... 24
1.3.2 Фильтрующие маршрутизаторы........................................................... 25
1.3.3 Шлюз сеансового уровня ...................................................................... 25
1.3.4 Шлюз прикладного уровня ................................................................... 26
1.3.5 МЭ экспертного уровня......................................................................... 28
1.4 Политика работы МЭ...................................................................................... 28
1.5 Схемы подключения МЭ ................................................................................ 28
1.5.1 Схема единой защиты локальной сети ................................................ 28
1.5.2 Схема защищаемой закрытой и не защищаемой открытой подсетями
................................................................................................................. 29
1.5.3 Схема с раздельной защитой закрытой и открытой подсетей .......... 30
1.6 Основные недостатки контроля доступа в традиционной архитектуре
корпоративной сети................................................................................................... 31
2 Cisco TrustSec в рамках архитектуры «Сети без границ» .................................. 32
2.1 Что такое Cisco TrustSec? ............................................................................... 32
2.2 Задачи управления доступом Cisco TrustSec................................................ 33
2.3 Архитектура Cisco TrustSec ........................................................................... 34
2.4 Компоненты Cisco TrustSec............................................................................ 36
2.5 Инфраструктура Cisco TrustSec ..................................................................... 39
2.6 Сетевая аутентификация и идентификация Cisco TrustSec ........................ 39
2.6.1 Настройка Flexible Authentication на порту коммутатора.................. 39
2.7 Авторизация и применение политик в сети ................................................. 44
2.7.1 Авторизация на основе VLAN и dACL................................................ 44
2.7.2 Авторизация на основе Групп Безопасности ...................................... 46
2.8 Профилирование и оценка состояния устройств......................................... 49
2.9 Гостевой доступ .............................................................................................. 53
3 Cisco Energy Wise в рамках архитектуры «Сети без границ» ........................... 58
3.1 Что такое Cisco EnergyWise? ......................................................................... 58
3.2 Архитектура Cisco EnergyWise...................................................................... 59
3.3 Домен Cisco EnergyWise................................................................................. 60
3.4 Атрибуты Cisco EnergyWise........................................................................... 62
3.5 Уровни EnergyWise ......................................................................................... 64
3.6 Запросы EnergyWise........................................................................................ 66
3.7 Прототип системы доменов для банковской системы ................................ 67
4 Безопасность жизнедеятельности......................................................................... 68
4.1 Анализ условий труда сотрудников .............................................................. 68
4.2 Характеристики здания и помещения........................................................... 69
4.2 Технические характеристики оборудования ................................................ 71
4.3 Расчет зануления ............................................................................................. 72
4.4 Анализ пожарной безопасности .................................................................... 77
5 Бизнес план ............................................................................................................. 81
5.1 Резюме .............................................................................................................. 81
5.2 Финансовый план ............................................................................................ 81
5.2.1 Расчет капитальных вложений ............................................................. 81
5.2.2 Расчет стоимости монтажа.................................................................... 81
5.2.3 Расчет затрат на проектирование сети................................................. 82
5.2.4 Расчет затрат на материалы для проектирования сети ...................... 82
5.2.5 Расходы на оплату труда ....................................................................... 82
5.2.6 Расчет социальных отчислений ............................................................ 84
5.2.7 Расчет накладных расходов .................................................................. 84
5.3 Эксплуатационные издержки ........................................................................ 85
5.4 Оценка эффективности реализации проекта ................................................ 88
5.5 Вывод................................................................................................................ 93
Заключение ................................................................................................................ 94
Список использованной литературы....................................................................... 95
Список сокращений .................................................................................................. 96
Приложение А ........................................................................................................... 97
Приложение B.......................................................................................................... 117
Приложение С.......................................................................................................... 121
Приложение D ......................................................................................................... 123
1 Классическая архитектура корпоративной сети
Прежде чем начинать строить сеть с применением новой архитектуры
Cisco «Сети без границ», необходимо рассмотреть основные принципы и
аспекты построения традиционной архитектуры корпоративной сети, а так же
методы обеспечения безопасности и политик доступа к тем или иным
приложениям, находящимся как внутри локальной сети предприятия (сервера,
ЦОД), так и за её пределами (доступ к Интернет и др.). Рассмотрим
классическую схему построения корпоративной сети (Рисунок 1.1).
