Здавалка
Главная | Обратная связь

Примеры использования

Интернет-периметр — это точки подключения сети организации к Интернету. Он представляет собой границу между общедоступным Интернетом и частными ресурсами, расположенными в сети организации. Программные черви, вирусы и несанкционированный доступ из бот-сетей создают существенные угрозы работе сети, ее доступности и безопасности данных. Кроме того, подключение организации к Интернету может привести к снижению производительности труда персонала и утечке конфиденциальной информации. Действующие через Интернет злоумышленники представляют угрозу для сетевых инфраструктур и информационных ресурсов организации. Большинство подключенных к Интернету сетей подвержены постоянным угрозам со стороны программных червей, вирусов и целенаправленных атак. Организации должны бдительно защищать свои сети, пользовательские данные и информацию о заказчиках.

Кроме того, большинство сетевых адресов необходимо преобразовывать в адреса, по которым осуществляется маршрутизация в Интернете, и эту функцию целесообразно выполнять с помощью межсетевого экрана. Средства обеспечения сетевой безопасности на межсетевом экране должны гарантировать защиту информационных ресурсов организации от перехвата и фальсификации и предотвращать нарушение безопасности узлов программными червями, вирусами и бот-сетями, потребляющими ресурсы. Кроме того, политика межсетевого экрана должна устанавливать оптимальный баланс между безопасностью и доступом к интернет-приложениям и не препятствовать получению данных от бизнес-партнеров по VPN-соединениям экстрасети.

Сети головного офиса и удаленных площадок считаются внутренними зонами, а Интернет — внешней зоной. Сети демилитаризованной зоны, настраиваемые для других услуг на интернет-периметре, находятся между внутренней и внешней зонами. В данном руководстве по проектированию рассматривается использование следующих возможностей обеспечения безопасности.

• Скрытие адресов внутренней сети с помощью преобразования сетевых адресов (NAT). Большинство организаций используют частные адреса (согласно документу RFC 1918), по которым маршрутизация в Интернете невозможна. Поэтому межсетевой экран должен преобразовывать частные адреса во внешние, по которым осуществляется маршрутизация в Интернете.

• Разрешение доступа из внутренней сети к Интернету. Из внутренней зоны весь трафик (за исключением отдельных, явно запрещенных категорий) направляется в Интернет. Межсетевой экран проверяет каждый сеанс и неявно разрешает поступление соответствующего обратного трафика во внутреннюю зону.

• Разрешение доступа из внутренней сети к сетям демилитаризованной зоны. Из внутренней зоны весь трафик (за исключением отдельных, явно запрещенных категорий) направляется в сети демилитаризованной зоны. Межсетевой экран проверяет каждый сеанс и неявно разрешает поступление соответствующего обратного трафика во внутреннюю зону.

• Разрешение доступа из Интернета к сетям демилитаризованной зоны. Из Интернета в сети демилитаризованной зоны направляется трафик только определенных, явно разрешенных типов. Межсетевой экран проверяет каждый сеанс и неявно разрешает поступление соответствующего обратного трафика в Интернет.

• Блокировка остального трафика. Трафик всех других типов неявно блокируется.

Руководство по проектированию межсетевых экранов и систем предотвращения вторжений является компонентом более крупного проекта создания интернет-периметра, в котором используется модульная структура для разделения интернет-периметра на функциональные блоки по услугам. Применяя модульное проектирование, организация может развертывать сервисы в соответствии с требованиями. Ниже перечислены функциональные блоки, входящие в проект интернет-периметра.

• Межсетевой экран. Управляет доступом к разным сегментам интернет-периметра извне и изнутри, а также предоставляет ряд других сервисов, в частности преобразование сетевых адресов (NAT) и создание демилитаризованной зоны.

• Предотвращение вторжений. Проверяет трафик, проходящий через интернет-периметр, и обнаруживает злонамеренное поведение.

• VPN удаленного доступа. Обеспечивает безопасный постоянный доступ к ресурсам независимо от места и времени подключения пользователя.

• Безопасность электронной почты. Обеспечивает фильтрацию спама и вредоносного ПО для управления рисками, связанными с электронной почтой.

• Безопасность веб-трафика. Осуществляет контроль допустимости использования, управляя растущими рисками, связанными с просмотром веб-сайтов пользователями. Варианты модульной структуры в основном различаются масштабом, производительностью и устойчивостью. Каждый модуль проекта интернет-периметра создается независимо от других, поэтому можно комбинировать разные компоненты для обеспечения оптимального соответствия потребностям бизнеса.

Хорошо спроектированная сеть интернет-периметра должна быть устойчива к наиболее часто возникающим типам отказов. На одной площадке такую устойчивость можно обеспечить с помощью пары межсетевых экранов, использующих статическую маршрутизацию в Интернет по умолчанию.

• В случае отказа оборудования осуществляется переключение с сохранением состояния между активным и резервным устройствами отказоустойчивой пары межсетевых экранов.

• Автоматическое перенаправление интернет-трафика с канала основного поставщика услуг Интернета на канал резервного поставщика с использованием мониторинга активных датчиков, имитирующих пользовательский трафик в Интернет.

Мониторинг и блокировка сетевых атак с помощью IPS повышает надежность и эффективность присутствия организации в глобальной сети, а также поддерживает доступность ее ресурсов для партнеров и клиентов.

• Обнаружение и отражение сетевых атак. Система IPS выполняет глубокий анализ пакетов сетевого трафика для сопоставления с известными сигнатурами атак и блокировки вредоносного трафика.

• Фильтры на основе репутации. Система IPS определяет, связан ли источник атаки с известными опасными группами.

• Защита от совершенно новых атак. Система IPS распознает нормальное поведение сети и оповещает оператора при обнаружении аномальных действий.





©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.