726.11K
Category: internetinternet

Межсетевые экраны

1.

2.

Назначение межсетевого экрана
UNIX/NT
Открытая
внешняя
сеть
Маршрутизатор
Межсетевой экран
Клиенты
Основное назначение МЭ - воплощение политики безопасности,
принятой в организации в вопросах обмена информацией
с внешним миром

3.

Механизмы защиты, реализуемые МЭ
Фильтрация пакетов
Шифрования
Управления списками доступа в маршрутизаторах
Аутентификация
)
Противодействия некоторым видам атак
Трансляция адресов

4.

Схема сети с фильтрацией пакетов
Пользовательские
подсети
Внешний
маршрутизатор
МЭ
Сеть сервера
SSH
HTTP
SMTP
DNS
DNS
Интернет

5.

Недостатки межсетевого экрана как средств защиты
Не защищает от пользователей, прошедших авторизацию
Не защищает соединения, установленные в обход МЭ
Не защищает от неправильной конфигурации
Не гарантируют 100% защиты от вторжения

6.

Виды трансляции адресов
Статистическая
Это задание однозначного соответствия между внутренним
адресом
ресурса и его адресом во внешней сети
Динамическая
Это отображение адресного пространства внутренней сети
на один адрес из внешней сети

7.

Статическая трансляция адресов
Внутренние адреса
Внешние адреса
200.0.0.100 – 200.0.0.200
199.203.73.15 – 199.203.73.115
source
200.0.0.108
source
199.203.73.23
dest
193.233.69.129
dest
193.233.69.129
Позволяет иметь доступ к внутренним узлам извне
Применяется в случае сложившегося распределения внутренних адресов

8.

Динамическая трансляция адресов
Внутренние адреса
Внешние адресам
200.0.0.100 – 200.0.0.200
199.203.145.35
source
200.0.0.104
dest
193.233.145.35
1305
source
199.203.145.35
dest
193.233.69.129
Не позволяет инициировать доступ к внутренним узлам извне
Решает проблему нехватки адресов
2531

9.

Недостатки трансляции адресов
Увеличение вероятности неверное адресации
Невозможность или трудности запуска некоторых приложений
Проблемы с SNMP, DNS и т.д.
Трудность идентификации внутреннего узла извнем
Замедление работы

10.

Сертифицированные межсетевые экраны
Наименование
№ Номер
сертификата
Даты внесения и
действия
сертификата
ФСТЭК
UserGate
№3905
От 26.03.2018 до
26.03.2026
VipNet IDS 2
(версия 2.4)
№3804
От 10.10.2017 до
10.10.2020
VipNet xFirewall
№4093
От 13.02.2019 до
13.02.2024
Континент
№4145
От 17.07.2019 до
17.07.2024
Сертифицированные МЭ зарубежного производства
Cisco ASA 5500-x
№3973
От 25.07.2018 до
25.07.2021
FortiGate
№4222
От 11.02.2020 до
11.02.2025

11.

Соответствие между классами защиты межсетевых
экранов и системами различных классов
Класс
Категория
защищенности значимого
объекта КИИ
ГИС
АСУ
Уровень
Класс ИС
защищенности общего
ИСПДн
пользования
3
3
3
3,4
2
2
2
2
2
1
1
1
Класс защиты
МЭ
6
-
II
5
4
3
Информационные системы, содержащие сведения, относящихся к
государственной тайне
2
1
English     Русский Rules