Qu'est-ce qu'un pare-feu? De quoi est-ce nécessaire? Exemples pour définir des paramètres de sécurité. Écrans de pare-feu

Pare-feu ou alors pare-feu (en cela. brandmauer., En anglais. , rus. frontière d'incendie) Est un système ou une combinaison de systèmes qui vous permettent de diviser le réseau en deux parties ou plus et de mettre en œuvre un ensemble de règles qui déterminent les conditions de passage des paquets d'une partie à une autre (voir Fig. 1). Le plus souvent cette frontière est effectuée entre réseau local Entreprises I. l'InternetBien que cela puisse être effectué à l'intérieur du réseau local de l'entreprise. Le pare-feu manque donc de tout le trafic. Pour chaque paquet passant, le pare-feu prend la décision de la sauter ou de le déposer. Pour que le pare-feu prend ces décisions, il doit déterminer l'ensemble des règles. À propos de la manière dont ces règles sont décrites et quels paramètres sont utilisés pour les décrire, ce sera un peu plus tard.
fig. 1

En règle générale, la fonction de pare-feu sur une plate-forme UNIX - le plus souvent, elle est BSDI, Sunos, AIX, IRIX, etc., moins commun - DOS, VMS, WNT, Windows NT. Des plates-formes matérielles, il existe Intel, Sun Sparc, RS6000, Alpha, HP PA-RISC, Processeur RCC Famille R4400-R5000. En plus de Ethernet, de nombreux pare-feu prennent en charge FDDI, bague de jeton, 100BASE-T, 100VG-Anylan, divers dispositifs de série. Exigences pour RAM et Volume disque dur Dépendent du nombre de machines dans le segment protégé du réseau.

Habituellement dans le système d'exploitation, sous le contrôle du pare-feu, des modifications sont apportées, dont le but est d'accroître la protection du pare-feu lui-même. Ces changements affectent à la fois le noyau OS et les fichiers de configuration correspondants. Au pare-feu lui-même, il n'est pas autorisé à avoir des comptes d'utilisateurs (et donc des trous potentiels), uniquement un compte d'administrateur. Certains pare-feu ne fonctionnent que en mode utilisateur unique. De nombreux pare-feu ont un système de vérification de l'intégrité des codes de programme. Dans le même temps, les quantités de contrôle des codes de programme sont stockées dans un emplacement sécurisé et sont comparées lors du démarrage du programme pour éviter la substitution logicielle.

Tous les pare-feu peuvent être divisés en trois types:

Tous les types peuvent se rencontrer simultanément dans un pare-feu.

Filtres par lots

Les pare-feu avec des filtres à lots prennent une décision de sauter le colis ou de la jeter, visualisant les adresses IP, les drapeaux ou les numéros TCP de ports dans le titre de ce package. L'adresse IP et le numéro de port sont les informations du réseau et des niveaux de transport, respectivement, mais les filtres de lots utilisent à la fois des informations au niveau des applications, car Tous les services standard en TCP / IP sont associés à un numéro de port spécifique.

Pour décrire les règles de passage, les tables de type sont élaborées:

Le champ "Action" peut prendre les valeurs pour sauter ou jeter les valeurs.
Type de paquet - TCP, UDP ou ICMP.
Drapeaux - drapeaux de l'en-tête du package IP.
Les champs "Port de la source" et "Destination" ne sont logiques que pour les packages TCP et UDP.

Serveurs de niveau appliqué

Les pare-feu avec des serveurs de niveau appliqués utilisent un serveur spécifique prestations de service (Serveur proxy) - Telnet, FTP, etc., lancé sur pare-feu et transmet tout le trafic relatif à ce service. Ainsi, deux connexions sont formées entre le client et le serveur: du client au pare-feu et du pare-feu à la destination.

