Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Межсетевые экраны

Содержание

Межсетевой экранЭто специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другуюЧто такое межсетевой экран?МСЭСеть 1Сеть 2
Межсетевые экраны Межсетевой экранЭто специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две NTUNIXМаршрутизаторКлиентыНазначение МСЭОсновное назначение МСЭ - воплощение политики безопасности,принятой в организации в вопросах обмена информациейс внешним миром МСЭ как система защиты периметраУровень 1Уровень 3Уровень 2КонтрольныеточкиТрафик как внутрь так и Механизмы защиты, реализуемые МСЭФильтрация пакетовШифрование (создание VPN)Трансляция адресовАутентификацияПротиводействие некоторым видам атакУправление списками доступа на маршрутизаторах Фильтрация пакетовIP-адрес отправителяIP-адрес получателяTCP/UDP-порт отправителяTCP/UDP-порт получателяФлаги ТСРОпции IPПравила фильтрацииК внешней сетиК внутренней сетиМСЭ ШифрованиеНезашифрованныйтрафикЗашифрованныйтрафикФункции шифрования позволяют защитить данные,передаваемые по общим каналам связи Виртуальные частные сетиВиртуальные частные сети (VPN) предназначеныдля безопасного обмена данными черезсети общего пользования VPN-шлюзVPN-шлюзVPN-клиент Организация виртуальных частныхсетей с использованием МСЭМСЭ + VPN модуль Трансляция адресовЭто замена в IP-пакете IP-адреса отправителя или получателя другим IP-адресом при Виды трансляции адресовСтатическаяЭто задание однозначного соответствия между внутренним адресомресурса и его адресом Статическая трансляция адресовВнутренние адреса200.0.0.100 - 200.0.0.200 Внешние адреса199.203.73.15 - 199.203.73.115200.0.0.108193.233.69.129193.233.69.129199.203.73.23sourcedestsourcedestПозволяет иметь доступ Динамическая трансляция адресовВнутренние адреса200.0.0.100 - 200.0.0.200 Внешний адрес199.203.145.35200.0.0.104193.233.145.35193.233.69.129199.203.145.35sourcedestsourcedestадреспорт1305хпорт2531хадресНе позволяет инициировать доступ к Увеличение вероятности неверной адресацииНевозможность или трудности запуска некоторыхприложенийПроблемы с SNMP, DNS и Типы межсетевых экрановПакетный фильтр или экранирующий маршрутизаторШлюз уровня соединенияШлюз прикладного уровняFTPTCPIPNICNICTELNETHTTPFTPTCPIPTELNETHTTP123Все три Экранирующие маршрутизаторы или пакетные фильтрыФильтрация пакетов осуществляется на основе следующих данныхIP - ПреимуществаНизкая стоимостьНебольшая задержка прохождения пакетовНедостаткиОткрытость внутренней сетиТрудность описания правил фильтрацииПреимущества и недостатки пакетных фильтров Технология «Proxy»Proxy - это приложение - посредник, выполняющееся на МСЭи выполняющее следующие Шлюзы уровня соединенияВесь ТСР - трафик просто транслируется в обоих направленияхTCPIPNICNICTCPIPВнутренняя сеть Шлюзы прикладного уровняВнутренняя сетьTELNET - серверFTP - сервери др.FTPTELNETПользователь устанавливает соединение с Преимущества и недостаткитехнологии «PROXY»ПреимуществаДвухшаговая процедура для входа во внутреннюю сетьи выхода наружуНадёжная Технология «Stateful Inspection»МСЭ должен уметь считывать информацию со всех семи уровней сетевой Технология «Stateful Inspection»FTPTCPIPNICNICTELNETHTTPFTPTCPIPTELNETHTTPПакет перехватывается на сетевом уровнеСпециальный модульанализирует информациюсо всех уровнейИнформация сохраняетсяи используется дляанализа последующихпакетов Варианты расположения МСЭВнутренняя сетьFTPWEBМСЭ, маршрутизаторМаршрутизатор является межсетевым экраном1 Варианты расположения МСЭВнутренняя сетьFTPWEBМаршрутизаторыТрафик с внешнего маршрутизатора перенаправляется на МСЭ,а затем на внутренний маршрутизаторМСЭ2 Варианты расположения МСЭВнутренняя сетьFTPWEBМаршрутизаторМСЭ является единственной видимой снаружи машинойМСЭ3 Варианты расположения МСЭВнутренняя сетьМаршрутизаторЗащищена не вся внутренняя сеть. Узлы, которые должныбыть видимы снаружи, не защищеныМСЭ4FTPWEBНезащищённые узлы Варианты расположения МСЭВнутренняя сетьМаршрутизаторЗащищена не вся внутренняя сеть. Узлы, которые должныбыть видимы снаружи, не защищеныМСЭ4FTPWEBДемилитаризованная зона Варианты расположения МСЭВнутренняя сетьМаршрутизаторFTP и WEB серверы подключены к отдельному интерфейсу МСЭ,что Недостатки МСЭ как средств защитыНе защищают от пользователей, прошедших авторизациюНе защищают соединения, Пакетный фильтрна базе ОСLinux Архитектура пакетного фильтраСетевой уровень(IP Protocol)Input chainNIC1NIC2Output chainмаршрутизацияforward chainВходящийтрафикИсходящийтрафик Схема работы пакетного фильтраПакетвходящий ?Output chainТребуется маршрутизация?Forward chainInput chainДаНетНетДаПередача пакета на уровень вышеDENY/REJECTDENY/REJECTDENY/REJECTПередача пакета в сеть Межсетевой экранCheckPointFireWall-1 Архитектура FireWall-1Management ModuleРежим пользователяРежим ядраFireWall ModuleGUIклиентManagementServerFireWallDaemonSecurityServersДрайвер сетевого адаптераИнтерфейс TDIInspectionModuleУровень IP Inspection ModuleРеализован в виде драйвераВыполняет функцииКонтроль доступаАутентификация сессииКлиентская аутентификацияТрансляция адресовАудитДрайвер сетевого адаптераИнтерфейс TDIInspectionModule Компоненты Inspection ModuleДрайвер сетевого адаптераИнтерфейс TDIInspection ModuleKernelAttachmentKernelVirtualMachineKernelAddressTranslation Работа Inspection ModuleIP ProtocolInspection ModuleNICNIC Работа Inspection ModuleIPTCPSessionApplicationFW-1 Inspection ModuleСетевой уровеньКанальный уровеньЕсть правило для пакета?Log/AlertПропустить пакет?Есть следующееправило?Send NACKDrop the PacketДаДаДа Конфигурация FireWall-1Management ModuleFireWall ModuleGUI клиентManagement ServerGUI клиентGUI клиент
Слайды презентации

