ність МЕ досягається за допомогою тих же засобів, що і захищеність універсальних систем.
Щоб ефективно забезпечувати безпеку мережі, комплексний МЕ зобов'язаний управляти всім потоком, що проходить через нього, і відслідковувати свій стан. Для прийняття керуючих рішень по використовуваних сервісів МЕ повинен отримувати, запам'ятовувати, вибирати і обробляти інформацію, отриману від всіх комунікаційних рівнів і від інших додатків.
Недостатньо просто перевіряти пакети окремо. Інформація про стан з'єднання, отримана з інспекції сполук у минулому і інших додатків - головний фактор у прийнятті керуючого рішення при встановленні нового з'єднання. При прийнятті рішення враховуються як стан з'єднання (отримане з минулого потоку даних), так і стан додатки (отримане з інших додатків).
Повнота і правильність управління вимагають, щоб комплексний МЕ мав можливість аналізу та використання наступних елементів:
· інформації про з'єднаннях - інформації від усіх семи рівнів у пакеті;
· історії з'єднань - інформації, отриманої від попередніх сполук;
· стану рівня програми - інформації про стан, отриманої з інших додатків. Наприклад, аутентіфі-царювати до теперішнього моменту користувачеві можна надати доступ через МЕ тільки для авторизованих видів сервісу;
· агрегують елементів - обчислень різноманітних виразів, заснованих на всіх вищеперелічених факторах.
1.2Основние схеми підключення МЕ
При підключенні корпоративної мережі до глобальних мереж необхідно розмежувати доступ в мережу, що захищається з глобальної мережі і з мережі, що захищається в глобальну мережу, а також забезпечити захист підключається мережі від віддаленого НСД з боку глобальної мережі. При цьому організація зацікавлена ??в приховуванні інформації про структуру своєї мережі та її компонентів від користувачів глобальної мережі. Робота з віддаленими користувачами вимагає встановлення жорстких обмежень доступу до інформаційних ресурсів мережі, що захищається.
Часто виникає потреба мати у складі корпоративної мережі декілька сегментів з різними рівнями захищеності:
· вільно доступні сегменти (наприклад, рекламний WWW-сервер);
· сегмент з обмеженим доступом (наприклад, для доступу співробітникам організації з віддалених вузлів); ??
· закриті сегменти (наприклад, фінансова локальна підмережа організації).
Для підключення МЕ можуть використовуватися різні схеми, які залежать від умов функціонування мережі, що захищається, а також від кількості мережевих інтерфейсів та інших характеристик, використовуваних МЕ. Широке поширення набули схеми:
· захисту мережі з використанням екрануючого маршрутизатора;
єдиної захисту локальної мережі; · Єдиної захисту локальної мережі;
· з захищається закритою і не захищається відкритої підмережами;
· з роздільним захистом закритою і відкритою підмереж.
Розглянемо докладніше схему з захищається закритою і незащіщаемой відкритої подсетями. Якщо в складі локальної мережі є загальнодоступні відкриті сервери, то їх доцільно винести як відкриту підмережа до МЕ (малюнок 1).