разделить сеть на две или
более частей и реализовать
набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую
Что такое межсетевой экран?
МСЭ
Сеть 1
Сеть 2
- Главная
- Разное
- Бизнес и предпринимательство
- Образование
- Развлечения
- Государство
- Спорт
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Религиоведение
- Черчение
- Физкультура
- ИЗО
- Психология
- Социология
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Геометрия
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Что такое findslide.org?
FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.
Обратная связь
Email: Нажмите что бы посмотреть
Презентация на тему Межсетевые экраны
Содержание
- 2. Межсетевой экранЭто специализированное программное или аппаратное обеспечение,
- 3. NTUNIXМаршрутизаторКлиентыНазначение МСЭОсновное назначение МСЭ - воплощение политики безопасности,принятой в организации в вопросах обмена информациейс внешним миром
- 4. Механизмы защиты, реализуемые МСЭФильтрация пакетовШифрование (создание VPN)Трансляция
- 5. Фильтрация сетевого трафикаIP-адрес отправителяIP-адрес получателяTCP/UDP-порт отправителяTCP/UDP-порт получателяДругие критерииПравила фильтрацииК внешней сетиК внутренней сетиЭто основная функция МЭ!
- 6. Фильтрация сетевого трафикаУровень приложенийУровень представленияУровень соединенияУровень транспортныйУровень сетевойУровень канальныйУровень физическийСегмент 1Сегмент 2
- 7. ШифрованиеНезашифрованныйтрафикЗашифрованныйтрафикФункции шифрования позволяют защитить данные,передаваемые по общим каналам связи
- 8. Виртуальные частные сетиВиртуальные частные сети (VPN) предназначеныдля безопасного обмена данными черезсети общего пользования VPN-шлюзVPN-шлюзVPN-клиент
- 9. Организация виртуальных частныхсетей с использованием МСЭМСЭ + VPN модуль
- 10. Трансляция адресовЭто замена в IP-пакете IP-адреса отправителя
- 11. Виды трансляции адресовСтатическая(двунаправленная)Это задание однозначного соответствия между
- 12. Статическая трансляция адресовВнутренние адреса200.0.0.100 - 200.0.0.200 Внешние
- 13. Динамическая трансляция адресовВнутренние адреса200.0.0.100 - 200.0.0.200 Внешний
- 14. Увеличение вероятности неверной адресацииНевозможность или трудности запуска
- 15. Типы межсетевых экрановПрикладной уровень Уровень представленияСеансовый уровень
- 16. Прикладной уровень Уровень представленияСеансовый уровень Транспортный уровеньСетевой уровеньКанальный уровеньФизический уровеньПакетный фильтрIPTCP, UDP, ICMPДанные
- 17. ПреимуществаНизкая стоимостьНебольшая задержка прохождения пакетовНедостаткиОткрытость внутренней сетиТрудность описания правил фильтрацииПреимущества и недостатки пакетных фильтров
- 18. Технология «Proxy»Proxy - это приложение - посредник,
- 19. ТСРIPКанальный уровеньШлюз уровнясоединенияСерверКлиентШлюз уровня соединения
- 20. Протокол SOCKSТранспортный уровень (TCP, UDP)Прикладной уровеньПротокол SOCKSШлюз уровня соединения -пример
- 21. Сервер SOCKS Клиент SOCKS Внешний узел Шлюз уровня соединения -пример
- 22. Шлюзы прикладного уровняВнутренняя сетьTELNET - серверFTP -
- 23. Шлюзы прикладного уровняТСРIPКанальный уровеньHTTP-посредникСерверHTTPКлиентHTTP
- 24. Преимущества и недостаткитехнологии «PROXY»ПреимуществаДвухшаговая процедура для входа
- 25. Технология «Stateful Inspection»IPTCPSessionApplication Inspection ModuleСетевой уровеньКанальный уровеньТранспортный
- 26. Технология «Stateful Inspection» Хранение информации о состоянии
- 27. Технология «Stateful Inspection»Обработка нового соединенияКлиентСерверПервый пакет нового соединенияНовое соединениеТаблица соединенийПроверка соответствия политике безопасности