Слайд 2 Межсетевой экран
Это специализированное программное или аппаратное
обеспечение, позволяющее

Межсетевой экранЭто специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на

разделить сеть на две или
более частей и реализовать

набор правил, определяющих
условия прохождения сетевых пакетов из одной части в другую

Что такое межсетевой экран?

МСЭ



Сеть 1

Сеть 2


Слайд 3 NT
UNIX
Маршрутизатор
Клиенты
Назначение МСЭ
Основное назначение МСЭ - воплощение политики безопасности,
принятой

NTUNIXМаршрутизаторКлиентыНазначение МСЭОсновное назначение МСЭ - воплощение политики безопасности,принятой в организации в вопросах обмена информациейс внешним миром

в организации в вопросах обмена информацией
с внешним миром


Слайд 4
















МСЭ как система защиты периметра
Уровень 1
Уровень 3
Уровень 2
Контрольные
точки
Трафик

МСЭ как система защиты периметраУровень 1Уровень 3Уровень 2КонтрольныеточкиТрафик как внутрь так

как внутрь так и наружу проходит через
контрольные точки
Защищаемый периметр


Слайд 5 Механизмы защиты, реализуемые МСЭ
Фильтрация пакетов
Шифрование (создание VPN)
Трансляция адресов
Аутентификация
Противодействие

Механизмы защиты, реализуемые МСЭФильтрация пакетовШифрование (создание VPN)Трансляция адресовАутентификацияПротиводействие некоторым видам атакУправление списками доступа на маршрутизаторах

некоторым видам атак
Управление списками доступа на
маршрутизаторах







Слайд 6 Фильтрация пакетов
IP-адрес отправителя
IP-адрес получателя
TCP/UDP-порт отправителя
TCP/UDP-порт получателя
Флаги ТСР
Опции IP

Правила

Фильтрация пакетовIP-адрес отправителяIP-адрес получателяTCP/UDP-порт отправителяTCP/UDP-порт получателяФлаги ТСРОпции IPПравила фильтрацииК внешней сетиК внутренней сетиМСЭ

фильтрации


К внешней сети
К внутренней сети
МСЭ


Слайд 7 Шифрование
Незашифрованный
трафик
Зашифрованный
трафик
Функции шифрования позволяют защитить данные,
передаваемые по общим каналам

ШифрованиеНезашифрованныйтрафикЗашифрованныйтрафикФункции шифрования позволяют защитить данные,передаваемые по общим каналам связи

связи


Слайд 8 Виртуальные частные сети





Виртуальные частные сети (VPN) предназначены
для безопасного

Виртуальные частные сетиВиртуальные частные сети (VPN) предназначеныдля безопасного обмена данными черезсети общего пользования VPN-шлюзVPN-шлюзVPN-клиент

обмена данными через
сети общего пользования


VPN-шлюз
VPN-шлюз
VPN-клиент


Слайд 9 Организация виртуальных частных
сетей с использованием МСЭ





МСЭ + VPN

Организация виртуальных частныхсетей с использованием МСЭМСЭ + VPN модуль

модуль


Слайд 10 Трансляция адресов
Это замена в IP-пакете IP-адреса отправителя или

Трансляция адресовЭто замена в IP-пакете IP-адреса отправителя или получателя другим IP-адресом

получателя
другим IP-адресом при прохождении пакета через устройство,
осуществляющее

трансляцию

Обоснование

Маскировка внутренних IP-адресов от внешнего мира

Решение проблемы некорректности либо нехватки IP-адресов
внутренней сети

193.233.70.197

193.233.69.129

193.233.69.129

193.233.70.187




Слайд 11 Виды трансляции адресов

Статическая
Это задание однозначного соответствия между внутренним

Виды трансляции адресовСтатическаяЭто задание однозначного соответствия между внутренним адресомресурса и его

адресом
ресурса и его адресом во внешней сети
Динамическая
Это отображение адресного

пространства внутренней сети
на один адрес из внешней сети

1

1


1

N


Слайд 12 Статическая трансляция адресов
Внутренние адреса
200.0.0.100 - 200.0.0.200
Внешние адреса
199.203.73.15

Статическая трансляция адресовВнутренние адреса200.0.0.100 - 200.0.0.200 Внешние адреса199.203.73.15 - 199.203.73.115200.0.0.108193.233.69.129193.233.69.129199.203.73.23sourcedestsourcedestПозволяет иметь

- 199.203.73.115
200.0.0.108
193.233.69.129
193.233.69.129
199.203.73.23


source
dest
source
dest
Позволяет иметь доступ к внутренним узлам извне
Применяется в

случае сложившегося распределения
внутренних адресов

Слайд 13 Динамическая трансляция адресов
Внутренние адреса
200.0.0.100 - 200.0.0.200
Внешний адрес
199.203.145.35
200.0.0.104
193.233.145.35
193.233.69.129
199.203.145.35


source
dest
source
dest
адрес
порт
1305
х
порт
2531
х
адрес
Не

Динамическая трансляция адресовВнутренние адреса200.0.0.100 - 200.0.0.200 Внешний адрес199.203.145.35200.0.0.104193.233.145.35193.233.69.129199.203.145.35sourcedestsourcedestадреспорт1305хпорт2531хадресНе позволяет инициировать доступ

