разделить сеть на две или
более частей и реализовать
набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую
Что такое межсетевой экран?
МСЭ
Сеть 1
Сеть 2
- Главная
- Разное
- Бизнес и предпринимательство
- Образование
- Развлечения
- Государство
- Спорт
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Религиоведение
- Черчение
- Физкультура
- ИЗО
- Психология
- Социология
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Геометрия
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Что такое findslide.org?
FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.
Обратная связь
Email: Нажмите что бы посмотреть
Презентация на тему Межсетевые экраны
Содержание
- 2. Межсетевой экранЭто специализированное программное или аппаратное обеспечение,
- 3. NTUNIXМаршрутизаторКлиентыНазначение МСЭОсновное назначение МСЭ - воплощение политики безопасности,принятой в организации в вопросах обмена информациейс внешним миром
- 4. МСЭ как система защиты периметраУровень 1Уровень 3Уровень
- 5. Механизмы защиты, реализуемые МСЭФильтрация пакетовШифрование (создание VPN)Трансляция адресовАутентификацияПротиводействие некоторым видам атакУправление списками доступа на маршрутизаторах
- 6. Фильтрация пакетовIP-адрес отправителяIP-адрес получателяTCP/UDP-порт отправителяTCP/UDP-порт получателяФлаги ТСРОпции IPПравила фильтрацииК внешней сетиК внутренней сетиМСЭ
- 7. ШифрованиеНезашифрованныйтрафикЗашифрованныйтрафикФункции шифрования позволяют защитить данные,передаваемые по общим каналам связи
- 8. Виртуальные частные сетиВиртуальные частные сети (VPN) предназначеныдля безопасного обмена данными черезсети общего пользования VPN-шлюзVPN-шлюзVPN-клиент
- 9. Организация виртуальных частныхсетей с использованием МСЭМСЭ + VPN модуль
- 10. Трансляция адресовЭто замена в IP-пакете IP-адреса отправителя
- 11. Виды трансляции адресовСтатическаяЭто задание однозначного соответствия между
- 12. Статическая трансляция адресовВнутренние адреса200.0.0.100 - 200.0.0.200 Внешние
- 13. Динамическая трансляция адресовВнутренние адреса200.0.0.100 - 200.0.0.200 Внешний
- 14. Увеличение вероятности неверной адресацииНевозможность или трудности запуска
- 15. Типы межсетевых экрановПакетный фильтр или экранирующий маршрутизаторШлюз
- 16. Экранирующие маршрутизаторы или пакетные фильтрыФильтрация пакетов осуществляется
- 17. ПреимуществаНизкая стоимостьНебольшая задержка прохождения пакетовНедостаткиОткрытость внутренней сетиТрудность описания правил фильтрацииПреимущества и недостатки пакетных фильтров
- 18. Технология «Proxy»Proxy - это приложение - посредник,
- 19. Шлюзы уровня соединенияВесь ТСР - трафик просто транслируется в обоих направленияхTCPIPNICNICTCPIPВнутренняя сеть
- 20. Шлюзы прикладного уровняВнутренняя сетьTELNET - серверFTP -
- 21. Преимущества и недостаткитехнологии «PROXY»ПреимуществаДвухшаговая процедура для входа
- 22. Технология «Stateful Inspection»МСЭ должен уметь считывать информацию
- 23. Технология «Stateful Inspection»FTPTCPIPNICNICTELNETHTTPFTPTCPIPTELNETHTTPПакет перехватывается на сетевом уровнеСпециальный модульанализирует информациюсо всех уровнейИнформация сохраняетсяи используется дляанализа последующихпакетов
