МЭ - это комплекс аппаратных и программных средств в комп сети, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Осн задача - защита сети или отдельных её узлов от НСД.
Функциональные требования к МЭ: треб к фильтрации на сетевом и прикладном уровнях, по настройке правил фил-ции; треб к серверам средствам сетевой аутент; треб по администрированию и внедрению журналов/учёту.
Эффективность защиты внутренней сети с помощью МЭ зависит от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, от рациональности выбора и исп основных компонентов МЭ.
Существуют два основных типа МЭ: прикладного ур и с пакетной фильтрацией, кот обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещенного трафика.
МЭ прикладного уровня (прокси-экраны) - программные пакеты, базирующиеся на ОС общего назначения (Windows и Unix) или на аппаратной платформе МЭ. В таком МЭ каждому разрешаемому протоколу д соотв свой собственный модуль доступа. При использовании данного МЭ все соединения проходят через него.
МЭ принимает соединение, анализирует содержимое пакета и используемый протокол, определяет, соотве ли данный трафик правилам политики безопасности.
Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю®защищает системы от атак, выполняемых посредством приложений. Такие МЭ содержат модули доступа для наиб часто используемых протоколов: HTTP, SMTP, FTP и telnet. Некоторые модули доступа могут отсутствовать, что запрещает конкретному протоколу использоваться для соединения через МЭ.
МЭ с пакетной фильтрацией
м б программными пакетами, базирующимися на ОС общего назначения либо на аппаратных платформах МЭ. Правила политики усиливаются посредством исп фильтров пакетов, которые изучают пакеты и определяют, является ли трафик разрешенным, согласно правилам политики и состоянию протокола (проверка с учетом состояния). При исп такого МЭ соединения не прерываются на МЭ, а направляются непосредственно к конечной системе. При поступлении пакетов МЭ выясняет, разрешен ли данный пакет и состояние соединения правилами политики. Если да, пакет передается по своему маршруту, иначе, пакет отклоняется или аннулируется. Не исп модули доступа для каждого протокола ® м исп-ся с любым протоколом, работающим через IP. В основном, МЭ с фильтрацией пакетов имеют возможность поддержки большего объема трафика, т. к. в них отсутствует нагрузка, создаваемая дополнительными процедурами настройки и вычисления, имеющими место в программных модулях доступа.
Гибридные МЭ.
Производители МЭ приклад уровня, из-за быстрого развития IT, пришли к выводу, что необх разработать метод поддержки протоколов, для которых не существует определенных модулей доступа ® технология модуля доступа GSP. GSP обеспечивает работу МЭ прикладного ур в качестве экранов с пакетной фильтра-цией. Сегодня фактически невозможно найти МЭ, функционирование кот построено исключ на прикладном ур или фильтрации пакетов, т.к. оно позволяет администраторам, отвеч за безопасность, настраивать устройство для работы в конкретных условиях.
Для подключения МЭ используются различные схемы. МЭ м исп-ся в качестве внешнего роутера, используя поддерживаемые типы устройств для подключения к внешней сети.
Иногда исп-ся схема, но пользоваться ей следует только в крайнем случае, т.к. требуется очень аккуратная настройка роутеров и небольшие ошибки м образовать серьезные дыры в защите.
Чаще всего подключение осуществляется через внешний маршрутизатор, поддерживающий два Ethernet интерфейса (две сетевые карточки в одном комп).
Между внешним роутером и брандмауэром имеется только один путь, по кот идет весь трафик. Роутер настраивается так, что брандмауэр является единственной видимой снаружи машиной. Схема наиб предпочтительна с точки зрения безопасности и надежности защиты.
При МЭ защищается только одна подсеть из нескольких выходящих из роутера. В незащищаемой МЭ области часто располагают серверы, которые д б видимы снаружи (WWW, FTP и т.д.).
Существуют решения, которые позволяют организовать для серверов, которые д б видимы снаружи, третью сеть; это позволяет обеспечить контроль за доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.
