розміщуються в демілітаризованій зоні (ДМЗ). ДМЗ виступає в ролі проміжної області між Інтернетом і закритими ресурсами організації і запобігає доступ зовнішніх користувачів до внутрішніх серверів і даними. Як показано на малюнку 9, сервіси, розгорнуті в ДМЗ, часто включають web-сайт організації, портал для доступу партнерів, сервер електронної пошти, FTP-сервер, DNS-сервер та інші мережеві сервіси. p align="justify"> корпоративний мережа хакерський злом В
Рисунок 9 - Топологія ДМЗ
Нижче перераховані деякі ключові характеристики безпеки, які повинна забезпечувати структура мережі ДМЗ:
доступність і відмовостійкість сервісів;
запобігання вторгнень, атак типу "відмова в обслуговуванні", витоків даних і шахрайства;
забезпечення конфіденційності користувачів, цілісності та доступності даних;
захист серверів і додатків;
сегментація серверів і додатків.
У проекті була застосована схема з роздільним захистом закритою і відкритою підмереж
Дана схема підключення, на малюнку 10, має найвищу захищеністю в порівнянні з розглянутими вище. Схема заснована на застосуванні двох МЕ, що захищають окремо закриту і відкриту підмережі. Ділянка мережі між МЕ також називається екранованої підмережею або демілітаризованою зоною (DMZ, demilitarized zone). br/>В
Рисунок 10 - Схема з роздільним захистом закритою і відкритою підмереж
При проектуванні корпоративної мережі весь процес розробки розбивають на три частини відповідно до запропонованого фірмою Cisco Systems підходом. Комп'ютерні мережі зручно представляти у вигляді трирівневої ієрархічної моделі, яка містить такі рівні:
) рівень ядра;
) рівень розподілу;
) рівень доступу.
Рівень ядра призначено високошвидкісної передачі мережевого трафіку і швидкісний комутації пакетів. Тому на мережевих пристроях цього рівня не вводяться додаткові технології, що відповідають за фільтрацію або маршрутизацію пакетів, такі як списки доступу або маршрутизація за правилами. У даному курсовому проекті рівень ядра представлений маршрутизаторами рівня ядра (малюнок 1.1), які розташовуються в центральних офісах організації. Офіси розділені між і знаходяться в різних містах, тому маршрутизатори ядра об'єднані між собою за допомогою технології глобальних мереж MPLS. До вузловим маршрутизаторів регіонів через комутатори підключені маршрутизатори доступу в інтернет, утворюючи демілітаризовану зону, через яку здійснюється вихід в Інтернет. p align="justify"> МЕ називають локальне або функціонально розподілене програмне (програмно-апаратне) засіб (комплекс), що реалізує контроль за інформацією, що надходить в автоматизовану систему і/або що виходить з автоматизованої системи. МЕ основну назву, визначене в РД Держтехкомісії РФ, для даного пристрою. Також зустрічаються загальноприйняті назви брандмауер і firewall (англ. вогняна стіна). У будівельній сфері брандмауером (нім. brand - пожежа, mauer - стіна) називається вогнетривкий бар'єр, що розділяє окремі блоки в багатоквартирному будинку і перешкоджає поширенню пожежі. p align="justify"> МЕ виконує подібну функцію для комп'ютерних мереж.
За визначенням МЕ служить контрольним пунктом на кордоні двох мереж. У найпоширенішому випадку ця межа лежить між внутрішньою мережею організації та зовнішньою мережею, зазвичай мережею Інтернет. Проте в загальному випадку, МЕ можуть застосовуватися для розмежування внутрішніх підмереж корпоративної мережі організації. br/>В
Малюнок 11 - Типове розміщення МЕ в корпоративній мережі
МЕ, як контрольного пункту, є:
Контроль всього трафіку, що входять у внутрішню корпоративну мережу
Контроль всього трафіку, що виходить з внутрішньої корпоративної мережі
Контроль інформаційних потоків складається в їхній фільтрації та перетворення у відповідність із заданим набором правил. Оскільки в сучасних МЕ фільтрація може здійснюватися на різних рівнях еталонної моделі взаємодії відкритих систем (ЕМВОС, OSI), МЕ зручно представити у вигляді системи фільтрів. Кожен фільтр на основі аналізу проходять через нього даних, приймає рішення - пропустити далі, перекинути за екран, блокувати або перетворити дані. br/>В
Рисунок 12 - Схема фільтрації в МЕ
Невід'ємною функцією МЕ є протоколювання інформаційного обміну. Ведення журналів реєстрації дозволяє адміністратору виявити підозрілі дії, помилки в конфігурації МЕ і прийняти рішення про зміну правил МЕ. ...