L'ensemble complet de serveurs pris en charge diffère pour chaque pare-feu spécifique, mais le plus souvent des serveurs se trouvent pour les services suivants:

• terminaux (telnet, rlogin);
• transfert de fichier (FTP);
• email (smtp, pop3);
• Www (http);
• Gopher;
• Wais;
• Système de fenêtre X (X11);
• impression réseau (LP);
• exécution de la tâche à distance (RSH);
• Doigt;
• usenet News (NNTP);
• Qui est;
• Realaudio.

L'utilisation de serveurs de niveau d'application vous permet de résoudre une tâche importante - cacher à partir d'utilisateurs externes la structure réseau local, y compris des informations dans des paquets postaux ou des services de noms de domaine (DNS). Une autre qualité positive est la possibilité d'authentifier au niveau de l'utilisateur (je vous rappelle que l'authentification est le processus de confirmation de l'identité de quelque chose; dans ce cas, il s'agit d'un processus de confirmation, si l'utilisateur est vraiment celui qui se donne à).

Lorsque vous décrivez les règles d'accès, les paramètres sont utilisés comme
• nom du service,
• nom d'utilisateur,
• gamme de service autorisée autorisée
• ordinateurs à partir duquel vous pouvez utiliser le service,
• schémas d'authentification.

Les serveurs de niveau appliqués vous permettent de fournir le plus haut niveau de protection, car L'interaction avec les mondes externes est mise en œuvre via un petit nombre de programmes d'application qui contrôlent pleinement le trafic entrant et sortant complet.

Server de niveau de connexion

Le serveur de niveau de connexion est un traducteur de connecteur TCP. L'utilisateur forme une connexion avec un certain port sur le pare-feu, après quoi ce dernier produit une connexion à la destination de l'autre côté du pare-feu. Au cours de la session, ce traducteur copie des octets dans les deux sens, agissant comme un fil.

En règle générale, le point de destination est spécifié à l'avance, tandis que les sources peuvent être beaucoup (le composé de type un est beaucoup). En utilisant différents ports, vous pouvez créer diverses configurations.

Ce type de serveur vous permet de créer un traducteur pour tout service défini par l'utilisateur basé sur TCP, surveiller l'accès à ce service, en collectant des statistiques sur son utilisation.

Caractéristiques comparatives des filtres à lots et des serveurs de niveau d'application

Vous trouverez ci-dessous les principaux avantages et faiblesses des filtres à lots et des serveurs de niveau d'application par rapport aux autres.

Avantages des filtres à lots:
• coût relativement faible;
• flexibilité dans la détermination des règles de filtrage;
• un léger délai lors du passage des paquets.

Inconvénients des filtres à lots:
• le réseau local est visible (routé) d'Internet;
• les règles de filtrage des colis sont difficiles à décrire, très bonne connaissance des technologies TCP et UDP;
• en perturbation de la performance du pare-feu, tous les ordinateurs derrière elle deviennent totalement non protégés ou inaccessibles;
• l'authentification à l'aide de l'adresse IP peut être trompée à l'aide de l'usurpation IP (le système d'attaquant se déroule dans une autre utilisation de son adresse IP);
• il n'y a pas d'authentification au niveau de l'utilisateur.

Avantages des serveurs de niveau appliqués:
• réseau local d'invisible d'Internet;
• avec violation des performances du pare-feu, les emballages arrêtent de traverser le pare-feu, ayant une menace pour les machines protégées par lui;
• la protection au niveau de l'application vous permet d'effectuer un grand nombre chèques supplémentaires, réduisant ainsi la probabilité de piratage en utilisant des trous dans des logiciels;
• l'authentification au niveau de l'utilisateur peut être implémentée un système d'alerte immédiat pour le piratage.

Inconvénients des serveurs de niveau appliqués:
• plus élevé que pour les filtres par lots coûtent;
• l'incapacité d'utiliser les protocoles RPC et UDP;
• la performance est inférieure à celle des filtres à lots.