Для уровня защищенности исп в одной сети несколько брандмауэров, стоящих друг за другом.
Содержание:Каждая электрическая схема состоит из множества элементов, которые, в свою очередь, также включают в свою конструкцию различные детали. Наиболее ярким примером служат бытовые приборы. Даже обычный утюг состоит из нагревательного элемента, температурного регулятора, контрольной лампочки, предохранителя, провода и штепсельной вилки. Другие электроприборы имеют еще более сложную конструкцию, дополненную различными реле, автоматическими выключателями, электродвигателями, трансформаторами и многими другими деталями. Между ними создается электрическое соединение, обеспечивающее полное взаимодействие всех элементов и выполнение каждым устройством своего предназначения.
В связи с этим очень часто возникает вопрос, как научится читать электрические схемы, где все составляющие отображаются в виде условных графических обозначений. Данная проблема имеет большое значение для тех, кто регулярно сталкивается с электромонтажом. Правильное чтение схем дает возможность понять, каким образом элементы взаимодействуют между собой и как протекают все рабочие процессы.
Для того чтобы правильно пользоваться электрическими схемами, нужно заранее ознакомиться с основными понятиями и определениями, затрагивающими эту область.
Любая схема выполняется в виде графического изображения или чертежа, на котором вместе с оборудованием отображаются все связующие звенья электрической цепи. Существуют различные виды электрических схем, различающиеся по своему целевому назначению. В их перечень входят первичные и вторичные цепи, системы сигнализации, защиты, управления и прочие. Кроме того, существуют и широко используются принципиальные и , полнолинейные и развернутые. Каждая из них имеет свои специфические особенности.
К первичным относятся цепи, по которым подаются основные технологические напряжения непосредственно от источников к потребителям или приемникам электроэнергии. Первичные цепи вырабатывают, преобразовывают, передают и распределяют электрическую энергию. Они состоят из главной схемы и цепей, обеспечивающих собственные нужды. Цепи главной схемы вырабатывают, преобразуют и распределяют основной поток электроэнергии. Цепи для собственных нужд обеспечивают работу основного электрического оборудования. Через них напряжение поступает на электродвигатели установок, в систему освещения и на другие участки.
Вторичными считаются те цепи, в которых подаваемое напряжение не превышает 1 киловатта. Они обеспечивают выполнение функций автоматики, управления, защиты, диспетчерской службы. Через вторичные цепи осуществляется контроль, измерения и учет электроэнергии. Знание этих свойств поможет научиться читать электрические схемы.
Полнолинейные схемы используются в трехфазных цепях. Они отображают электрооборудование, подключенное ко всем трем фазам. На однолинейных схемах показывается оборудование, размещенное лишь на одной средней фазе. Данное отличие обязательно указывается на схеме.
На принципиальных схемах не указываются второстепенные элементы, которые не выполняют основных функций. За счет этого изображение становится проще, позволяя лучше понять принцип действия всего оборудования. Монтажные схемы, наоборот, выполняются более подробно, поскольку они применяются для практической установки всех элементов электрической сети. К ним относятся однолинейные схемы, отображаемые непосредственно на строительном плане объекта, а также схемы кабельных трасс вместе с трансформаторными подстанциями и распределительными пунктами, нанесенными на упрощенный генеральный план.
В процессе монтажа и наладки широкое распространение получили развернутые схемы с вторичными цепями. На них выделяются дополнительные функциональные подгруппы цепей, связанных с включением и выключением, индивидуальной защитой какого-либо участка и другие.
В каждой электрической цепи имеются устройства, элементы и детали, которые все вместе образуют путь для электрического тока. Они отличаются наличием электромагнитных процессов, связанных с электродвижущей силой, током и напряжением, и описанных в физических законах.
