Персональные и распределенные сетевые экраны
За последние несколько лет в структуре корпоративных сетей произошли определенные изменения. Если раньше границы таких сетей можно было четко очертить, то сейчас это практически невозможно. Еще недавно такая граница проходила через все маршрутизаторы или иные устройства (например, модемы), через которые осуществлялся выход во внешние сети. В удаленных офисах организации ситуация была схожа. Однако сейчас полноправным пользователем защищаемой МЭ сети является сотрудник, находящийся за пределами защищаемого периметра. К таким сотрудникам относятся пользователи, работающие на дому или находящиеся в командировке. Несомненно им также требуется защита. Но все традиционные МЭ построены так, что защищаемые пользователи и ресурсы должны находиться под их защитой с внутренней стороны корпоративной или локальной сети, что является невозможным для мобильных пользователей.
Для решения этой проблемы были предложены следующие подходы:
- применение распределенных МЭ (distributed firewall);
- использование возможностей виртуальных частных сетей VPN (virtual private network).
Распределенный межсетевой экран (distributed firewall) — централизованно управляемая совокупность сетевых мини-экранов, защищающих отдельные компьютеры сети.
Для индивидуальных пользователей представляет интерес технология персонального сетевого экранирования. В этом случае сетевой экран устанавливается на защищаемый персональный компьютер. Такой экран, называемый персональным экраном компьютера (personal firewall) или системой сетевого экранирования, контролирует весь исходящий и входящий трафик независимо от всех прочих системных защитных средств. При экранировании отдельного компьютера поддерживается доступность сетевых сервисов, но уменьшается нагрузка, индуцированная внешней активностью. В результате снижается уязвимость внутренних сервисов защищаемого таким образом компьютера, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные средства сконфигурированы особенно тщательно и жестко.
Эти средства не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы данного узла (т. е. организуют защищенные каналы VPN). Именно такое решение позволило обеспечить защиту сетей с нечетко очерченными границами.
Наличие функции централизованного управления у распределенного МЭ — его главное отличие от персонального экрана. Если персональные сетевые экраны управляются только с компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные МЭ могут управляться централизованно, с единой консоли управления, установленной в главном офисе организации. Это позволило некоторым производителям выпускать МЭ в двух версиях:
- персональной (для индивидуальных пользователей);
- распределенной (для корпоративных пользователей).
В современных условиях более 50 % различных атак и попыток доступа к информации осуществляется изнутри локальных сетей, поэтому классический «периметровый» подход к созданию системы защиты корпоративной сети становится недостаточно эффективным. Корпоративную сеть можно считать действительно защищенной от НСД только при наличии в ней средств защиты точек входа со стороны Internet и решений, обеспечивающих безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия. Решения на основе распределенных или персональных МЭ наилучшим образом обеспечивают безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия.
Дата добавления: 2015-08-11; просмотров: 1060;