Une série de pare-feu vous permet d'organiser des réseaux de sociétés virtuels ( Réseau privé virtuel.), c'est à dire. Combinez plusieurs réseaux locaux inclus dans Internet dans un réseau virtuel. VPN. Autoriser transparent aux utilisateurs de connecter des réseaux locaux tout en maintenant le secret et l'intégrité des informations transmises par cryptage. Dans ce cas, lorsque vous transmettez Internet est crypté non seulement par les données utilisateur, mais également des informations sur le réseau - Adresses réseau, Numéros de port, etc.

Pare-feu Schemes de connexion

Pour connecter des pare-feu, divers schémas sont utilisés. Le pare-feu peut être utilisé comme routeur externe à l'aide de types de périphériques pris en charge pour la connexion à un réseau externe (voir Fig. 1). Parfois, le diagramme illustré à la Fig.2 est utilisé, mais il ne doit être utilisé que comme un cas extrême, car un réglage très précis des routeurs et de petites erreurs peuvent former des trous sérieux dans la protection.

fig.2

Le plus souvent, la connexion est effectuée via un routeur externe prenant en charge deux interfaces Ethernet (le pare-feu soi-disant double feu) (deux cartes réseau en un calcul) (voir fig.3).

fIGUE 3.

Dans le même temps, entre le routeur externe et le pare-feu, il n'y a qu'un seul moyen pour lequel tout le trafic est en cours. Habituellement, le routeur est configuré de manière à ce que le pare-feu soit le seul visible à l'extérieur de la machine. Ce système est préférable en termes de sécurité et de fiabilité de la sécurité.

Un autre schéma est représenté à la Fig.4.

fig.4.

Dans le même temps, le pare-feu est protégé par un seul sous-réseau de plusieurs quittant le routeur. Dans la région de pare-feu non protégé, il existe souvent des serveurs qui doivent être visibles à l'extérieur (www, ftp, etc.). La plupart des pare-feu permettent de placer ces serveurs sur elle-même - la solution est loin du meilleur du point de vue de la machine et de la sécurité du pare-feu lui-même.

Il existe des solutions (voir Fig. 5) qui vous permettent d'organiser des serveurs qui doivent être visibles à l'extérieur, le troisième réseau; Cela vous permet d'assurer le contrôle de l'accès à ceux-ci, tout en maintenant le niveau de protection nécessaire pour le réseau principal en même temps.

fig.5

Dans le même temps, une grande attention est portée aux utilisateurs réseau interne Impossible d'ouvrir accidentellement ou délibérément un trou dans le réseau local via ces serveurs. Pour augmenter le niveau de sécurité, il est possible d'utiliser plusieurs pare-feu debout les uns sur les autres.

Administration

La facilité d'administration est l'un des aspects clés de la création d'un système de protection efficace et fiable. Les erreurs lors de la détermination des règles d'accès peuvent former un trou à travers lequel le système peut être piraté. Par conséquent, dans la plupart des pare-feu, des utilitaires de service qui facilitent les entrées, supprimer, afficher l'ensemble des règles sont implémentés. La présence de ces utilitaires vous permet également de rechercher des erreurs syntaxiques ou logiques lors de la saisie ou de la modification des règles. En règle générale, ces utilitaires vous permettent d'afficher des informations regroupées par n'importe quel critère, par exemple, tout ce qui concerne un utilisateur ou un service spécifique.

Statistiques d'attaque et systèmes de collecte d'avertissements

Un autre élément important du pare-feu est le système de collecte de statistiques et d'avantages de l'attaque. Informations sur tous les événements - refus de refus, connexions émergentes, nombre d'octets transmis utilisés par le service, le temps de connexion, etc. - s'accumule dans les fichiers de statistiques. De nombreux pare-feu vous permettent d'identifier de manière flexible l'événement de logo, décrivez les actions du pare-feu lorsqu'une attaque ou des tentatives d'accès non autorisé - cela peut être un message sur la console, le message postal à l'administrateur du système, etc. La sortie immédiate du message sur la tentative de fissuration de l'écran de la console ou de l'administrateur peut aider si la tentative s'est avérée réussie et que l'attaquant est déjà pénétrant. De nombreux pare-feu comprennent des générateurs de rapports servant pour le traitement des statistiques. Ils vous permettent de collecter des statistiques sur l'utilisation de ressources avec des utilisateurs spécifiques, sur l'utilisation de services, des refus, des sources tentatives d'accès non autorisé, etc.