В электрических цепях все составные части можно условно разделить на несколько групп:
Каждому устройству, элементу или детали соответствует условное обозначение, применяющееся в графических изображениях электрических цепей, называемых электрическими схемами. Кроме основных обозначений, в них отображаются линии электропередачи, соединяющие все эти элементы. Участки цепи, вдоль которых протекают одни и те же токи, называются ветвями. Места их соединений представляют собой узлы, обозначаемые на электрических схемах в виде точек. Существуют замкнутые пути движения тока, охватывающие сразу несколько ветвей и называемые контурами электрических цепей. Самая простая схема электрической цепи является одноконтурной, а сложные цепи состоят из нескольких контуров.
Большинство цепей состоят из различных электротехнических устройств, отличающихся различными режимами работы, в зависимости от значения тока и напряжения. В режиме холостого хода ток в цепи вообще отсутствует. Иногда такие ситуации возникают при разрыве соединений. В номинальном режиме все элементы работают с тем током, напряжением и мощностью, которые указаны в паспорте устройства.
Все составные части и условные обозначения элементов электрической цепи отображаются графически. На рисунках видно, что каждому элементу или прибору соответствует свой условный значок. Например, электрические машины могут изображаться упрощенным или развернутым способом. В зависимости от этого строятся и условные графические схемы. Для показа выводов обмоток используются однолинейные и многолинейные изображения. Количество линий зависит от количества выводов, которые будут разными у различных типов машин. В некоторых случаях для удобства чтения схем могут использоваться смешанные изображения, когда обмотка статора показывается в развернутом виде, а обмотка ротора - в упрощенном. Таким же образом выполняются и другие .
Также осуществляются упрощенным и развернутым, однолинейным и многолинейным способами. От этого зависит способ отображения самих устройств, их выводов, соединений обмоток и других составных элементов. Например, в трансформаторах тока для изображения первичной обмотки применяется утолщенная линия, выделенная точками. Для вторичной обмотки может использоваться окружность при упрощенном способе или две полуокружности при развернутом способе изображения.
Графические изображения других элементов:
Принципиальная схема представляет собой графическое изображение всех элементов, частей и компонентов, между которыми выполнено электронное соединение с помощью токоведущих проводников. Она является основой разработок любых электронных устройств и электрических цепей. Поэтому каждый начинающий электрик должен в первую очередь овладеть способностями чтения разнообразных принципиальных схем.
Именно правильное чтение электрических схем для новичков, позволяет хорошо усвоить, каким образом необходимо выполнять соединение всех деталей, чтобы получился ожидаемый конечный результат. То есть устройство или цепь должны в полном объеме выполнять назначенные им функции. Для правильного чтения принципиальной схемы необходимо, прежде всего, ознакомиться с условными обозначениями всех ее составных частей. Каждая деталь отмечена собственным условно-графическим обозначением - УГО. Обычно такие условные знаки отображают общую конструкцию, характерные особенности и назначение того или иного элемента. Наиболее ярким примером служат конденсаторы, резисторы, динамики и другие простейшие детали.
Гораздо сложнее работать с компонентами, представленными транзисторами, симисторами, микросхемами и т.д. Сложная конструкция таких элементов предполагает и более сложное отображение их на электрических схемах.
Например, в каждом биполярном транзисторе имеется минимум три вывода - база, коллектор и эмиттер. Поэтому для их условного изображения требуются особые графические условные знаки. Это помогает различить между собой детали с индивидуальными базовыми свойствами и характеристиками. Каждое условное обозначение несет в себе определенную зашифрованную информацию. Например, у биполярных транзисторов может быть совершенно разная структура - п-р-п или р-п-р, поэтому изображения на схемах также будут заметно отличаться. Рекомендуется перед тем как читать принципиальные электрические схемы, внимательно ознакомиться со всеми элементами.
