Принципы функционирования

брандмауэров

Выполнила:Мырза М.В.

43 группа, МаГУ

Друзья мои! Я очень рада

Войти в приветливый Ваш класс

И для меня уже награда

Вниманье ваших умных глаз.

Я знаю: каждый в классе гений.

Но без труда талант не впрок.

Скрестите шпаги ваших мнений-

Давайте же начнем урок!

Вступление.

Мало кто сегодня не слышал об угрозах, существующих в виртуальном пространстве. Пока еще остается непреложным тот факт, что компьютер, подсоединенный к сети Интернет, может подвергнуться реальным атакам. К сожалению, нередко встречаются неадекватные или незаконопослушные люди (часто в одном лице), патологически не способные существовать без того, чтобы не портить жизнь другим. Тех из них, которые разбираются в компьютерах и знают, как получить удаленный доступ к файлам, называют хакерами. Чтобы защититься от них, нам прежде всего нужен хороший брандмауэр - программа, которая блокирует несанкционированную передачу информации по Сети и препятствует запуску вредоносных программ.

Вступление.

В настоящее время большинство локальных вычислительных сетей (ЛВС) подключены к сети Интернет. Однако отсутствие эффективных средств защиты информации в существующих сетевых протоколах приводит к различным нарушениям целостности передаваемых данных. Нужны качественные технические средства разграничения доступа к информации. В качестве таких средств защиты широко применяются межсетевые экраны, называемые в англоязычной литературе firewall.

Что такое брандмауэр?

Брандмауэр — это программное или аппаратное обеспечение, которое помогает отражать атаки хакеров, вирусов и червей, пытающихся попасть на компьютер через интернет. Если вы домашний или офисный пользователь, установка брандмауэра — самый эффективный и важный шаг для защиты компьютера, который нужно сделать прежде всего. Необходимо включить брандмауэр и антивирусную программу до подключения к интернету.

Понятие брандмауэр (firewall) так же переводится как перегородка из огнеупорного материала, возводимая на пути распространения пожара. Уже позже данный термин стал использоваться для обозначения аппаратных и программных средств сетевой защиты (сетевой экран). Пожалуй, такое название было выбрано из маркетинговых соображений: "Пусть за стеной бушует пожар или беснуются варвары, но вам за надежной защитой ничего не грозит". В действительности сетевой экран походит не на сплошную стену, а на таможенный пост, где в соответствии с предписаниями проверяется багаж путешественников.

Свойства брандмауэров.

Брандмауэры обладают следующими свойствами:

Вся связь проходит через брандмауэр.

Брандмауэр разрешает только санкционированный трафик.

Брандмауэр способен противодействовать атакам на себя.

В качестве брандмауэра может выступать маршрутизатор, персональный компьютер, хост или совокупность хостов, специально предназначенных для защиты закрытой сети от расположенных на внешних хостах служб, которые могут нанести вред. Обычно система брандмауэра устанавливается на границе внутренней сети, в точке ее подключения к Internet. Однако брандмауэр может быть расположен и внутри сети, обеспечивая дополнительную, специализированную защиту некоторого ограниченного числа хостов.

Категории брандмауэров.

Способ защиты безопасной сети зависит как от конструкции брандмауэра, так и от применяемых им правил. В настоящий момент существует четыре основных категории брандмауэров.

Фильтры пакетов.

Шлюзы прикладного уровня.

Шлюзы уровня канала.

Процессоры проверки пакетов с фиксацией состояния.

Зачем нужны брандмауэры?

Зачем нужны брандмауэры? Почему для противостояния нападению недостаточно настройки самой системы? Ответ очень прост — брандмауэр является специализированным средством решения конкретной задачи — выявления несанкционированного трафика, а его применение избавляет от необходимости искать компромисс между степенью защищенности и функциональными возможностями системы.

Достоинства и недостатки брандмауэров

Брандмауэр — это всего лишь один из фрагментов архитектуры системы безопасности, и, как любой фрагмент архитектуры, он обладает сильными и слабыми сторонами. Давайте их рассмотрим более подробно.

Достоинства.

Брандмауэры превосходны в реализации корпоративной политики безопасности. Они должны быть настроены так, чтобы ограничить доступ к средствам управления, а к общедоступным ресурсам — нет.

Брандмауэры позволяют ограничить доступ к определенным службам. Например, брандмауэр разрешает свободный доступ к Web-серверу, но запрещает доступ к Telnet и другим демонам , не предназначенным для общего использования. При помощи функций аутентификации большинство брандмауэров способно обеспечить выборочный доступ.

Брандмауэры являются специализированным средством. Следовательно, не придется искать компромисс между степенью защищенности и функциональными возможностями.