Authentification

L'authentification est l'un des composants les plus importants des pare-feu. Avant que l'utilisateur reçoive le droit d'utiliser un ou plusieurs services, il est nécessaire de s'assurer qu'il est vraiment celui pour lequel il donne.

En règle générale, le principe intitulé «Ce qu'il sait» est utilisé - c'est-à-dire L'utilisateur connaît un mot secret qu'il envoie le serveur d'authentification en réponse à sa demande.

L'un des schémas d'authentification est l'utilisation de mots de passe UNIX standard. Ce schéma est le plus vulnérable en termes de sécurité - le mot de passe peut être intercepté et utilisé par une autre personne.

Cours de protection du pare-feu

En ce qui concerne le traitement des informations confidentielles, les systèmes automatisés (AC) sont divisés en trois groupes:

1. ACS multijoueur, traitement des informations de divers niveaux de confidentialité.
2. ACS multijoueur, dans lequel tous les utilisateurs ont un accès égal à toutes les informations traitées situées sur des supports de différents niveaux de confidentialité.
3. ACS à utilisateur unique, dans lequel l'utilisateur a accès à toutes les informations traitées situées sur des supports de différents niveaux de confidentialité.

Dans le premier groupe, la 5ème année de la sécurité des AC: 1A, 1B, 1B, 1G, 1D, dans les deuxième et troisième groupes - sur une catégorie de sécurité 2a, 2b et 3a, 3b correspondant en conséquence. La classe A correspond au maximum, classe D - la protection minimale de l'UA.

Les pare-feu vous permettent de maintenir la sécurité des objets de la région intérieure, d'ignorer les demandes non autorisées du domaine extérieur, c'est-à-dire mettre en œuvre blindage. En conséquence, la vulnérabilité des objets internes est réduite, car la déficience initialement tierce doit surmonter le pare-feu, où les mécanismes de protection sont configurés particulièrement soigneusement et rigoureusement. De plus, le système de blindage, contrairement à l'universel, aggravé plus simple, et donc, plus sécurisé. Il ne contient que les composants nécessaires pour effectuer des fonctions de blindage. Le dépistage offre également la possibilité de contrôler les flux d'informations envoyés à la zone externe, ce qui contribue à maintenir la confidentialité dans le domaine interne. En plus des fonctions de la séparation de l'accès, des pare-feu enregistre les flux d'informations.

En termes de sécurité, les pare-feu sont divisés en 5 classes. La classe de sécurité la plus basse est la cinquième. Il est utilisé pour une interaction sûre de la classe 1D avec un environnement externe, le quatrième - pour 1g, le troisième - pour 1b, le second - pour 1b, le plus haut - premier - pour 1a.

Pour la classe 2B, 3b, les pare-feu ne sont pas inférieurs à la cinquième année.

Pour la classe 2A, 3A, en fonction de l'importance des informations traitées, des pare-feu des classes suivantes sont utilisés:

• lors du traitement des informations avec le «secret» de vautour - pas inférieur à la troisième classe;
• lors du traitement des informations avec un vautour "Top Secret" - pas inférieur à la deuxième classe;
• lors du traitement des informations avec un vautour "d'une importance particulière" - seule première classe.

Les indicateurs de protection sont résumés dans le tableau 1.