Условные изображения очень часто дополняются уточняющей информацией. При внимательном рассмотрении, можно увидеть возле каждого значка латинские буквенные символы. Таким образом обозначается та или иная деталь. Это важно знать, особенно, когда мы только учимся читать электрические схемы. Возле буквенных обозначений расположены еще и цифры. Они указывают на соответствующую нумерацию или технические характеристики элементов.
Стеклоочиститель, устройство
На автомобиле могут быть установлены стеклоочистители СЛ-191А или СЛ-191Б, имеющие различное крепление рычагов щеток. У СЛ-191А они крепятся пружинной пластиной, а у СЛ-191Б - гайкой. В стеклоочистителях СЛ-191А используется электродвигатель МЭ-241, а в СЛ-191Б МЭ241 или МЭ-241А. В 1970-1972 гг. применялись также стеклоочистители СЛ-191. Они имели электродвигатель МЭ-241А и крепление рычагов щеток с помощью пружинной пластины.
На автомобилях BA3-2103 применяются стеклоочистители СЛ-193. От стеклоочистителей автомобиля ВАЗ-2101 они отличаются установочными размерами, рычагами щеток и самими щетками, которые имеют меньшее аэродинамическое сопротивление. Кроме того, стеклоочиститель СЛ-193 несколько отличается конфигурацией очищаемой зоны стекла. Эти стеклоочистители оснащены электродвигателями МЭ-241.
В схеме включения стеклоочистителя на автомобиле BA3-2103 добавлен включатель в насосе омывателя ветрового стекла (см. рис. 336, б).
Стеклоочиститель состоит из электродвигателя, рычажного механизма, щеток с рычагами и устанавливается под капотом в коробке воздухозаборника (рис. 331). Усилие прижатия щеток к стеклу составляет 400-500 гс, а частота качания рычагов щеток находится в пределах 50-70 двойных ходов в минуту. Оси рычагов щеток вращаются в металлокерамических втулках, пропитанных маслом, и при эксплуатации смазки не требуют.
Электродвигатель МЭ-241
(рис. 332) - постоянного тока с возбуждением от постоянных магнитов. В один узел с электродвигателем объединен червячный редуктор.
Рис. 330. Электрическая схема реле РС528 включения звуковых сигналов на автомобиле BA3-2103
Рис. 331. Общий вид электродвигателя стеклоочистителя, установленном на автомобиле: .1 - электродвигатель; 2 - крышка редуктора; 3 - штепсельная колодка
Рис. 333. Электродвигатель МЭ-241А: 1 - крышка; 2 - панель; 3 - толкатель включателя; 4 - контактный диск включателя; 5 - кулачок; 6 - шестерня редуктора; 7 - картер редуктора; 8 - ось; 9 - кривошип; 10 - вал якоря; 11 - подпятник; 12 - корпус; 13 - обмотка статора; 14 - полюс статора; 15 - якорь; 16 - щеткодержатель; 11 - войлочное кольцо; 18 - втулка; 19 - упорная шайба; 20 - стяжной винт
Электродвигатель имеет стальной штампованный корпус 16, внутри которого пружинными держателями закреплены два постоянных магнита 11, образующие вместе с корпусом статор. В пазах сердечника якоря, набранного из стальных пластин, уложена волновая обмотка, выводы секций которой припаяны к медным пластинам коллектора.
Вал якоря 12 вращается в двух металлокерамических втулках 15. Вокруг втулок помещены войлочные кольца 13, пропитанные маслом. Поэтому в процессе эксплуатации подшипники вала якоря смазки не требуют. Осевое усилие, действующее на вал якоря от червячной передачи, воспринимается текстолитовой шайбой 14, в которую упирается задний конец вала. Передний конец вала поджимается подпятником 6 с пружиной.
Корпус электродвигателя закрывается крышкой 4, являющейся одновременно картером редуктора. С внутренней стороны к крышке приклепан пластмассовый щеткодержатель 9 с двумя графитовыми щетками, а в картере редуктора находится пластмассовая червячная шестерня 3 с кулачком 8. Шестерня напрессована на ось 5. Другой конец оси имеет конусную накатанную поверхность, на которую надевается и крепится гайкой кривошип. Ось вращается в металлокерамической втулке, запрессованной в крышку.
