 |
|
|||
 |
||||||||||||||||||||||||||||||||||||||||
Меню |
||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Распределение нагрузкиFireWall-1 позволяет распределить вычислительную нагрузку на любое число серверов. Рис. 11 показывает конфигурацию, в которой сервисы FTP и HTTP обслуживаются несколькими серверами. Рис. 14 Распределение нагрузки по нескольким серверам Все HTTP серверы способны дать клиенту одинаковые сервисы (однако не все HTTP серверы позади защищенного моста). Таким же образом, все FTP серверы обеспечивают клиентов одинаковым сервисом. Системному администратору важно, чтобы загрузка по обслуживанию была распределена между серверами. Клиент не будет подозревать о наличии нескольких разных серверов. С точки зрения клиента, есть только один HTTP и один FTP сервер. Когда запрос на обслуживание достигает FireWall, FireWall-1 определяет какой из серверов будет обслуживать данный запрос, основываясь на алгоритме балансирования загрузки, заданном системным администратором.
Алгоритм распределения нагрузкиДоступны следующие алгоритмы распределения :
Аутентификация FireWall-1 обеспечивает при вида аутентификации:
Табл. 5. Сравнение типов аутентификации
Обратите внимание: аутентификация клиента и сессии обеспечиваются не серверами безопасности, а другими механизмами, описанными в "Аутентификация клиента" и "Аутентификация сессии". FireWall-1 поддерживает следующие схемы аутентификации для каждого пользователя:
Проверка потока данныхВозможность проверки содержания расширяет набор возможностей по проверке данных до протоколов самого верхнего уровня. Эта возможность позволяет максимально гибко управлять доступом к сетевым ресурсам. FireWall-1 обеспечивает проверку содержания для HTTP, SMTP и FTP с использованием серверов безопасности FireWall-1. Для каждого соединения, установленного через сервер безопасности FireWall-1, администратор может управлять доступом в соответствии с различными параметрами протокола данного сервиса: URL, именами файлов, командами FTP PUT/GET, типами запросов и так далее. Наиболее важное применение проверки содержания - анти-вирусная проверка передаваемых файлов. Анти-вирусная поддержка полностью интегрирована с FireWall-1. Проверка содержания реализуется через тип обьекта FireWall-1 Resource. Определение обьекта Resource задает ряд составляющих, которые могут быть доступны через определенный протокол. Вы можете задавать FireWall-1 Resource на основе протоколов HTTP, FTP и SMTP. Например, вы можете задать URI ресурс, чьими атрибутами будет список URL и схем HTTP и FTP. Ресурс может быть использован в базе правил точно таким же образом, как и любой другой тип сервиса, и для него также могут быть определены стандартные процедуры записи события в журнал и оповещения администратора системы для обеспечения возможности наблюдения за использованием данного ресурса.
HTTPРесурсы URI могут определять схемы (HTTP, FTP, GOPHER и т.д.), методы (GET,PUT, и т.д.), машины (например, "*.com"), пути и запросы. Также может быть задан файл, содержащий список IP адресов и серверов.
SMTPПротокол SMTP, разработанный для обеспечения наиболее удобного общения между людьми через Internet, и расширенный для поддержки не только e-mail, но и передачи файлов, предоставляет выбор системному администратору, который хочет одновременно поддерживая прозрачность соединений, не позволять нарушителям проникнуть внутрь сети. FireWall-1 предлагает сервер SMTP, который обеспечивает максимально детальный контроль над соединениями SMTP. Определяя SMTP ресурсы, администратор безопасности имеет возможности: § спрятать в исходящей почте адрес From под стандартным общим адресом, закрыв тем самым внутреннюю архитектуру сети и реальные имена пользователей. § перенаправить почту, посланную на данный адрес To (например для root) на другой почтовый адрес. § уничтожать всю почту от заданного адреса. § обрезать все прикрепленные к письмам файлы. § убирать поля Received из исходящей почты для закрытия внутренней структуры сети. § уничтожать все письма размера более заданного.
FTPСервер безопасности FTP обеспечивает аутентификацию и проверку содержимого, основываясь на командах FTP (PUT/GET), ограничениях на имена файлов и анти- вирусной проверке файлов.
Анти-вирусАнти-вирусная проверка является составной частью такого свойства FireWall-1, как проверка содержимого потоков данных и значительно снижает уязвимость защищенных машин. Проверка всех передаваемых файлов проводится с использованием встроенного анти-вирусного модуля. Конфигурация этого механизма (какие файлы проверять, что делать с зараженными файлами) полностью интегрирована в политику безопасности (базу правил). Все инструменты управления и проверки FireWall-1 доступны для журналирования и оповещения о случаях нахождения зараженных файлов. 7.5 Недостатки межсетевых экранов
Отсутствие защиты от авторизованных пользователейПроблема:Невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. Решение: Для устранения этого недостатка нужны новые подходы и технологии. Например, использование систем обнаружения атак (intrusion detection systems). RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует - авторизованный пользователь (в т.ч. и администратор) или злоумышленник.
Отсутствие защиты новых сетевых сервисовПроблема:Невозможность защиты новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряд других. Реализуется это при помощи при помощи механизма "посредников" (proxy), обеспечивающих контроль трафика, передаваемого по этим протоколам или при помощи указанных сервисов. И хотя число таких "посредников" достаточно велико, они существуют не для всех новых протоколов и сервисов. Решение: Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Некоторые производители создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие разработчики межсетевых экранов предлагают средства для написания своих proxy В этом случае необходима высокая квалификация и время для написания эффективного proxy, учитывающего специфику нового сервиса и протокола. Аналогичная возможность существует и у межсетевого экрана CheckPoint Firewall-1, который включает в себя мощный язык INSPECT, позволяющий описывать различные правила фильтрации трафика.
Ограничение функциональности сетевых сервисовПроблема:Некоторые корпоративные сети используют топологию, которая трудно "уживается" с межсетевым экраном, или используют некоторые сервисы (например, NFS [34]) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ. Решение: Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе создания корпоративной информационной системы.
Потенциальная опасность обхода межсетевого экранаПроблема:Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ в сеть через модем по протоколам SLIP(межсетевой протокол для последовательного канала) или PPP(ротокол двухточечного соединения) в обход межсетевого экрана делает сеть практически незащищенной. Решение: Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, использование систем разграничения доступа, в т.ч. и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner).
Потенциально опасные возможностиПроблема:Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, WWW, Java, ActiveX [35] и другие сервисы, ориентированные на работу с данными. Они являются потенциально опасными, так как могут содержать в себе враждебные инструкции, нарушающие установленную политику безопасности. Решение: Защита от таких полезных, но потенциально опасных возможностей должна решаться в каждом конкретном случае по-своему. Можно проанализировать необходимость использования новой возможности и совсем отказаться от нее; а можно использовать специализированные защитные средства, например, систему SurfinShield компании Finjan или SafeGate компании Security-7 Software, обеспечивающие безопасность сети от враждебного "мобильного" кода.
Вирусы и атакиПроблема:Практически ни один межсетевой экран не имеет встроенных механизмов защиты от Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13
| |
|||||||||||||||||||||||||||||||||||||||
| © 2010 Все права защищены. | ||||||||||||||||||||||||||||||||||||||||