Désignation:

Guide pour obtenir un pare-feu

La Division de la recherche de la société Trussecure - Laboratoire ICSA est développée «Guide des acheteurs de pare-feu» (guide clientèle du pare-feu). Dans l'une des sections de ce document, la forme d'évaluation des clients suivante est donnée:

1. Coordonnées - adresse et personnes responsables.
2. Environnement de travail d'entreprise:
   • le nombre et l'emplacement des institutions individuelles (bâtiments) de l'entreprise;
   • spécification des divisions et des informations de nature limitée et d'informations pour lesquelles la disponibilité des données est importante pour l'interaction des unités, leur placement;
   • Spécifier des partenaires externes avec lesquels il est nécessaire d'organiser l'interaction;
   • description des services ouverts publiquement;
   • exercices à l'organisation de l'accès à distance à l'espace d'information interne de l'entreprise;
   • services de services électroniques utilisant des canaux de communication publique (par exemple, le commerce électronique).
3. Modifications prévues dans l'environnement commercial pour les paramètres énumérés.
4. Environnement d'information:
   • le nombre de postes de travail utilisateur indiquant un logiciel matériel, système et d'application;
   • structure du réseau avec topologie, supports de transmission de données utilisés périphériques et protocoles utilisés;
   • la structure de l'accès à distance avec les instructions utilisées, ainsi que les méthodes d'authentification;
   • nombre de serveurs indiquant le matériel, le système et le logiciel d'application;
   • le système existant pour soutenir les systèmes d'information des fournisseurs avec leur indication et leurs frontières du domaine d'activité;
   • systèmes antivirus et autres systèmes de contrôle logiciel;
   • pratique des systèmes de technologie et de systèmes d'information;
   • technologies d'authentification - Liste et description.
5. Modifications prévues dans l'environnement d'information pour les paramètres répertoriés.
6. Communication avec Internet:
   • type de connexion Internet;
   • pare-feu existants (le cas échéant);
   • Des moyens de communication avec l'environnement externe utilisé par les systèmes internes;
   • systèmes et services internes disponibles de l'extérieur;
   • serveurs de commerce électronique et autres systèmes de transaction;
   • note pour l'accès Internet approuvé et les stratégies d'utilisation.
7. Événements planifiés (pour lesquels le pare-feu est acheté):
   • changer les méthodes d'accès à Internet et dans la politique de sécurité d'entreprise;
   • l'émergence de nouveaux protocoles qui doivent être conservées séparément pour les utilisateurs internes, les utilisateurs disposant d'un accès à distance ou d'utilisateurs spéciaux disponibles publiquement.
8. Fonctionnalité de l'écran de fréquence requise:
   • sur le contrôle d'accès;
   • messages émis;
   • authentification;
   • gestion de la configuration;
   • contrôle du contenu du trafic qui passe;
   • journaux d'enregistrement;
   • reconnaissance des attaques;
   • options réseau (nombre d'interfaces, méthode d'accès);
   • administration distante;
   • configuration système requise (intégration clé en main avec d'autres produits, etc.).
9. D'autres conditions:
   • le coût estimé du pare-feu (combien l'entreprise peut dépenser);
   • date estimée du début du produit;
   • exigences pour la disponibilité des produits de certification;
   • exigences pour l'administrateur de produits et le service d'assistance prévu;
   • conditions particulières du contrat (le cas échéant);
   • autres commentaires qui ne sont pas inclus dans ce formulaire.

On suppose que l'entreprise, remplissant ce formulaire et l'envoyant au fabricant, permettra à cette dernière de former l'offre la plus qualitative de l'acheteur. Remplir ce formulaire, cependant, sans l'envoyer à quelqu'un, permettra à l'organisation de mieux comprendre quelle solution elle-même.

