ережевим екраном, або використовують деякі сервіси (наприклад, NFS) таким чином, що застосування МСЕ вимагає істотної перебудови всієї мережевої інфраструктури. У такій ситуації відносні витрати на придбання і настройку брандмауера можуть бути порівнянні із збитком, пов'язаним з відсутністю МСЕ. p align="justify"> Вирішити дану проблему можна тільки шляхом правильного проектування топології мережі на початковому етапі створення корпоративної інформаційної системи. Це дозволить не тільки знизити подальші матеріальні витрати на придбання засобів захисту інформації, а й ефективно вбудувати міжмережеві екрани в існуючу технологію обробки інформації. Якщо мережа вже спроектована і функціонує, то, можливо, варто подумати про застосування замість брандмауера-якого іншого рішення, наприклад, системи виявлення атак. p align="justify"> Міжмережеві екрани не можуть захистити ресурси корпоративної мережі в разі неконтрольованого використання в ній модемів. Доступ в мережу через модем за протоколами SLIP або PPP в обхід брандмауера робить мережу практично незахищеною. Досить поширена ситуація, коли співробітники якої організації, перебуваючи вдома, за допомогою програм віддаленого доступу типу pcAnywhere або по протоколу Telnet звертаються до даних або програмам на своєму робочому комп'ютері або через нього отримують доступ в Internet. Говорити про безпеку в такій ситуації просто не доводиться, навіть у разі ефективного налаштування брандмауера. p align="justify"> Для вирішення цього завдання необхідно суворо контролювати всі наявні в корпоративній мережі модеми та програмне забезпечення віддаленого доступу. Для цих цілей можливе застосування як організаційних, так і технічних заходів. Наприклад, використання систем розмежування доступу, в т.ч. і до COM-портів (наприклад, Secret Net) або систем аналізу захищеності (наприклад, Internet Scanner і System Scanner). Правильно розроблена політика безпеки забезпечить додатковий рівень захисту корпоративної мережі, встановить відповідальність за порушення правил роботи в Internet і т.п. Крім того, належним чином сформована політика безпеки дозволить знизити ймовірність несанкціонованого використання модемів та інших пристроїв і програм для здійснення віддаленого доступу. p align="justify"> Нові можливості, які з'явилися недавно, і які полегшують життя користувачам Internet, розроблялися практично без урахування вимог безпеки. Наприклад, WWW, Java, ActiveX і інші сервіси, орієнтовані на роботу з даними. Вони є потенційно небезпечними, оскільки можуть містити в собі ворожі інструкції, що порушують встановлену політику безпеки. І якщо операції по протоколу HTTP можуть досить ефективно контролюватися міжмережевим екраном, то захисту від В«мобільногоВ» коду Java і ActiveX практично немає. Доступ такого коду в мережу, що захищається або повністю дозволяється, або повністю забороняється. І, незважаючи на заяви розробників міжмережевих екранів про контроль аплетів Java, сценаріїв JavaScript і т.п....