Рисунок 1.1 - Традиционная архитектура корпоративной сети
Как видно из рисунка 1.1, корпоративная сеть предприятия (в нашем
случае, банка), состоит из главного офиса (HQ), удаленных филиалов и
удаленных сотрудников (сотрудники, работающие из дома и подключающиеся
к внутренним ресурсам сети через виртуальную защищённую сеть (VPN-
туннель)). К внутренним ресурсам банка относятся сервера, которые
выполняют все операции и занимаются обработкой данных, иными словами -
центры обработки данных (ЦОДы). Это могут быть сервера баз данных
(Database Servers), Интернет сервера (Web - Servers), файловые сервера (FTP
Servers), почтовые сервера (Mail Servers), сервера приложений (Application
Servers) и многие другие. Так как все эти сервера являются главным
вычислительным ядром всей корпоративной сети, то они обычно
располагаются отдельно в серверной комнате в отдельно выделенном сегменте
сети (или даже сегментах) в так называемой DMZ - зоне. Между входом в
DMZ- зону и локальной сетью предприятия находится Межсетевой Экран (так
же его ещё называют Firewall), который выполняет некую роль посредника
между источником и приемником, при этом фильтруя и анализируя входящий и
исходящий трафик. Межсетевой экран так же располагается между внутренней
локальной сетью предприятия и глобальной сетью. Таким образом, внутренняя
локальная сеть главного офиса находится в своеобразной защищенной области,
а роль «защитника» этой области обеспечивает Межсетевой экран. С
удаленным филиалом (филиалами) центральный офис обменивается
информацией через защищенную приватную сеть (Virtual Private Network) ,
иными словами, своеобразный «туннель». Таким же образом, и сотрудник,
работающий дома, подключается к корпоративной сети предприятия через
защищенный VPN - туннель.
Таким образом, исходя из рисунка 1.1, границы нашей корпоративной
сети четко определены из соображений безопасности, предприятие может лишь
контролировать входящий и исходящий трафики, то есть, нет такой
возможности сделать весть трафик «прозрачным», а именно знать, кто и что
подключается к вашей корпоративной сети, откуда происходит подключение и
как происходит подключение. С внедрением одного из решений архитектуры
«Сети без границ», а именно, нового решения по обеспечению комплексной
безопасности Cisco TrustSec, все это станет возможным и такое понятие как
«границы предприятия» размоются, и новая корпоративная сеть будет
выглядеть, как показано на рисунке 1.2
Рисунок 1.2 - Архитектура «Сети без границ»
Таким образом, Cisco предлагает новую концепцию построения
корпоративной сети предприятия, в которой будут интегрированы такие
понятия как «проводная сеть», «беспроводная сеть» и сеть «VPN», при этом
будет реализована единая политика управления для данного нового решения
(Рисунок 1.3).
Рисунок 1.3 - Решение «Унифицированного доступа»
Прежде чем рассматривать решение Cisco TrustSec, нужно более детально
рассмотреть основные методы защиты и политики в рамках данной
корпоративной сети, а так же устройства (коммутаторы, маршрутизаторы,
межсетевые экраны), на которых эта защита реализуется.
1.1
Средства,реализующие защиту компьютерной сети в банковской системе
Наиболее популярным в наше время средством защиты корпоративной
информации от внешних и внутренних угроз является межсетевой экран.
Межсетевой экран - это система межсетевой защиты, позволяющая разделить
каждую сеть на две и более части и реализовать набор правил, определяющих
условия прохождения пакетов с данными через границу из одной части общей
сети в другую. Как правило, эта граница проводится между корпоративной
(локальной) сетью предприятия и глобальной сетью Интернет (Рисунок 1.4),
хотя ее можно провести и внутри корпоративной сети предприятия [1].
Рисунок 1.4 - Традиционное размещение МЭ в корпоративной сети
1.2 Функции межсетевых экранов
Основными функциями межсетевых экранов, как контрольных пунктов,
на сегодняшний день является контроль трафика, входящего во внутреннюю
корпоративную сеть, и трафика, исходящего из внутренней корпоративной
сети.
Контроль информационных потоков, проходящих через межсетевой
экран, состоит в их фильтрации и преобразовании в соответствии с набором
определенных заданных правил. Поскольку в современных МЭ фильтрация
может осуществляться на разных уровнях эталонной модели взаимодействия
открытых систем (ЭМВОС, OSI), МЭ удобно представить в виде системы
фильтров. Каждый фильтр на основе анализа проходящих через него данных,
принимает решение - пропустить дальше, перебросить за экран, блокировать
или преобразовать данные (Рисунок 1.5) [1].
Рисунок 1.5 - Схема фильтрации в межсетевом экране
Неотъемлемой функцией МЭ является протоколирование
информационного обмена. Ведение журналов регистрации позволяет
администратору выявить подозрительные действия, ошибки в конфигурации
МЭ и принять решение об изменении правил МЭ.
