кількість додаткових перевірок, що знижує ймовірність злому з використанням "Дірок" в програмному забезпеченні. p> До недоліків шлюзів прикладного рівня відносяться:
Г» більш низька продуктивність у порівнянні з фільтруючими маршрутизаторами; зокрема, при використанні клієнт-серверних протоколів, таких як TELNET, потрібно двокрокова процедура для вхідних і вихідних з'єднань;
Г» більш висока вартість у порівнянні з фільтруючим маршрутизатором. p> Крім TELNET і FTP шлюзи прикладного рівня зазвичай використовуються для електронної пошти, Windows і деяких інших служб. p> 11.Усіленная аутентифікація
Одним з важливих компонентів концепції міжмережевих екранів є аутентифікація (Перевірка автентичності користувача). Перш ніж користувачеві буде надано право скористатися тим чи іншим сервісом, необхідно переконатися, що він дійсно той, за кого себе видає. p> Одним з способів аутентифікації є використання стандартних UNIX-паролів. Однак ця схема найбільш вразливе з точки зору безпеки - пароль може бути перехоплений і використаний іншою особою. Багато інциденти в мережі Internet відбулися почасти через уразливості традиційних паролів. Зловмисники можуть спостерігати за каналами в мережі Internet і перехоплювати що передаються в них відкритим текстом паролі, тому схему аутентифікації з традиційними паролями слід визнати застарілою. p> Для подолання цього недоліку розроблено ряд засобів посиленою аутентифікації: смарт-карти, персональні жетони, біометричні механізми і т.п. Хоча в них задіяні різні механізми аутентифікації, загальним для них є те, що паролі, що генеруються цими пристроями, не можуть бути повторно використані порушником, що спостерігає за встановленням зв'язку. Оскільки проблема з паролями в мережі Internet є постійною, міжмережевий екран для з'єднання з Internet, не який володів засобами посиленою аутентифікації або використовує їх, втрачає всякий сенс. p> Ряд найбільш популярних засобів посиленою аутентифікації, вживаних в даний час, називаються системами з одноразовими паролями. Наприклад, смарт-карти або жетони аутентифікації генерують інформацію, яку хост-комп'ютер використовує замість традиційного пароля. Результатом є одноразовий пароль, який, навіть якщо він буде перехоплений, не може бути використаний зловмисником під виглядом користувача для встановлення сеансу з хост - комп'ютером. p> Так як міжмережеві екрани можуть централізувати управління доступом в мережі, вони є підходящим місцем для установки програм або пристроїв посиленою аутентифікації. Хоча засоби посиленою аутентифікації можуть використовуватися на кожному хост - комп'ютері, більш практично їх розміщення на міжмережевим екрані. На рис. показано, що в мережі без брандмауера, що використовує заходи посиленою аутентифікації, нерозпізнаних трафік таких додатків, як TELNET або FTP, може безпосередньо проходити до систем в мережі. Якщо хост - комп'ютери не застосовують заходів посиленої аутентифікації, зловмисник може спробувати зламати паролі або перехопити мережевий трафік з метою знайти в ньому сеанси, в ході яких передаються паролі. p> У цьому випадку сеанси TELNET або FTP, встановлювані з боку мережі Internet з системами мережі, повинні проходити перевірку за допомогою засобів посиленою аутентифікації, перш ніж вони будуть дозволені, Системи мережі можуть запитувати для дозволу доступу і статичні паролі, але ці паролі, навіть якщо вони будуть перехоплені зловмисником, не можна буде використовувати, бо кошти посиленою аутентифікації та інші компоненти брандмауера запобігають проникнення зловмисника або обхід ними брандмауера. p> 12.Основние схеми мережевого захисту на базі міжмережевих екранів
При підключенні корпоративної або локальної мережі до глобальних мереж адміністратор мережевої безпеки має вирішувати такі завдання:
Г? захист корпоративної або локальної мережі від несанкціонованого доступу з боку глобальної мережі;
Г? приховування інформації про ст руктури мережі та її компонентів від користувачів глобальної мережі,
Г? розмежування доступу в мережу, що захищається з глобальної мережі і з мережі, що захищається в глобальну мережу. p> Необхідність роботи з віддаленими користувачами вимагає встановлення жорстких обмежень доступу до інформаційних ресурсів мережі, що захищається. При цьому часто виникає потреба в організації у складі корпораціонной мережі декількох сегментів з різними рівнями захищеності:
Г? вільно доступні сегменти (наприклад, рекламний WWW-сервер),
Г? сегмент з обмеженим доступом (наприклад, для доступу співробітникам організації з віддалених вузлів),
Г? закриті сегменти (Наприклад, локальна фінансова мережа організації). p> Для захисту корпоративної або локальної мережі застосовуються такі основні схеми організації міжмережевих екранів:
Г? міжмережевий екран - Фільтруючий маршрутизатор;
Г? міжмережевий екран на основі двупортов...
