ановку брандмауера і системи виявлення атак, а на аналіз очікуваних загроз і розробку методів боротьби з ними. Ця стратегія призводить до створення багаторівневої системи захисту, при якій прорив одного рівня не означає прориву всієї системи безпеки. SAFE грунтується на продуктах компанії Cisco та її партнерів. Спочатку ми розглянемо саму архітектуру SAFE. Потім слід докладний опис модулів, з яких складається реальна мережа, як великого підприємства, так і малих мереж, в тому числі мереж філій підприємств, середніх мереж і мереж віддалених і мобільних користувачів. Дизайни малих і середніх мереж застосовуються в двох можливих варіантах. По-перше, це може бути дизайн основної мережі підприємства, яка має з'єднання з іншими офісами подібних підприємств. Наприклад, велике юридичне агентство може побудувати головну мережу на основі дизайну середнього підприємства, а мережі філій - на основі малого. По-друге, дизайн може бути розроблений як мережа філії, тобто як частина мережі великого підприємства. У цьому випадку прикладом може служити велика автомобільна компанія, де дизайн великої мережі використовується в штаб-квартирах, а для інших підрозділів - від філій до віддалених працівників - застосовуються дизайни середніх і малих предпріятій.с максимальною точністю імітує функціональні потреби сучасних корпоративних мереж. Рішення про впровадження тієї чи іншої системи безпеки можуть бути різними в залежності від мережевої функціональності. Однак на процес прийняття рішення впливають такі завдання, перелічені в порядку пріоритетності:
безпека і боротьба з атаками на основі політики;
впровадження заходів безпеки по всій інфраструктурі (а не тільки на спеціалізованих пристроях захисту);
безпечне управління і звітність;
аутентифікація та авторизація користувачів та адміністраторів для доступу до критично важливих мережевих ресурсів;
виявлення атак на критично важливі ресурси і підмережі;
підтримка нових мережевих додатків.
По-перше (і це найголовніше), SAFE являє собою архітектуру безпеки, яка повинна запобігти нанесенню хакерами серйозного збитку цінних мережевих ресурсів. Атаки, які долають першу лінію оборони або ведуться не ззовні, а зсередини, потрібно виявляти і швидко відображати, щоб запобігти збитку для решти мережі. Однак навіть добре захищена мережа повинна надавати користувачам сервіси, яких від неї очікують. Потрібно одночасно забезпечити і надійний захист, і хорошу функціональність мережі - і це цілком можливо. Архітектура SAFE не є революційним способом проектування мереж. Це просто система забезпечення мережевої безпеки. p align="justify"> Крім цього, система SAFE є стійкою і масштабованої. Стійкість мереж включає фізичну надмірність, що захищає мережу від будь-яких апаратних відмов, в тому числі відмов, які можуть відбутися через помилкову конфігурації, фізичного збою або хакерської атаки. Хоча можливі й більш прості проекти, особливо якщо вимоги до продуктивності мережі не є високими, у цьому документі як приклад використовується більш складний дизайн, оскільки планування безпеки являє собою більш складну проблему саме в складній, а не в простій середовищі. Тим не менш, на всьому протязі цього документа ми розглядаємо можливості обмеження складності дизайну. p align="justify"> Принцип модульності
Хоча у міру зростання вимог більшість мереж розвивається, архітектура SAFE використовує відкритий модульний підхід. Такий підхід має дві основні переваги: ​​по-перше, він описує дизайн з точки зору захисту взаємодії окремих модулів мережі, а по-друге, дозволяє проектувальнику оцінювати захищеність кожного модуля окремо, а не тільки всієї системи в цілому. Захищений дизайн кожного модуля можна описати і реалізувати окремо, а оцінити в рамках всієї системи. p align="justify"> Хоча багато мереж не можна чітко розмежувати на окремі модулі, такий підхід дає орієнтири при впровадженні в мережі функцій захисту. Мережевим інженерам не пропонується будувати свої мережі в суворій відповідності з SAFE, але рекомендується комбінувати описані тут модулі і використовувати їх у наявних мережах. На малюнку 3 показаний перший рівень модульності SAFE. Кожен блок представляє певну функціональну зону. br/>В
Рисунок 3 - Перший рівень модульності
Модуль Інтернет-провайдера (ISP) не встановлюється на підприємстві, але включається в загальну схему, так як для придушення деяких атак підприємству необхідно запитувати у Інтернет-провайдера ряд конкретних функцій безпеки.
Другий рівень модульності, показаний на малюнку 4, демонструє модулі в кожній функціональній області. Ці модулі виконують у мережі цілком певну роль і мають певні потреби в галузі безпеки. Розмір того чи іншого модуля на схемі не обов'язково відповідає його...