1.2.1 Фильтрация трафика
Так как основное предназначение межсетевого экрана заключается в
фильтрации трафика, то его можно представить как ряд фильтров. Каждый из
фильтров предназначен для интерпретации отдельных правил фильтрации
путем:
1) анализа информации по заданным в интерпретируемых правилах
критериям, например по адресам получателя и отправителя или по типу
приложения, для которого эта информация предназначена;
2) принятия на основе интерпретируемых правил одного из следующих
решений:
- не пропустить данные;
- обработать данные от имени получателя и возвратить результат
отправителю;
- передать данные на следующий фильтр для продолжения анализа;
- пропустить данные, игнорируя следующие фильтры.
Правила фильтрации могут задавать и дополнительные действия, которые
относятся к функциям посредничества, например преобразование данных,
регистрация событий и др. Соответственно правила фильтрации определяют
перечень условий, по которым осуществляется:
- разрешение или запрещение дальнейшей передачи данных;
- выполнение дополнительных защитных функций.
В качестве критериев анализа информационного потока могут
использоваться следующие параметры:
- служебные поля пакетов сообщений, содержащие сетевые адреса,
идентификаторы, адреса интерфейсов, номера портов и другие значимые
данные;
- непосредственное содержимое пакетов сообщений, проверяемое,
например, на наличие компьютерных вирусов;
- внешние характеристики потока информации, например, временные,
частотные характеристики, объем данных и т. д.
Используемые критерии анализа зависят от уровней модели OSI, на
которых осуществляется фильтрация. В общем случае, чем выше уровень
модели OSI, на котором МЭ фильтрует пакеты, тем выше и обеспечиваемый им
уровень защиты [1].
1.2.2 Выполнение функции посредничества
Функции посредничества МЭ выполняет с помощью специальных
программ, называемых экранирующими агентами или программами-
посредниками. Эти программы являются резидентными и запрещают
непосредственную передачу пакетов сообщений между внешней и внутренней
сетью.
При необходимости доступа из внутренней сети во внешнюю сеть или
наоборот вначале должно быть установлено логическое соединение с
программой-посредником, функционирующей на компьютере МЭ. Программа-
посредник проверяет допустимость запрошенного межсетевого взаимодействия
и при его разрешении сама устанавливает отдельное соединение с требуемым
компьютером. Далее обмен информацией между компьютерами внутренней и
внешней сети осуществляется через программного посредника, который может
выполнять фильтрацию потока сообщений, а также осуществлять другие
защитные функции.
Следует иметь в виду, что МЭ может выполнять функции фильтрации без
применения программ-посредников, обеспечивая прозрачное взаимодействие
между внутренней и внешней сетью. Вместе с тем программные посредники
могут и не осуществлять фильтрацию потока сообщений.
В общем случае программы-посредники, блокируя прозрачную передачу
потока сообщений, могут выполнять следующие функции:
- проверку подлинности передаваемых данных;
- фильтрацию и преобразование потока сообщений, например,
динамический поиск вирусов и прозрачное шифрование информации;
- разграничение доступа к ресурсам внутренней сети;
- разграничение доступа к ресурсам внешней сети;
- кэширование данных, запрашиваемых из внешней сети;
- идентификацию и аутентификацию пользователей;
- трансляцию внутренних сетевых адресов для исходящих пакетов
сообщений;
- регистрацию событий, реагирование на задаваемые события, а также
анализ зарегистрированной информации и генерацию отчетов.
Программы-посредники могут осуществлять проверку подлинности
получаемых и передаваемых данных. Это актуально не только для
аутентификации электронных сообщений, но и мигрирующих программ (Java,
ActiveX Controls), по отношению к которым может быть выполнен подлог.
Проверка подлинности сообщений и программ заключается в контроле их
цифровых подписей [2].
Программы-посредники могут выполнять разграничение доступа к
ресурсам внутренней или внешней сети, используя результаты идентификации
и аутентификации пользователей при их обращении к МЭ.....
Толық нұсқасын 30 секундтан кейін жүктей аласыз!!!
Қарап көріңіз 👇
Пайдалы сілтемелер:
» Туған күнге 99 тілектер жинағы: өз сөзімен, қысқаша, қарапайым туған күнге тілек
» Абай Құнанбаев барлық өлеңдер жинағын жүктеу, оқу
» Дастархан батасы: дастарханға бата беру, ас қайыру
Ілмектер: скачать Разработка проекта сети без границ для банковской системы бесплатно дипломную работу, база готовых дипломных работ бесплатно, готовые дипломные работы скачать бесплатно, дипломная работа скачать бесплатно казахстан, Разработка проекта сети без границ для банковской системы