- 24. Варианты расположения МСЭВнутренняя сетьFTPWEBМСЭ, маршрутизаторМаршрутизатор является межсетевым экраном1
- 25. Варианты расположения МСЭВнутренняя сетьFTPWEBМаршрутизаторыТрафик с внешнего маршрутизатора перенаправляется на МСЭ,а затем на внутренний маршрутизаторМСЭ2
- 26. Варианты расположения МСЭВнутренняя сетьFTPWEBМаршрутизаторМСЭ является единственной видимой снаружи машинойМСЭ3
- 27. Варианты расположения МСЭВнутренняя сетьМаршрутизаторЗащищена не вся внутренняя сеть. Узлы, которые должныбыть видимы снаружи, не защищеныМСЭ4FTPWEBНезащищённые узлы
- 28. Варианты расположения МСЭВнутренняя сетьМаршрутизаторЗащищена не вся внутренняя сеть. Узлы, которые должныбыть видимы снаружи, не защищеныМСЭ4FTPWEBДемилитаризованная зона
- 29. Варианты расположения МСЭВнутренняя сетьМаршрутизаторFTP и WEB серверы
- 30. Недостатки МСЭ как средств защитыНе защищают от
- 31. Пакетный фильтрна базе ОСLinux
- 32. Архитектура пакетного фильтраСетевой уровень(IP Protocol)Input chainNIC1NIC2Output chainмаршрутизацияforward chainВходящийтрафикИсходящийтрафик
- 33. Схема работы пакетного фильтраПакетвходящий ?Output chainТребуется маршрутизация?Forward chainInput chainДаНетНетДаПередача пакета на уровень вышеDENY/REJECTDENY/REJECTDENY/REJECTПередача пакета в сеть
- 34. Межсетевой экранCheckPointFireWall-1
- 35. Архитектура FireWall-1Management ModuleРежим пользователяРежим ядраFireWall ModuleGUIклиентManagementServerFireWallDaemonSecurityServersДрайвер сетевого адаптераИнтерфейс TDIInspectionModuleУровень IP
- 36. Inspection ModuleРеализован в виде драйвераВыполняет функцииКонтроль доступаАутентификация сессииКлиентская аутентификацияТрансляция адресовАудитДрайвер сетевого адаптераИнтерфейс TDIInspectionModule
- 37. Компоненты Inspection ModuleДрайвер сетевого адаптераИнтерфейс TDIInspection ModuleKernelAttachmentKernelVirtualMachineKernelAddressTranslation
- 38. Работа Inspection ModuleIP ProtocolInspection ModuleNICNIC
- 39. Работа Inspection ModuleIPTCPSessionApplicationFW-1 Inspection ModuleСетевой уровеньКанальный уровеньЕсть правило для пакета?Log/AlertПропустить пакет?Есть следующееправило?Send NACKDrop the PacketДаДаДа
- 40. Скачать презентацию
- 41. Похожие презентации
Межсетевой экранЭто специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другуюЧто такое межсетевой экран?МСЭСеть 1Сеть 2
Слайд 2
Межсетевой экран
Это специализированное программное или аппаратное
обеспечение, позволяющее
разделить сеть на две или
набор правил, определяющихусловия прохождения сетевых пакетов из одной части в другую
Слайд 3
NT
UNIX
Маршрутизатор
Клиенты
Назначение МСЭ
Основное назначение МСЭ - воплощение политики безопасности,
принятой
в организации в вопросах обмена информацией
с внешним миром
Слайд 4
МСЭ как система защиты периметра
Уровень 1
Уровень 3
Уровень 2
Контрольные
точки
Трафик
как внутрь так и наружу проходит через
контрольные точки
Защищаемый периметр
Слайд 5
Механизмы защиты, реализуемые МСЭ
Фильтрация пакетов
Шифрование (создание VPN)
Трансляция адресов
Аутентификация
Противодействие
некоторым видам атак
Управление списками доступа на
маршрутизаторах
Слайд 6
Фильтрация пакетов
IP-адрес отправителя
IP-адрес получателя
TCP/UDP-порт отправителя
TCP/UDP-порт получателя
Флаги ТСР
Опции IP
Правила
фильтрации