- 28. Технология «Stateful Inspection»КлиентСерверПоследующие пакеты соединенияТаблица соединенийПросмотр таблицы соединенийОбработка следующих пакетов
- 29. Варианты расположения МСЭВнутренняя сетьFTPWEBМСЭ, маршрутизаторМаршрутизатор является межсетевым экраном1
- 30. Варианты расположения МСЭВнутренняя сетьFTPWEBМаршрутизаторыТрафик с внешнего маршрутизатора перенаправляется на МСЭ,а затем на внутренний маршрутизаторМСЭ2
- 31. Варианты расположения МСЭВнутренняя сетьFTPWEBМаршрутизаторМСЭ является единственной видимой снаружи машинойМСЭ3
- 32. Варианты расположения МСЭВнутренняя сетьМаршрутизаторЗащищена не вся внутренняя сеть. Узлы, которые должныбыть видимы снаружи, не защищеныМСЭ4FTPWEBНезащищённые узлы
- 33. Варианты расположения МСЭВнутренняя сетьМаршрутизаторЗащищена не вся внутренняя сеть. Узлы, которые должныбыть видимы снаружи, не защищеныМСЭ4FTPWEBДемилитаризованная зона
- 34. Варианты расположения МСЭВнутренняя сетьМаршрутизаторFTP и WEB серверы
- 35. Недостатки МСЭ как средств защитыНе защищают от
- 36. Пакетный фильтрна базе ОСLinux
- 37. Архитектура пакетного фильтра ipchainsInput chainNIC1NIC2Output chainВходящийтрафикИсходящийтрафикforwardroutingrouting
- 38. Работа отдельной цепочки фильтрацииПравило 1Правило 2Правило 3ПакетDefault
- 39. Архитектура пакетного фильтра iptablesNIC1NIC2SNATВходящийтрафикИсходящийтрафикforwardroutingroutingDNATInput chainOutput chain
- 40. Практическая работа 5Пакетный фильтр на базе LinuxНастройка фильтрации ICMP и UDP
- 41. Межсетевой экранCheckPointFireWall-1
- 42. Архитектура FireWall-1Management ModuleРежим пользователяРежим ядраFireWall ModuleGUIклиентManagementServerFireWallDaemonSecurityServersДрайвер сетевого адаптераInspectionModuleУровень IP
- 43. Inspection ModuleРеализован в виде драйвераВыполняет функцииКонтроль доступаАутентификация сессииКлиентская аутентификацияТрансляция адресовАудитДрайвер сетевого адаптераInspectionModule
- 44. Компоненты Inspection ModuleДрайвер сетевого адаптераInspection ModuleKernelAttachmentKernelVirtualMachineKernelAddressTranslation
- 45. Работа Inspection ModuleIP ProtocolInspection ModuleNICNIC
- 46. Работа Inspection ModuleIPTCPSessionApplicationFW-1 Inspection ModuleСетевой уровеньКанальный уровеньЕсть правило для пакета?Log/AlertПропустить пакет?Есть следующееправило?Send NACKDrop the PacketДаДаДа
- 47. Конфигурация FireWall-1Management ModuleFireWall ModuleGUI клиентManagement ServerGUI клиентGUI клиент
- 48. Скачать презентацию
- 49. Похожие презентации
Межсетевой экранЭто специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другуюЧто такое межсетевой экран?МСЭСеть 1Сеть 2
Слайд 2
Межсетевой экран
Это специализированное программное или аппаратное
обеспечение, позволяющее
разделить сеть на две или
набор правил, определяющихусловия прохождения сетевых пакетов из одной части в другую
Слайд 3
NT
UNIX
Маршрутизатор
Клиенты
Назначение МСЭ
Основное назначение МСЭ - воплощение политики безопасности,
принятой
в организации в вопросах обмена информацией
с внешним миром
Слайд 4
Механизмы защиты, реализуемые МСЭ
Фильтрация пакетов
Шифрование (создание VPN)
Трансляция адресов
Аутентификация
(дополнительная)
Противодействие некоторым видам атак
(наиболее распространенным)
Управление списками доступа на
маршрутизаторах
(необязательно)
Слайд 5
Фильтрация сетевого трафика
IP-адрес отправителя
IP-адрес получателя
TCP/UDP-порт отправителя
TCP/UDP-порт получателя
Другие критерии
Правила
фильтрации
К внешней сети
К внутренней сети
Это основная функция МЭ!