Développement intensif des réseaux informatiques mondiaux, l'émergence de nouvelles technologies de recherche d'informations attire une attention croissante à Internet d'individus et de diverses organisations. De nombreuses organisations prennent des décisions sur l'intégration de leurs réseaux Internet locaux et d'entreprise. L'utilisation d'Internet à des fins commerciales, ainsi que lors de la transmission d'informations contenant des informations confidentielles, implique la nécessité de créer un système efficace de protection des données. L'utilisation de l'Internet mondial a des avantages indiscutables, mais comme de nombreuses autres nouvelles technologies, a ses propres inconvénients. Le développement des réseaux mondiaux a entraîné une augmentation multiple du nombre d'utilisateurs non seulement, mais également des attaques d'ordinateurs connectés à Internet. Les pertes annuelles dues au niveau insuffisant de la sécurité informatique sont notées des dizaines de millions de dollars. Par conséquent, lors de la connexion à Internet, un réseau local ou corporatif doit être pris en charge de fournir sa sécurité de l'information.

le réseau Internet frontal a été créé comme système ouvertdestiné à une échange d'informations gratuite. En raison de l'ouverture de son idéologie, Internet fournit aux attaquants une plus grande opportunité de pénétration dans les systèmes d'information. Via Internet, le délinquant peut:

• envahir le réseau interne de l'entreprise et obtenir un accès non autorisé à des informations confidentielles;
• copier illégalement les informations importantes et précieuses pour la société;
• obtenez des mots de passe, des adresses de serveur et parfois leur contenu;
• entrez le système d'information de l'entreprise sous le nom de l'utilisateur enregistré, etc.

En recevant un attaquant d'informations, la compétitivité de l'entreprise et la confiance de ses clients peut être sérieusement minée.

Un certain nombre de tâches pour refléter les menaces les plus probables pour les réseaux internes sont capables de résoudre des pare-feu. Le pare-feu est un système de pare-feu qui vous permet de diviser chaque réseau en deux parties ou plus et de mettre en œuvre un ensemble de règles qui déterminent les conditions de passage de paquets avec des données sur la frontière d'une partie. réseau partagé à un autre. En règle générale, cette frontière est réalisée entre le réseau d'entreprise (local) de l'entreprise et du réseau Internet mondial, bien qu'elle puisse être menée au sein du réseau d'entreprise de l'entreprise. L'utilisation de pare-feu vous permet d'organiser une politique de sécurité interne du réseau d'entreprise, de diviser l'ensemble du réseau vers des segments. Cela vous permet de formuler les principes de base de l'architecture de sécurité du réseau d'entreprise:

1. Introduction N Catégories de confidentialité et création de n segments de réseau alloués, respectivement. Dans le même temps, chaque utilisateur à l'intérieur du segment de réseau a le même niveau de secret (admis à l'information d'un niveau de secrétaire). Cette affaire peut être comparée à la plante secrète, où tous les employés en fonction de leur niveau d'accès ont accès à certains étages seulement. Cette structure s'explique par le fait que, en aucun cas, ne peut en aucun cas confondre les flux d'informations de différents niveaux de secrétaire. Aucune explication moins évidente de cette séparation de tous les utilisateurs sur N, des segments isolés est la facilité d'attaque dans un segment de réseau.
2. Allocation dans un segment distinct de tous les serveurs internes de la société. Cette mesure vous permet également d'isoler les flux d'informations entre les utilisateurs ayant des niveaux d'accès différents.
3. Les allocations à un segment distinct de tous les serveurs de la société auxquels l'accès d'Internet sera fourni (création d'une zone démilitarisée pour des ressources externes).
4. Créer un segment sélectionné de la gestion administrative.
5. Création d'un segment de gestion de la sécurité sélectionné.

Le pare-feu traverse tout le trafic, prenant une décision sur chaque paquet qui passe: lui donner la possibilité de passer à travers ou non. Pour que le pare-feu apporte cette opération, il doit déterminer l'ensemble des règles de filtrage. La décision de filtrer si des protocoles et des adresses spécifiques sont filtrés à l'aide d'un pare-feu dépend des politiques de sécurité adoptées dans le réseau protégé. Le pare-feu est un ensemble de composants personnalisables pour mettre en œuvre les stratégies de sécurité sélectionnées.