К внешней сети
К внутренней сети
МСЭ
Слайд 7
Шифрование
Незашифрованный
трафик
Зашифрованный
трафик
Функции шифрования позволяют защитить данные,
передаваемые по общим каналам
связи
Слайд 8
Виртуальные частные сети
Виртуальные частные сети (VPN) предназначены
для безопасного
обмена данными через
сети общего пользования
VPN-шлюз
VPN-шлюз
VPN-клиент
Слайд 10
Трансляция адресов
Это замена в IP-пакете IP-адреса отправителя или
получателя
другим IP-адресом при прохождении пакета через устройство,
осуществляющее
трансляциюОбоснование
Маскировка внутренних IP-адресов от внешнего мира
Решение проблемы некорректности либо нехватки IP-адресов
внутренней сети
193.233.70.197
193.233.69.129
193.233.69.129
193.233.70.187
Слайд 11
Виды трансляции адресов
Статическая
Это задание однозначного соответствия между внутренним
адресом
ресурса и его адресом во внешней сети
Динамическая
Это отображение адресного
пространства внутренней сетина один адрес из внешней сети
1
1
1
N
Слайд 12
Статическая трансляция адресов
Внутренние адреса
200.0.0.100 - 200.0.0.200
Внешние адреса
199.203.73.15
- 199.203.73.115
200.0.0.108
193.233.69.129
193.233.69.129
199.203.73.23
source
dest
source
dest
Позволяет иметь доступ к внутренним узлам извне
Применяется в
случае сложившегося распределения внутренних адресов
Слайд 13
Динамическая трансляция адресов
Внутренние адреса
200.0.0.100 - 200.0.0.200
Внешний адрес
199.203.145.35
200.0.0.104
193.233.145.35
193.233.69.129
199.203.145.35
source
dest
source
dest
адрес
порт
1305
х
порт
2531
х
адрес
Не
позволяет инициировать доступ к внутренним узлам извне
Решает проблему нехватки
адресов
Слайд 14
Увеличение вероятности неверной адресации
Невозможность или трудности запуска некоторых
приложений
Проблемы
с SNMP, DNS и т. д.
Трудность идентификации внутреннего узла
извнеЗамедление работы
Недостатки трансляции адресов
Слайд 15
Типы межсетевых экранов
Пакетный фильтр или экранирующий маршрутизатор
Шлюз уровня
соединения
Шлюз прикладного уровня
FTP
TCP
IP
NIC
NIC
TELNET
HTTP
FTP
TCP
IP
TELNET
HTTP
1
2
3
Все три типа обычно
реализованы в одном МСЭ
1
2
3
К
сети 1К сети 2
Работа МСЭ основана на
использовании информации
разных уровней стека TCP/IP
Слайд 16
Экранирующие маршрутизаторы
или пакетные фильтры
Фильтрация пакетов осуществляется на
основе следующих данных
IP - адрес отправителя и получателя
TCP/UDP -
порт отправителя и получателяTCP
IP
NIC
NIC
TCP
IP
Внутренняя сеть
Слайд 17
Преимущества
Низкая стоимость
Небольшая задержка прохождения пакетов
Недостатки
Открытость внутренней сети
Трудность описания
правил фильтрации
Преимущества и недостатки
пакетных фильтров
Слайд 18
Технология «Proxy»
Proxy - это приложение - посредник, выполняющееся
на МСЭ
и выполняющее следующие функции
Приём и анализ запросов
от клиентов Перенаправление запросов реальному серверу
Слайд 19
Шлюзы уровня соединения
Весь ТСР - трафик просто транслируется
в обоих направлениях
TCP
IP
NIC
NIC
TCP
IP
Внутренняя сеть
Слайд 20
Шлюзы прикладного уровня
Внутренняя сеть
TELNET - сервер
FTP - сервер
и
др.
FTP
TELNET
Пользователь устанавливает соединение с сервисом,
запущенным на межсетевом экране
Правила
доступа формируются на основе названия сервиса,имени пользователя, времени работы и т. д.