Брандмауэры — превосходные ревизоры. Обладая достаточным пространством на диске или возможностью удаленного хранения журналов регистрации, брандмауэр способен регистрировать весь проходящий через него трафик (или только указанный).

Брандмауэры способны оповестить пользователей о соответствующих событиях.

Недостатки.

Брандмауэры не могут защитить от того, что разрешено. Можно задаться вопросом, что же это означает? Брандмауэры защищают приложения и разрешают обычный обмен информацией с этими приложениями (в противном случае от брандмауэров было бы больше вреда, чем пользы). Но если сами приложения обладают дефектами, то брандмауэры их не исправят и не смогут предотвратить атаку, поскольку для брандмауэра вся передаваемая информация вполне допустима.

Брандмауэры эффективны настолько, насколько эффективны правила, которые они призваны выполнять. Набор чрезмерно вольготных правил уменьшит эффективность брандмауэра.

Брандмауэры бессильны перед человеческим фактором или уполномоченным пользователем, преднамеренно использующим свои права в злонамеренных целях.

Брандмауэры не могут ни устранить просчеты администратора, ни заменить плохо разработанную политику безопасности.

Брандмауэры не противодействуют атакам, трафик которых через них не проходит.

Совершенствоваться, совершенствоваться и еще раз

совершенствоваться!

Регулярная установка новейших дополнений (patch) — хоть и несложный, но зачастую игнорируемый процесс. Новые дефекты обнаруживаются постоянно. Система, которая минуту назад была вполне защищенной, может внезапно стать уязвимый. Чтобы всегда оставаться в курсе последних новостей об используемой системе, подпишитесь на несколько телеконференций и списков рассылки по системным ошибкам, а также на списки рассылки поставщика установленного программного обеспечения. Наиболее популярные службы уведомления об обнаруженных ошибках содержат следующие организации.

Организации.

Internet Security Systems предоставляет свою базу данных xforce и список рассылки по адресу http://www.iss.net/xforce.

SecurityFocus предоставляет копию архива Bugtraq и список рассылки по адресуhttp://www.securityfocus.com.

Группа Computer Incident Emergency Response Team (CERT) доступна по адресуhttp://www.cert.org.

База данных Common Vulnerabilities and Exposures (CVE) доступна по адресуhttp://www.cve.mitre.org.

Разработка политики безопасности.

Корпоративная политика защиты информации — это фундамент, на котором воздвигают саму корпоративную систему защиты информации. Это оградит важную информацию от риска взлома, а саму корпорацию от возможных последствий. Корпоративная политика безопасности определяет также способы защиты данных, и брандмауэр — одно из средств реализации этой политики.

Применение политик позволяет администраторам отвергать многочисленные запросы об открытии новых каналов доступа через брандмауэр. Без однозначных директив, указывающих администратору, что можно, а что нельзя передавать через брандмауэр, определенное время спустя эффективность защиты существенно уменьшится, поскольку все возможные службы (и даже более) окажутся разрешены.

Контроль и учет (мониторинг и регистрация) 

Защиту любой системы можно преодолеть, это лишь вопрос времени и денег. Однако попытки проникновения оставят следы, записи в журналах регистрации и т.д. Если администратор внимательно следит за своей системой, то попытка взлома может быть обнаружена и пресечена прежде, чем она увенчается успехом. Следовательно, чрезвычайно важно контролировать действия операционной системы. Приложения должны вести журналы системных событий — как успешных, так и неудачных. Процесс регистрации событий и регулярный просмотр журналов позволит администратору своевременно выявить подозрительные действия и принять соответствующие меры, прежде чем произойдет серьезное нарушение системы безопасности.

Доверяй, но проверяй (аудит и тестирование) 

По завершении настройки брандмауэра, очень важно удостовериться, что запланированный уровень обеспечения безопасности достигнут, что разрешенное доступно, а запрещенное — нет. Для проверки защиты брандмауэра и систем позади него применяются как коммерческие инструментальные средства, так и распространяемые бесплатно.

Защита — процесс постоянный, поэтому, реализовав, настроив и проверив систему, нельзя гарантировать ее безопасность полностью и навсегда. Для оценки текущей степени защищенности необходимо периодически проводить проверки.

Однако, напоследок хотелось бы заметить, что все эти защитные меры будут совершенно бесполезны, если вы бездумно открываете письма от неизвестных отправителей или посещаете сомнительные сайты. Ничто и никто не защитит ваш компьютер лучше, чем вы сами.

Заключение.

Будем надеяться, что эта информация была полезной и поможет Вам в дальнейшем поддерживать

информационную безопасность вашего компьютера или сети компьютеров. В завершении нашего урока

предлагаем Вам пройти тест на проверку знаний.

Спасибо за

внимание!