La politique de sécurité du réseau de chaque organisation devrait inclure deux composants:

1. Politique de service réseau.
2. La politique de mise en œuvre de pare-feu.

Les politiques d'accès au service de réseau devraient être une clarification des politiques globales de l'organisation concernant la protection des ressources d'information dans l'organisation. Pour que le pare-feu ait défendre avec succès les ressources de l'organisation, les stratégies d'accès aux utilisateurs aux services de réseau devraient être réalistes. Telle est la politique auquel un solde harmonieux a été trouvé entre la protection du réseau de l'organisation à partir des risques connus et la nécessité d'accéder aux utilisateurs aux services de réseau. Conformément aux politiques d'accès acceptées aux services de réseau, la liste des services Internet est déterminée à laquelle les utilisateurs doivent avoir un accès limité. Les restrictions sur les méthodes d'accès sont également définies, de sorte que les utilisateurs ne peuvent pas accéder aux services Internet interdits par Solution de contournement.

Le pare-feu peut mettre en œuvre un certain nombre de politiques d'accès aux services. Mais généralement une politique d'accès aux services réseau repose sur l'un des principes suivants:

1. Désactivez l'accès à partir d'Internet au réseau interne et autorisez l'accès du réseau interne à Internet.
2. Autoriser l'accès limité au réseau interne à partir d'Internet, garantissant uniquement les travaux de systèmes individuels autorisés, tels que des informations et des serveurs de messagerie.

Conformément à la politique de mise en œuvre des pare-feu, les règles d'accès aux ressources du réseau interne sont déterminées. Tout d'abord, il est nécessaire d'établir comment "confidentiel" ou "suspect" devrait être un système de protection. En d'autres termes, les règles d'accès aux ressources internes devraient être fondées sur l'un des principes suivants:

1. Interdire tout ce qui n'est pas autorisé explicitement.
2. Permettez tout ce qui n'est pas interdit explicitement.

L'efficacité de la protection interne du réseau utilisant des pare-feu dépend non seulement de la stratégie d'accès sélectionnée aux services de réseau et aux ressources du réseau interne, mais également sur la rationalité de la sélection et de l'utilisation des principaux composants du pare-feu.

Les exigences fonctionnelles pour les pare-feu couvrent les sphères suivantes:

• filtrage au niveau du réseau;
• filtrage au niveau appliqué;
• définir les règles de filtrage et d'administration;
• authentification du réseau;
• mise en œuvre des grumes et de la comptabilité.

Classification des pare-feu

Actuellement, il n'y a pas de classification uniforme et généralement acceptée de pare-feu. Nous mettons en évidence les classes suivantes de pare-feu:

1. Routeurs de filtrage.
2. Passerelles de niveau de session.
3. Passerelles de niveau d'application.

Ces catégories peuvent être considérées comme les composants de base des pare-feu réels. Seuls quelques pare-feu ne comprennent qu'une des catégories énumérées. Néanmoins, ces composants reflètent des caractéristiques clés qui distinguent les pare-feu les uns des autres.

Routeurs de filtrage

Le routeur de filtre est un routeur ou un programme d'exécution de serveur configuré de manière à filtrer des paquets entrants et sortants. Le filtrage de l'emballage est effectué sur la base de l'informationcontenus dans les packages TCP et IP.

Le routeur de filtre peut généralement filtrer des paquets IP en fonction du groupe des champs d'en-tête de paquets suivants:

• Adresse IP de l'expéditeur;
• Adresse IP du destinataire;
• port de l'expéditeur;
• port du destinataire.

Certains routeurs sont vérifiés, un package provient de quelle interface réseau du routeur, puis utilise ces informations comme critère de filtrage supplémentaire.

La filtration peut être implémentée de différentes manières de bloquer les connexions avec des ordinateurs ou des ports spécifiques. Par exemple, vous pouvez bloquer les connexions provenant d'adresses spécifiques de ces ordinateurs et réseaux considérés comme hostiles ou peu fiables.