Слайд 6
Фильтрация сетевого трафика
Уровень приложений
Уровень представления
Уровень соединения
Уровень транспортный
Уровень сетевой
Уровень
канальный
Уровень физический
Сегмент 1
Сегмент 2
Слайд 7
Шифрование
Незашифрованный
трафик
Зашифрованный
трафик
Функции шифрования позволяют защитить данные,
передаваемые по общим каналам
связи
Слайд 8
Виртуальные частные сети
Виртуальные частные сети (VPN) предназначены
для безопасного
обмена данными через
сети общего пользования
VPN-шлюз
VPN-шлюз
VPN-клиент
Слайд 10
Трансляция адресов
Это замена в IP-пакете IP-адреса отправителя или
получателя
другим IP-адресом при прохождении пакета через устройство,
осуществляющее
трансляциюОбоснование
Маскировка внутренних IP-адресов от внешнего мира
Решение проблемы некорректности либо нехватки IP-адресов
внутренней сети
192.168.70.197
193.233.69.129
193.233.69.129
197.100.70.197
Отправитель
Получатель
Слайд 11
Виды трансляции адресов
Статическая
(двунаправленная)
Это задание однозначного соответствия между внутренним
адресом
ресурса и его адресом во внешней сети
Динамическая
(трансляция адресов-портов)
Это отображение
адресного пространства внутренней сетина один адрес из внешней сети
1
1
1
N
Слайд 12
Статическая трансляция адресов
Внутренние адреса
200.0.0.100 - 200.0.0.200
Внешние адреса
199.203.73.15
- 199.203.73.115
200.0.0.108
193.233.69.129
193.233.69.129
199.203.73.23
source
dest
source
dest
Позволяет иметь доступ к внутренним узлам извне
Применяется в
случае сложившегося распределения внутренних адресов
Слайд 13
Динамическая трансляция адресов
Внутренние адреса
200.0.0.100 - 200.0.0.200
Внешний адрес
199.203.145.35
200.0.0.104
193.233.145.35
193.233.69.129
199.203.145.35
source
dest
source
dest
адрес
порт
1305
х
порт
2531
х
адрес
Не
позволяет инициировать доступ к внутренним узлам извне
Решает проблему нехватки
адресов
Слайд 14
Увеличение вероятности неверной адресации
Невозможность или трудности запуска некоторых
приложений
Проблемы
с SNMP, DNS и т. д.
Замедление работы
Недостатки трансляции адресов
Слайд 15
Типы межсетевых экранов
Прикладной уровень
Уровень представления
Сеансовый уровень
Транспортный
уровень
Сетевой уровень
Канальный уровень
Физический уровень
Прикладной уровень
Уровень представления
Сеансовый уровень
Транспортный
уровеньСетевой уровень
Канальный уровень
Физический уровень
Шлюз прикладного уровня
Шлюз уровня соединения
Пакетный фильтр
Слайд 16
Прикладной уровень
Уровень представления
Сеансовый уровень
Транспортный уровень
Сетевой уровень
Канальный
уровень
Физический уровень
Пакетный фильтр
IP
TCP, UDP, ICMP
Данные
Слайд 17
Преимущества
Низкая стоимость
Небольшая задержка прохождения пакетов
Недостатки
Открытость внутренней сети
Трудность описания
правил фильтрации
Преимущества и недостатки
пакетных фильтров
Слайд 18
Технология «Proxy»
Proxy - это приложение - посредник, выполняющееся
на МСЭ
и выполняющее следующие функции:
Приём и анализ запросов
от клиентов Перенаправление запросов реальному серверу
Слайд 20
Протокол SOCKS
Транспортный уровень
(TCP, UDP)
Прикладной уровень
Протокол SOCKS
Шлюз уровня
соединения -пример
Слайд 22
Шлюзы прикладного уровня
Внутренняя сеть
TELNET - сервер
FTP - сервер
и
др.
FTP
TELNET
Пользователь устанавливает соединение с сервисом,
запущенным на межсетевом экране
Правила
доступа формируются на основе названия сервиса,имени пользователя, времени работы и т. д.