позволяет инициировать доступ к внутренним узлам извне
Решает проблему нехватки

адресов

Слайд 14 Увеличение вероятности неверной адресации
Невозможность или трудности запуска некоторых
приложений
Проблемы

Увеличение вероятности неверной адресацииНевозможность или трудности запуска некоторыхприложенийПроблемы с SNMP, DNS

с SNMP, DNS и т. д.
Трудность идентификации внутреннего узла

извне

Замедление работы

Недостатки трансляции адресов


Слайд 15 Типы межсетевых экранов
Пакетный фильтр или экранирующий маршрутизатор
Шлюз уровня

Типы межсетевых экрановПакетный фильтр или экранирующий маршрутизаторШлюз уровня соединенияШлюз прикладного уровняFTPTCPIPNICNICTELNETHTTPFTPTCPIPTELNETHTTP123Все

соединения
Шлюз прикладного уровня
FTP
TCP
IP
NIC
NIC
TELNET
HTTP
FTP
TCP
IP
TELNET
HTTP

1

2

3



Все три типа обычно
реализованы в одном МСЭ
1
2
3
К

сети 1

К сети 2

Работа МСЭ основана на
использовании информации
разных уровней стека TCP/IP


Слайд 16 Экранирующие маршрутизаторы
или пакетные фильтры
Фильтрация пакетов осуществляется на

Экранирующие маршрутизаторы или пакетные фильтрыФильтрация пакетов осуществляется на основе следующих данныхIP

основе следующих данных
IP - адрес отправителя и получателя
TCP/UDP -

порт отправителя и получателя

TCP

IP

NIC

NIC

TCP

IP




Внутренняя сеть




Слайд 17 Преимущества
Низкая стоимость
Небольшая задержка прохождения пакетов
Недостатки
Открытость внутренней сети
Трудность описания

ПреимуществаНизкая стоимостьНебольшая задержка прохождения пакетовНедостаткиОткрытость внутренней сетиТрудность описания правил фильтрацииПреимущества и недостатки пакетных фильтров

правил фильтрации
Преимущества и недостатки
пакетных фильтров


Слайд 18 Технология «Proxy»
Proxy - это приложение - посредник, выполняющееся

Технология «Proxy»Proxy - это приложение - посредник, выполняющееся на МСЭи выполняющее

на МСЭ
и выполняющее следующие функции
Приём и анализ запросов

от клиентов

Перенаправление запросов реальному серверу


Слайд 19 Шлюзы уровня соединения
Весь ТСР - трафик просто транслируется

Шлюзы уровня соединенияВесь ТСР - трафик просто транслируется в обоих направленияхTCPIPNICNICTCPIPВнутренняя сеть

в обоих направлениях
TCP
IP
NIC
NIC
TCP
IP


Внутренняя сеть


Слайд 20 Шлюзы прикладного уровня

Внутренняя сеть
TELNET - сервер
FTP - сервер
и

Шлюзы прикладного уровняВнутренняя сетьTELNET - серверFTP - сервери др.FTPTELNETПользователь устанавливает соединение

др.
FTP
TELNET
Пользователь устанавливает соединение с сервисом,
запущенным на межсетевом экране
Правила

доступа формируются на основе названия сервиса,
имени пользователя, времени работы и т. д.