Между шестерней и картером установлены стальная и текстолитовая шайбы. Снаружи ось уплотняется резиновым кольцом, потом расположены текстолитовая шайба и стальная упругая волнистая шайба. Затем устанавливается водоотражательное кольцо и пружинное стопорное кольцо. Передаточное отношение редуктора составляет 51:1.
Рис. 334. Электрическая схема электродвигателя МЭ-241А: 1 - якорь; 2 - шунтовая катушка обмотки статора; 3 - тормозная катушка обмотки статора; 4 - сериесная катушка обмотки статора; 5 - включатель электродвигателя Обозначение цвета проводов: Г - голубой; ГБ - голубой с белыми полосами; ГЧ - голубой с черными полосами; 3 - зеленый; К - красный
Картер редуктора закрывается пластмассовой панелью 2 и крышкой 1. В панели находятся контактные стойки, к которым припаиваются провода и крепится пружинная пластина 7 с контактами выключателя, обеспечивающего остановку электродвигателя в тот момент, когда щетки находятся в нижнем положении. Контакты пружинной пластины прижимаются к нижней стойке (на рисунке), соединенной с источником питания. Когда выступ кулачка шестерни находится против пластины, он отжимает ее от нижней стойки и прижимает к верхней стойке, соединенной с массой.
Электродвигатель МЭ-241А (рис. 333) имеет электромагнитное смешанное возбуждение.
Корпус 12 электродвигателя изготовлен из стальной трубы. Внутри него винтами закреплены два стальных полюса 14 с катушками обмотки 13 статора. Одна (сериесная) катушка 4 (рис. 334) включена последовательно с обмоткой якоря, а другая (шунтовая) 2 - параллельно ей. Кроме того, имеется еще одна катушка - тормозная 3, размещенная вместе с сериесной на одном полюсе. Она включается только при выключении электродвигателя, создает магнитный поток, направленный навстречу потоку сериесной катушки и, таким образом, обеспечивает быструю остановку якоря.
Пазы якоря - спиральные, а коллектор расположен со стороны задней крышки. Осевое перемещение вала 10 (см. рис. 333) якоря устраняется с помощью нейлонового подпятника 11 с пружиной. Червяк редуктора - двухзаходный, а передаточное отношение - 34: 1.
Кривошип 9 приклепан к оси 8 шестерни, а крутящий момент от шестерни к оси передается через стальной штампованный кулачок 5.
Между шестерней и картером редуктора установлена одна стальная шайба, а между картером и кривошипом помещены одна текстолитовая, две стальных и волнистая стальная шайба.
Включатель электродвигателя состоит из толкателя 3 с контактным диском 4 и двух контактов, приклепанных к панели 2. Контактный диск пружиной прижимается к контактам и замыкает их. Когда кулачок 5 нажимает на толкатель, то контактный диск отодвигается и размыкает контакты.
Реле стеклоочистителя (рис. 335) служит для получения прерывистой работы стеклоочистителя. Оно установлено под панелью приборов с левой стороны.
Реле имеет эластичный пластмассовый кожух и гетинаксовое основание, к которому приклепан сердечник 3 с обмоткой и ярмом 4 электромагнита. К ярму с одной стороны винтом прикреплена пластмассовая опора с двумя парами неподвижных контактов, а с другой стороны на ярме качается якорь 2. Токонесущая пластина якоря замыкает верхнюю или нижнюю пару контактов. Пружина оттягивает якорь от сердечника, и поэтому верхняя пара контактов является нормально замкнутой, а нижняя - нормально paзомкнутой.
