Versija 17 nuo 2009-05-10 15:21:46

Išvalyti žinutę

Locked History Actions

Firewall

Firewall - Tarpsegmentinis ekranas

Apibrėžimas

Tarpsegmentinis ekranas (TE) – tai kompiuterinės sistemos arba tinklo dalis, skirta blokuoti neautorizuotą priėjimą prie kompiuterinės sistemos arba tinklo, tačiau leidžianti išeinančius ryšius. Taipogi tai grupė įrenginių arba programinės įrangos, kuri nustatyta leisti, drausti, šifruoti, dešifruoti ir nukreipti visus ryšius tarp skirtingų saugumo domenų pagal tam tikras taisykles.

Paaiškinimai

Kas tai yra tarpsegmentinis ekranas

Tarpsegmentinis ekranas, dar kitaip vadinama ugniasienė (pažodinis vertimas iš anglų kalbos) arba užkarda, tikriausiai viena populiariausių programos arba techninės įrangos dalių, kuri vartotojui suteikia galimybę į kompiuterį įsileisti tik tai, ko jis pats nori. Kad būtų užtikrintas didesnis saugumas lygiagrečiai tarsegmentinio ekrano yra naudojamos įvairiausios antivirusinės programos.

Galima išskirti keletą tarpsegmentinio ekrano tipų:

  1. Paketų filtras: apžiūrimas kiekvienas paketas, kuris nori patekti arba palikti tinklą, ir pagal aprašytas taisykles paketas yra priimamas arba atmetamas. Paketų filtravimas yra tikrai veiksmingas, tačiau gana sunkiai konfigūruojamas.

  2. Programinis šliuzas: apsaugomos konkrečios programos, pavyzdžiui, FTP ir Telnet serveriai. Tai labai veiksmingas, tačiau gali pablogėti našumas.

  3. Seanso lygio šliuzas: pritaikomi saugumo mechanizmai, kai naudojamas TCP arba UDP ryšys. Kai toks šliuzas sukuriamas, paketai gali keliauti tarp mazgų be patikrinimo.
  4. Įgaliotasis serveris: per tokį serverį gali eiti visi kliento (vietinio tinklo) ryšiai su išoriniu pasauliu. Kai klientas nori užmegzti ryšį su kuria nors svetaine, jis kreipiasi į įgaliotąjį serverį ir pateikia jam tos svetainės adresą ir užklausą jai. Serveris visa tai priima ir užklausą persiunčia savo (t. y. įgaliotojo serverio) vardu, o gavęs atsakymą persiunčia jį klientui. Kliento vardas ir kita informacija apie jį svetainei, su kuria jis bendrauja, lieka nežinoma.

Tarpsegmentinis ekranas turi dar vieną labai naudingą funkciją - tinklo adresų transliaciją (NAT). NAT sugeba paslėpti tikruosius adresus ir taip apsaugoti svarbius įtaisus.

Geriausių tarpsegmentinių ekranų 5-tukas

Vieta

Pavadinimas

Įvertinimas

Kaina (JAV doleriais)

1

Zonealarm PRO Firewall 2009

5/5

$39.95

2

F-Secure Internet Security 2009

4/5

$59.99

3

Prisma Firewall 2009

3/5

$29.50

4

NeT Firewall 2009

3/5

$49.95

5

ESET Smart Security - Firewall

3/5

$59.99

Perimetras

Kai nustatoma tinklo saugumo politika, turi būti nustatytos procedūros tinklo, jo turiniui bei vartotojų duomenims apsaugoti. Ši tinklo saugumo politika vaidina vieną iš pagrindinių rolių visos įmonės saugumo politikoje.

Tinklo saugumo politika didžiausią dėmesį skiria tinklo srauto stebėjimui ir jo valdymui. Ji identifikuoja tinklo resursus ir pavojus, nustato tinklo naudojimą bei atsakomybes ir nusako veiksmų planą, kai saugumo politika yra pažeidžiama. Kai įdiegiama tinklo saugumo politika, siekiama, kad ji efektyviausiai veiktų saugomo tinklo ribose. Šios strateginės tinklo ribos vadinamos tinklo perimetru.

Tinklo perimetro sukūrimui reikia priskirti kompiuterių tinklus ir nustatyti tinklo saugumo mechanizmus jiems apsaugoti. Kad tinklo perimetras sėkmingai veiktų, tarpsegmentinis ekranas turi būti šliuzas visiems ryšiams tarp patikimų (trusted), nepatikimų (untrusted) ir nežinomų (unkown) tinklų.

Kiekvienas tinklas gali turėti keletą tinklo perimetrų jame. Apibrėžiant tinklo perimetrų išdėstymą vienas kito atžvilgiu, tinklo perimetrai skirstomi į tris dalis: tolimiausias (outermost), vidinis (internal) ir giliausias (innermost). Žiūrėti pav. žemiau.