FTP

TELNET

HTTP

FTP

TELNET

HTTP



Слайд 21 Преимущества и недостатки
технологии «PROXY»
Преимущества
Двухшаговая процедура для входа во

Преимущества и недостаткитехнологии «PROXY»ПреимуществаДвухшаговая процедура для входа во внутреннюю сетьи выхода

внутреннюю сеть
и выхода наружу
Надёжная аутентификация
Недостатки
Закрытость внутренней сети
Простые правила фильтрации
Низкая

производительность

Высокая стоимость


Слайд 22 Технология «Stateful Inspection»
МСЭ должен уметь

считывать информацию со

Технология «Stateful Inspection»МСЭ должен уметь считывать информацию со всех семи уровней

всех семи уровней сетевой модели
отслеживать состояние (предысторию) соединения
отслеживать состояние

приложения
модифицировать передаваемую информацию

Технология «Stateful Inspection» обеспечивает указанные требования
к безопасности и решает проблемы пакетных фильтров и Proxy


Слайд 23 Технология «Stateful Inspection»
FTP
TCP
IP
NIC
NIC
TELNET
HTTP
FTP
TCP
IP
TELNET
HTTP



Пакет перехватывается на
сетевом уровне
Специальный модуль
анализирует

Технология «Stateful Inspection»FTPTCPIPNICNICTELNETHTTPFTPTCPIPTELNETHTTPПакет перехватывается на сетевом уровнеСпециальный модульанализирует информациюсо всех уровнейИнформация сохраняетсяи используется дляанализа последующихпакетов

информацию
со всех уровней
Информация сохраняется
и используется для
анализа последующих
пакетов



Слайд 24 Варианты расположения МСЭ
Внутренняя сеть

FTP
WEB
МСЭ, маршрутизатор
Маршрутизатор является межсетевым экраном
1

Варианты расположения МСЭВнутренняя сетьFTPWEBМСЭ, маршрутизаторМаршрутизатор является межсетевым экраном1

Слайд 25 Варианты расположения МСЭ
Внутренняя сеть

FTP
WEB
Маршрутизаторы
Трафик с внешнего маршрутизатора перенаправляется

Варианты расположения МСЭВнутренняя сетьFTPWEBМаршрутизаторыТрафик с внешнего маршрутизатора перенаправляется на МСЭ,а затем на внутренний маршрутизаторМСЭ2

на МСЭ,
а затем на внутренний маршрутизатор
МСЭ
2


Слайд 26 Варианты расположения МСЭ
Внутренняя сеть

FTP
WEB
Маршрутизатор
МСЭ является единственной видимой снаружи

Варианты расположения МСЭВнутренняя сетьFTPWEBМаршрутизаторМСЭ является единственной видимой снаружи машинойМСЭ3

машиной
МСЭ
3


Слайд 27 Варианты расположения МСЭ
Внутренняя сеть

Маршрутизатор
Защищена не вся внутренняя сеть.

Варианты расположения МСЭВнутренняя сетьМаршрутизаторЗащищена не вся внутренняя сеть. Узлы, которые должныбыть видимы снаружи, не защищеныМСЭ4FTPWEBНезащищённые узлы

Узлы, которые должны
быть видимы снаружи, не защищены
МСЭ
4
FTP
WEB

Незащищённые узлы


Слайд 28 Варианты расположения МСЭ
Внутренняя сеть

Маршрутизатор
Защищена не вся внутренняя сеть.

Варианты расположения МСЭВнутренняя сетьМаршрутизаторЗащищена не вся внутренняя сеть. Узлы, которые должныбыть видимы снаружи, не защищеныМСЭ4FTPWEBДемилитаризованная зона

Узлы, которые должны
быть видимы снаружи, не защищены
МСЭ
4
FTP
WEB

Демилитаризованная зона


Слайд 29 Варианты расположения МСЭ
Внутренняя сеть

Маршрутизатор
FTP и WEB серверы подключены

Варианты расположения МСЭВнутренняя сетьМаршрутизаторFTP и WEB серверы подключены к отдельному интерфейсу

к отдельному интерфейсу МСЭ,
что позволяет создать для них отдельную

политику

МСЭ

5

FTP

WEB


Демилитаризованная зона


Слайд 30 Недостатки МСЭ как средств защиты
Не защищают от пользователей,

Недостатки МСЭ как средств защитыНе защищают от пользователей, прошедших авторизациюНе защищают