Рис. 335. Электрическая схема реле РС514 Обозначение цвета проводов: Г - голубой; ГБ- голубой с белыми полосами; Ж - желтый; К - красный
На основании закреплен также прерыватель 1, имеющий биметаллическую пластину с обмоткой из нихромовой проволоки. Под основанием установлен резистор 5, предназначенный для уменьшё ния искрения между контактами прерывателя.
анализ и фильтрацию проходящих через него сетевых пакетов. В зависимости от установленных правил, МЭ пропускает или уничтожает пакеты, разрешая или запрещая таким образом сетевые соединения. МЭ является классическим средством защиты периметра компьютерной сети: он устанавливается на границе между внутренней (защищаемой) и внешней (потенциально опасной) сетями и контролирует соединения между узлами этих сетей. Но бывают и другие схемы подключения, которые будут рассмотрены ниже.Английский термин, используемый для обозначения МЭ - firewall . Поэтому в литературе межсетевые экраны иногда также называют файервол или брандмауэр (немецкий термин, аналог firewall ).
Как уже было отмечено, фильтрация производится на основании правил. Наиболее безопасным при формировании правил для МЭ считается подход "запрещено все, что явно не разрешено". В этом случае, сетевой пакет проверяется на соответствие разрешающим правилам, а если таковых не найдется - отбрасывается. Но в некоторых случаях применяется и обратный принцип: "разрешено все, что явно не запрещено". Тогда проверка производится на соответствие запрещающим правилам и, если таких не будет найдено, пакет будет пропущен.
Фильтрацию можно производить на разных уровнях эталонной модели сетевого взаимодействия OSI . По этому признаку МЭ делятся на следующие классы [ , ]:
Экранирующий маршрутизатор (или пакетный фильтр ) функционирует на сетевом уровне модели OSI , но для выполнения проверок может использовать информацию и из заголовков протоколов транспортного уровня. Соответственно, фильтрация может производиться по ip-адресам отправителя и получателя и по ТСР и UDP портам. Такие МЭ отличает высокая производительность и относительная простота - функциональностью пакетных фильтров обладают сейчас даже наиболее простые и недорогие аппаратные маршрутизаторы. В то же время, они не защищают от многих атак, например, связанных с подменой участников соединений.
Шлюз сеансового уровня работает на сеансовом уровне модели OSI и также может контролировать информацию сетевого и транспортного уровней. Соответственно, в дополнение к перечисленным выше возможностям, подобный МЭ может контролировать процесс установки соединения и проводить проверку проходящих пакетов на принадлежность разрешенным соединениям.
Шлюз прикладного уровня может анализировать пакеты на всех уровнях модели OSI от сетевого до прикладного, что обеспечивает наиболее высокий уровень защиты. В дополнение к ранее перечисленным, появляются такие возможности, как аутентификация пользователей, анализ команд протоколов прикладного уровня, проверка передаваемых данных (на наличие компьютерных вирусов, соответствие политике безопасности ) и т.д.
Рассмотрим теперь вопросы, связанные с установкой МЭ. На рис. 6.1 представлены типовые схемы подключения МЭ. В первом случае ( рис. 6.1), МЭ устанавливается после маршрутизатора и защищает всю внутреннюю сеть . Такая схема применяется, если требования в области защиты от несанкционированного межсетевого доступа примерно одинаковы для всех узлов внутренней сети. Например, "разрешать соединения, устанавливаемые из внутренней сети во внешнюю, и пресекать попытки подключения из внешней сети во внутреннюю". В том случае, если требования для разных узлов различны (например, нужно разместить почтовый сервер , к которому могут подключаться "извне"), подобная схема установки межсетевого экрана не является достаточно безопасной. Если в нашем примере нарушитель, в результате реализации сетевой атаки, получит контроль над указанным почтовым сервером, через него он может получить доступ и к другим узлам внутренней сети.
В подобных случаях иногда перед МЭ создается открытый сегмент сети предприятия (6.1b), а МЭ защищает остальную внутреннюю сеть . Недостаток данной схемы заключается в том, что подключения к узлам открытого сегмента МЭ не контролирует.