TE_perimetras_1.png

Galima nurodyti keletą saugumo taškų tinklo svarbioms vietoms apsaugoti. Dėliojant tinklo perimetro sluoksnius galima sukurti keletą tinklo srauto saugumo tikrinimo vietų tokiu būdu apsaugant svarbias vietas nuo atakų, kylančių iš tinklo vidaus.

Tolimiausias tinklo perimetras nustato atskyrimo vietą tarp tinklo, kurį galima kontroliuoti ir tinklo, kurio negalima kontroliuoti. Paprastai tai yra maršrutizatorius, kuris naudojamas jūsų tinklo atskyrimui nuo interneto tiekėjo (ISP) tinklo. Vidiniai tinklo perimetrai nustato papildomas ribas, kur įdiegti kiti saugumo mechanizmai, pavyzdžiui, intraneto TE ir filtruojantys maršrutizatoriai.

TE_perimetras_2.png

Paveiksle pavaizduoti du tinklo perimetrai (tolimiausias ir vidinis), kurie nustatyti pagal vidinių ir išorinių maršrutizatorių bei TE serverio išdėstymą. Iš išorinio tinklo vartotojų pusės TE pateikia visus prieinamus kompiuterius patikimame tinkle. TE nusako vietą, per kurią keliaus visos komunikacijos ir kurioje bus stebimas visas tinklo srautas.

Tolimiausias tinklo perimetras yra pati nesaugiausia tinklo infrastruktūros vieta. Paprastai ši vieta skirta maršrutizatoriams, TE serveriams, Interneto (HTTP, FTP) serveriams. Į šią tinklo vietą lengviausia patekti iš išorės. Jautri įmonės informacija, kuri naudojam tik vidiniame įmonės tinkle, neturėtų būti laikoma šiame tinklo perimetre.

Patikimi tinklai (Trusted Networks)

Tai tinklai, esantys jūsų tinklo saugumo perimetre. Tai tinklai, kuriuos stengiamasi apsaugoti. Kompiuterius, kurie sudaro šiuos tinklus, paprastai galima administruoti ir šie tinklai įeina į saugumo perimetrą.

Kai nustatinėjamas TE serveris, aiškiai nurodoma, kokio tipo tinklai yra prijungti prie tarpsegmentinio ekrano. Po šio nustatymo į patikimų tinklų sąrašą įeina TE serveris ir visi tinklai už šio serverio, kurie yra saugomi.

Nepatikimi tinklai (Untrusted Networks)

Tai tokie tinklai, kurie nepriklauso tinklo saugumo perimetrui. Jie nepatiki todėl, kad jų negalima kontroliuoti. Jūs neturite jokių administratoriaus teisių ir saugumo politikos įdiegimui šiems tinklams. Tai privatūs ar globalūs tinklai, nuo kurių jūs stengiatės apsaugoti savo tinklą. Kad ir kiek besistengtumėte apsaugoti savo tinklą, jums vis tiek reikalinga komunikuoti su šiais nepatikimais tinklais.

Nežinomi tinklai (Unknown Networks)

Nežinomi tinklai yra tie, kurie nėra patiki ir nėra nepatikimi. Jie yra nežinomo dydžio ir aiškiai neįmanoma TE serveriui apibrėžti, kad konkretus tinklas yra patikimas arba nepatikimas. Nežinomi tinklai yra už tinklo saugumo perimetro. Pagal nutylėjimą, visi ne patikimi tinklai yra laikomi nežinomais tinklais ir TE taiko tokiems tinklams taikytiną saugumo politiką (Internetas).

Lentelėje pateiktas tinklo perimetrų ir tinklo rūšių santykis bei aprašymas

Perimetras

Tinklo rūšis

Aprašymas

Giliausias perimetras (innermost)

Patikimas

Apsaugo jautriausius organizacijos duomenis nuo kitų tinklo perimetrų

Vidinis perimetras (internal)

Patikimas ir už TE

Tinklo perimetras, kuris veikia apsaugotas tarpsegmentinio ekrano

Tolimiausias perimetras (outermost)

Patikimas, bet gali būti atakuotas

Tinklo perimetras tarp išorinio maršrutizatoriaus ir tarpsegmentinio ekrano. Ši tinklo dalis prieinama iš išorės, ir didelė tikimybė, kad ji bus atakuota

Žinomi išoriniai tinklai

Nepatikimi

Prieinama iš išorės tik patikimiems vartotojams

Nežinomi išoriniai tinklai

Nežinomi

Apie jų egzistavimą nieko nežinoma

Tarpsegmentinių ekranų architektūros

Naudota literatūra

  1. http://en.wikipedia.org/wiki/Firewall_(networking)

  2. http://www.all-internet-security.com/top_10_firewall_software.html

CategoryŽodis