FTP
TELNET
HTTP
FTP
TELNET
HTTP
Слайд 21
Преимущества и недостатки
технологии «PROXY»
Преимущества
Двухшаговая процедура для входа во
внутреннюю сеть
и выхода наружу
Надёжная аутентификация
Недостатки
Закрытость внутренней сети
Простые правила фильтрации
Низкая
производительностьВысокая стоимость
Слайд 22
Технология «Stateful Inspection»
МСЭ должен уметь
считывать информацию со
всех семи уровней сетевой модели
отслеживать состояние (предысторию) соединения
отслеживать состояние
приложениямодифицировать передаваемую информацию
Технология «Stateful Inspection» обеспечивает указанные требования
к безопасности и решает проблемы пакетных фильтров и Proxy
Слайд 23
Технология «Stateful Inspection»
FTP
TCP
IP
NIC
NIC
TELNET
HTTP
FTP
TCP
IP
TELNET
HTTP
Пакет перехватывается на
сетевом уровне
Специальный модуль
анализирует
информацию
со всех уровней
Информация сохраняется
и используется для
анализа последующих
пакетов
Слайд 24
Варианты расположения МСЭ
Внутренняя сеть
FTP
WEB
МСЭ, маршрутизатор
Маршрутизатор является межсетевым экраном
1
Слайд 25
Варианты расположения МСЭ
Внутренняя сеть
FTP
WEB
Маршрутизаторы
Трафик с внешнего маршрутизатора перенаправляется
на МСЭ,
а затем на внутренний маршрутизатор
МСЭ
2
Слайд 26
Варианты расположения МСЭ
Внутренняя сеть
FTP
WEB
Маршрутизатор
МСЭ является единственной видимой снаружи
машиной
МСЭ
3
Слайд 27
Варианты расположения МСЭ
Внутренняя сеть
Маршрутизатор
Защищена не вся внутренняя сеть.
Узлы, которые должны
быть видимы снаружи, не защищены
МСЭ
4
FTP
WEB
Незащищённые узлы
Слайд 28
Варианты расположения МСЭ
Внутренняя сеть
Маршрутизатор
Защищена не вся внутренняя сеть.
Узлы, которые должны
быть видимы снаружи, не защищены
МСЭ
4
FTP
WEB
Демилитаризованная зона
Слайд 29
Варианты расположения МСЭ
Внутренняя сеть
Маршрутизатор
FTP и WEB серверы подключены
к отдельному интерфейсу МСЭ,
что позволяет создать для них отдельную
политикуМСЭ
5
FTP
WEB
Демилитаризованная зона
Слайд 30
Недостатки МСЭ как средств защиты
Не защищают от пользователей,
прошедших авторизацию
Не защищают соединения, установленные
в обход МСЭ
Не защищают
от неправильной конфигурацииНе гарантируют 100% защиты от вторжений
Слайд 32
Архитектура пакетного фильтра
Сетевой уровень
(IP Protocol)
Input chain
NIC1
NIC2
Output chain
маршрутизация
forward chain
Входящий
трафик
Исходящий
трафик
Слайд 33
Схема работы пакетного фильтра
Пакет
входящий
?
Output chain
Требуется
маршрутизация
?
Forward chain
Input
chain
Да
Нет
Нет
Да
Передача пакета
на уровень выше
DENY/REJECT
DENY/
REJECT
DENY/REJECT
Передача пакета
в сеть
Слайд 35
Архитектура FireWall-1
Management Module
Режим пользователя
Режим ядра
FireWall Module
GUI
клиент
Management
Server
FireWall
Daemon
Security
Servers
Драйвер сетевого адаптера
Интерфейс
TDI
Inspection
Module
Уровень IP
Слайд 36
Inspection Module
Реализован в виде драйвера
Выполняет функции
Контроль доступа
Аутентификация сессии
Клиентская
аутентификация
Трансляция адресов
Аудит
Драйвер сетевого адаптера
Интерфейс TDI
Inspection
Module
Слайд 37
Компоненты Inspection Module
Драйвер сетевого адаптера
Интерфейс TDI
Inspection Module
Kernel
Attachment
Kernel
Virtual
Machine
Kernel
Address
Translation
Слайд 39
Работа Inspection Module
IP
TCP
Session
Application
FW-1
Inspection Module
Сетевой уровень
Канальный уровень
Есть
правило