Более предпочтительным в данном случае является использование МЭ с тремя сетевыми интерфейсами (6.1c). В этом случае, МЭ конфигурируется таким образом, чтобы правила доступа во внутреннюю сеть были более строгими, чем в открытый сегмент. В то же время, и те, и другие соединения могут контролироваться МЭ. Открытый сегмент в этом случае иногда называется "демилитаризованной зоной" - DMZ .
Еще более надежной считается схема, в которой для защиты сети с DMZ задействуются два независимо конфигурируемых МЭ (6.1d). В этом случае, MЭ 2 реализует более жесткий набор правил фильтрации по сравнению с МЭ1. И даже успешная атака на первый МЭ не сделает внутреннюю сеть беззащитной.
В последнее время стал широко использоваться вариант установки программного МЭ непосредственно на защищаемый компьютер . Иногда такой МЭ называют "персональным". Подобная схема позволяет защититься от угроз исходящих не только из внешней сети, но из внутренней.
1. Dual Homed
Межсетевой экран в таком варианте подключения осуществляет физическое и логическое разделение двух сетей, принимая решение о возможности установления соединения между ними.
1.1. Демилитаризованная зона (ДМЗ)
В некоторых случаях межсетевым экраном допускается использование нескольких сетевых адаптеров с установленными различными политиками безопасности. Для этого используется ДМЗ.
Как правило, в ДМЗ размещают службы, которые должны быть доступны и клиентам внешней сети, и клиентам защищаемой сети. Поскольку доступ к сервисам ДМЗ должен осуществляться из открытой сети, то в ДМЗ определяются менее жёсткие требования к сетевой безопасности, но достаточные для организации защиты от угроз. Если в сети используются группы пользователей с чётким разграничением доступных сервисов или различными уровнями конфиденциальности обрабатываемой информации, то межсетевой экран может контролировать сетевые потоки не только во внешние сети, но и между внутренними сегментами сети. Выделение ДМЗ, а также поддержка нескольких сетевых интерфейсов позволяет вести централизованное управление защитой сетевых ресурсов с различными принятыми политиками безопасности.
Пример: Пусть имеется корпоративный web-сервер осуществляющий публикацию данных компании в корпоративной сети. Эти данные извлекаются web-сервером из внутреннего сервера баз данных. Доступ к серверу баз данных разрешён только во внутренней сети. Для обеспечения работы интерфейса web-системы управления базой данных необходимо разрешить доступ от web-сервера к серверу баз данных. Тогда при получении доступа к web-серверы мы запросто можем получить доступ к серверу баз данных.
Выделение web-сервера в ДМЗ не только решает задачи защиты от внешних угроз, но и минимизирует возможность проникновения в локальную сеть.
1.2. Разрешение маршрутизации между сетевыми интерфейсами
В большинстве случаев маршрутизация разрешена между сетевыми интерфейсами на уровне операционной системы, при этом механизмы динамической и статической фильтрации управляются трафиком. В процессе загрузки/перезагрузки операционной системы существует короткий момент времени, в который сетевой стек с загруженным сервисом маршрутизации включен, а межсетевой экран с его правилами фильтрации ещё не загрузился.
При использовании межсетевым экраном только прикладных посредников необходимость в маршрутизации пакетов отсутствует. В этом случае прикладные посредники устанавливают посредничество между клиентом и сервером без поддержки маршрутизации со стороны ОС. При этом маршрутизацию между сетевыми интерфейсами можно запретить.
1.4. Межсетевой экран в локальной вычислительной сети
Межсетевой экранможно использовать для сегментирования локальной вычислительной сети с целью повышения её уровня информационной безопасности и защиты отдельных сетевых сегментов. Сегментирование в локальной сети используется тогда:
Когда в локальной сети присутствуют функциональные группы, обрабатывающие информацию с различным уровнем доступа,
Когда необходимо осуществлять управляемый доступ к прикладным и служебным сервисах,
Когда необходимо контролировать обмен информационными потоками между различными функциональными группами.