прошедших авторизацию
Не защищают соединения, установленные
в обход МСЭ
Не защищают

от неправильной конфигурации

Не гарантируют 100% защиты от вторжений


Слайд 31 Пакетный фильтр
на базе ОС
Linux

Пакетный фильтрна базе ОСLinux

Слайд 32 Архитектура пакетного фильтра
Сетевой уровень
(IP Protocol)
Input chain
NIC1
NIC2




Output chain
маршрутизация
forward chain
Входящий
трафик
Исходящий
трафик

Архитектура пакетного фильтраСетевой уровень(IP Protocol)Input chainNIC1NIC2Output chainмаршрутизацияforward chainВходящийтрафикИсходящийтрафик

Слайд 33 Схема работы пакетного фильтра
Пакет
входящий
?

Output chain
Требуется
маршрутизация
?
Forward chain
Input

Схема работы пакетного фильтраПакетвходящий ?Output chainТребуется маршрутизация?Forward chainInput chainДаНетНетДаПередача пакета на уровень вышеDENY/REJECTDENY/REJECTDENY/REJECTПередача пакета в сеть

chain
Да
Нет
Нет
Да
Передача пакета
на уровень выше
DENY/REJECT
DENY/
REJECT
DENY/REJECT
Передача пакета
в сеть


Слайд 34 Межсетевой экран
CheckPoint
FireWall-1

Межсетевой экранCheckPointFireWall-1

Слайд 35 Архитектура FireWall-1

Management Module
Режим пользователя
Режим ядра

FireWall Module
GUI
клиент
Management
Server
FireWall
Daemon
Security
Servers
Драйвер сетевого адаптера
Интерфейс

Архитектура FireWall-1Management ModuleРежим пользователяРежим ядраFireWall ModuleGUIклиентManagementServerFireWallDaemonSecurityServersДрайвер сетевого адаптераИнтерфейс TDIInspectionModuleУровень IP

TDI
Inspection
Module
Уровень IP


Слайд 36 Inspection Module
Реализован в виде драйвера
Выполняет функции
Контроль доступа
Аутентификация сессии
Клиентская

Inspection ModuleРеализован в виде драйвераВыполняет функцииКонтроль доступаАутентификация сессииКлиентская аутентификацияТрансляция адресовАудитДрайвер сетевого адаптераИнтерфейс TDIInspectionModule

аутентификация
Трансляция адресов
Аудит
Драйвер сетевого адаптера
Интерфейс TDI
Inspection
Module


Слайд 37 Компоненты Inspection Module
Драйвер сетевого адаптера
Интерфейс TDI


Inspection Module
Kernel
Attachment
Kernel
Virtual
Machine
Kernel
Address
Translation

Компоненты Inspection ModuleДрайвер сетевого адаптераИнтерфейс TDIInspection ModuleKernelAttachmentKernelVirtualMachineKernelAddressTranslation

Слайд 38 Работа Inspection Module
IP Protocol

Inspection Module
NIC
NIC


Работа Inspection ModuleIP ProtocolInspection ModuleNICNIC

Слайд 39 Работа Inspection Module
IP
TCP
Session
Application

FW-1
Inspection Module
Сетевой уровень
Канальный уровень
Есть
правило

Работа Inspection ModuleIPTCPSessionApplicationFW-1 Inspection ModuleСетевой уровеньКанальный уровеньЕсть правило для пакета?Log/AlertПропустить пакет?Есть следующееправило?Send NACKDrop the PacketДаДаДа

для
пакета?

Log/Alert
Пропустить
пакет?
Есть
следующее
правило?

Send NACK
Drop the Packet
Да
Да
Да


  • Имя файла: mezhsetevye-ekrany.pptx
  • Количество просмотров: 197
  • Количество скачиваний: 0