FTP
TELNET
HTTP
FTP
TELNET
HTTP
Слайд 24
Преимущества и недостатки
технологии «PROXY»
Преимущества
Двухшаговая процедура для входа во
внутреннюю сеть
и выхода наружу
Надёжная аутентификация
Недостатки
Закрытость внутренней сети
Простые правила фильтрации
Низкая
производительностьВысокая стоимость
Слайд 25
Технология «Stateful Inspection»
IP
TCP
Session
Application
Inspection Module
Сетевой уровень
Канальный уровень
Транспортный уровень
Сеансовый
уровень
Уровень представления
Прикладной уровень
Пакет перехватывается на
сетевом уровне
Специальный модуль
анализирует информацию
со
всех уровнейИнформация сохраняется
и используется для
анализа последующих
пакетов
Слайд 26
Технология «Stateful Inspection»
Хранение информации о состоянии соединения
Хранение информации о состоянии приложения
Модификация передаваемой информации
Это анализ
пакета в контексте соединения
Слайд 27
Технология «Stateful Inspection»
Обработка нового соединения
Клиент
Сервер
Первый пакет нового соединения
Новое
соединение
Таблица соединений
Проверка соответствия политике безопасности
Слайд 28
Технология «Stateful Inspection»
Клиент
Сервер
Последующие пакеты соединения
Таблица соединений
Просмотр таблицы соединений
Обработка
следующих пакетов
Слайд 29
Варианты расположения МСЭ
Внутренняя сеть
FTP
WEB
МСЭ, маршрутизатор
Маршрутизатор является межсетевым экраном
1
Слайд 30
Варианты расположения МСЭ
Внутренняя сеть
FTP
WEB
Маршрутизаторы
Трафик с внешнего маршрутизатора перенаправляется
на МСЭ,
а затем на внутренний маршрутизатор
МСЭ
2
Слайд 31
Варианты расположения МСЭ
Внутренняя сеть
FTP
WEB
Маршрутизатор
МСЭ является единственной видимой снаружи
машиной
МСЭ
3
Слайд 32
Варианты расположения МСЭ
Внутренняя сеть
Маршрутизатор
Защищена не вся внутренняя сеть.
Узлы, которые должны
быть видимы снаружи, не защищены
МСЭ
4
FTP
WEB
Незащищённые узлы
Слайд 33
Варианты расположения МСЭ
Внутренняя сеть
Маршрутизатор
Защищена не вся внутренняя сеть.
Узлы, которые должны
быть видимы снаружи, не защищены
МСЭ
4
FTP
WEB
Демилитаризованная зона
Слайд 34
Варианты расположения МСЭ
Внутренняя сеть
Маршрутизатор
FTP и WEB серверы подключены
к отдельному интерфейсу МСЭ,
что позволяет создать для них отдельную
политикуМСЭ
5
FTP
WEB
Демилитаризованная зона
Слайд 35
Недостатки МСЭ как средств защиты
Не защищают от пользователей,
прошедших авторизацию
Не защищают соединения, установленные
в обход МСЭ
Не защищают
от неправильной конфигурацииНе гарантируют 100% защиты от вторжений
Слайд 37
Архитектура пакетного фильтра ipchains
Input chain
NIC1
NIC2
Output chain
Входящий
трафик
Исходящий
трафик
forward
routing
routing
Слайд 38
Работа отдельной цепочки фильтрации
Правило 1
Правило 2
Правило 3
Пакет
Default
ACCEPT
либо DROP
Если пакет подходит под условие, то к нему
применяется действие.Input
Слайд 39
Архитектура пакетного фильтра iptables
NIC1
NIC2
SNAT
Входящий
трафик
Исходящий
трафик
forward
routing
routing
DNAT
Input chain
Output chain
Слайд 42
Архитектура FireWall-1
Management Module
Режим пользователя
Режим ядра
FireWall Module
GUI
клиент
Management
Server
FireWall
Daemon
Security
Servers
Драйвер сетевого адаптера
Inspection
Module
Уровень
Слайд 43
Inspection Module
Реализован в виде драйвера
Выполняет функции
Контроль доступа
Аутентификация сессии
Клиентская
аутентификация
Трансляция адресов
Аудит
Драйвер сетевого адаптера
Inspection
Module
Слайд 44
Компоненты Inspection Module
Драйвер сетевого адаптера
Inspection Module
Kernel
Attachment
Kernel
Virtual
Machine
Kernel
Address
Translation
Слайд 46
Работа Inspection Module
IP
TCP
Session
Application
FW-1
Inspection Module
Сетевой уровень
Канальный уровень
Есть
правило
для
пакета?
Log/Alert
Пропустить
пакет?
Есть
следующее
правило?
Send NACK
Drop the Packet
Да
Да
Да
Слайд 47
Конфигурация FireWall-1
Management Module
FireWall Module
GUI клиент
Management Server
GUI клиент
GUI клиент