2. Экранирующий экран
В отличие от межсетевого экранас несколькими интерфейсами, разделяющего две и более сетей, экранирующий экран (бастион хост) подключен только к внутренней сети и имеет один сетевой интерфейс. В такой схеме большое внимание уделяется настройке таблиц маршрутизации таким образом, чтобы весь входящий трафик отправлялся на интерфейс межсетевого экрана, а во внутренней сети в качестве шлюза был указан IP-адрес межсетевого экрана.
Конфигурация экранирующая подсеть добавляет дополнительный уровень безопасности в конфигурацию экранирующего экрана путём внесения сетевого сегмента для улучшения изоляции экранирующей сети.
Технологии МЭ
1. Сетевая трансляция адресов(NАT).
При использовании NАT межсетевой экран выступает посредником между двумя IP-узлами, организую 2 канала передачи данных. При этом межсетевой экран использующий NАT взаимодействует с внешним IP-узлом от имени внутреннего, но использую свой IP-адрес.
Типы IP-адресации локальных сетей:
NAT обеспечивает простую и надёжную защиту путём установления так называемой «однонаправленной маршрутизации», когда сетевые пакеты передаются через межсетевой экран только из внутренней сети. Сетевая трансляция адресов осуществляется в трёх режимах:
Динамический
Статический
Комбинированный.
Различают также трансляцию адреса источника и трансляцию адреса назначения. NAT применяется в следующих случаях:
1. Политика безопасности требует скрытия внутреннего адресного пространства сети
2. Смена адресов хостов в сети невозможна
3. Необходимо подключить сеть с большим количеством хостов, но с ограниченным количеством статических IP-адресов
Динамическая трансляция
При динамическом режиме, называемом трансляцией портов, межсетевой экран имеет один внешний адрес. Все обращения в общедоступную сеть со стороны клиента внутренней сети осуществляются с использованием этого адреса. Межсетевой экран при обращении клиента выделяет ему уникальный порт транспортного протокола для внешнего IP-адреса. Количество портов: 65000
Пример: В локальной сети используется не маршрутизируемая сеть с адресным пространством 10.0.0.0. Клиент локальной сети желает установить соединением с web-сервером 207.46.130.149.
ОС формирует обычные IP-пакеты и отправляет их в сеть. При прохождении пакетов через межсетевой экран, последний меняет адрес источника на адрес внешнего интерфейса, а транспортный порт источника – на первый свободный из пула неиспользуемых портов и заново вычисляет контрольную сумму. Для web-сервера клиентом выступает хост, имеющий IP-адрес 200.0.0.1, то есть МЭ. Сервер отвечает клиенту обычным образом.
Динамическая трансляция с динамической выборкой IP-адресов
В динамическом режиме с динамической выборкой внешние IP-адреса выделяются динамически из пула внешних адресов. Как и при динамической трансляции, для каждого соединения используется транспортный порт. Отличие заключается в том, что при исчерпании всего пула портов выделяется следующий внешний IP-адрес.
Статическая трансляция адресов
При статической трансляции внешнему интерфейсу МЭ назначается столько зарегистрированных IP-адресов, сколько хостов имеется во внутренней сети.
Пример:
1. Клиент общедоступного сегмента сети обращается к web-серверу по адресу 200.0.0.21. 2. МЭ находит в своей таблице маршрутизации соответствующее правило и заменяет адрес назначения на 10.0.0.21.
3. Сервер возвращает ответный пакет с адресом источника 10.0.0.21.
4. При выходе из локальной сети МЭ заменяет свой адрес на 200.0.0.21.
Статическая трансляция с динамической выборкой IP-адресов
Данный вид трансляции не использует транспортные порты, а каждому клиенту динамически назначается IP-адрес из пула внешних адресов.