Les règles de filtrage des packages sont formulées de plus en plus, il n'existe généralement pas pour vérifier leur exactitude, à l'exception des tests manuels lents. Dans ce cas, en l'absence d'un routeur de filtrage des outils de journalisation (si les règles de filtrage par paquets permettent toujours des packages dangereux via le routeur) de tels paquets ne pourront pas être détectés avant l'effet de la pénétration. Même si l'administrateur du réseau peut créer des règles de filtrage efficaces, leurs capacités resteront limitées. Par exemple, l'administrateur définit la règle selon laquelle le routeur rejettera tous les paquets avec une adresse inconnue de l'expéditeur. Cependant, dans ce cas, le pirate pirate de pénétration dans le réseau protégé peut être une attaque qui s'appelle la substitution d'adresse. Dans de telles conditions, le routeur de filtrage ne sera pas en mesure de distinguer un faux paquet du présent et de le manquer.

Les types de routeurs de filtrage suivants peuvent être attribués aux qualités positives des routeurs filtrants:

• coût relativement faible;
• flexibilité dans la détermination des règles de filtrage;
• un léger délai lors du passage des paquets.

Inconvénients des routeurs de filtres:

• le réseau interne est visible (routé) d'Internet;
• les règles de filtrage des packages sont difficiles dans la description et nécessitent une très bonne connaissance des technologies TCP et UDP;
• lors de la perturbation de la capacité de travail du pare-feu avec des paquets de filtrage, tous les ordinateurs derrière celle-ci deviennent complètement non protégés ou inaccessibles;
• il n'y a pas d'authentification au niveau de l'utilisateur.

Passerelles de session

Cette classe de routeurs est un traducteur de connexion TCP. La passerelle accepte un client autorisé à des services spécifiques et après avoir vérifié la recevabilité de la session demandée établit une connexion de destination (hôte externe). Après cela, la passerelle copie des paquets dans les deux sens sans filtrer. En règle générale, la destination est définie à l'avance, tandis que les sources peuvent être beaucoup. En utilisant différents ports, vous pouvez créer une variété de configurations de connexions. Ce type de passerelle vous permet de créer un traducteur de connexion TCP pour tout service défini par l'utilisateur basé sur TCP, surveiller l'accès à ce service et collecter des statistiques sur son utilisation.

La passerelle surveille la confirmation (accusé de réception) de la connexion entre le client agréé et l'hôte externe, déterminant si la session demandée est autorisée. Pour identifier la permécibilité d'une demande de session de communication, la passerelle effectue la procédure suivante. Lorsqu'un client autorisé demande à un service, la passerelle accepte cette demande, vérifiant si le client satisfait aux critères de filtrage de base. Ensuite, agissez au nom du client, la passerelle établit une connexion à l'hôte externe et surveille la procédure de conformité du protocole TCR. Cette procédure consiste à échanger des packages TSR marqués avec des drapeaux synchronisés (synchroniser) et demandez (confirmez).

Le premier package de session TCP marqué par le drapeau SYN et contenant un nombre arbitraire, par exemple 500, est une demande client d'ouvrir une session. L'hôte externe, qui a reçu ce package, l'envoie un autre, étiqueté comme un drapeau à demander et contenant une unité plus longue que dans le paquet adoptif (dans notre cas 501), confirmant ainsi la réception du package SYN du client.

Ensuite, la procédure inverse est effectuée: l'hôte envoie le package SYN avec un numéro de source, par exemple 700, et le client le confirme de recevoir le transfert d'un paquet de demande contenant le numéro 701. Sur ce couplage du processus de communication est terminé.

La passerelle de niveau de session reconnaît que le composé rempli n'est autorisé que si les drapeaux SYN et ASC sont effectués, ainsi que les numéros contenus dans les packages TCP sont connectés logiquement.

Une fois que la passerelle a déterminé que le client de confiance et l'hôte externe sont des participants autorisés à la session TCP et ont vérifié sa admissibilité, elle établit un composé. À partir de ce point, la passerelle copie et redirige les paquets et le dos, sans effectuer aucun filtrage. Il prend en charge le tableau des connexions installées, passant des données appartenant à l'une des sessions de communication enregistrées dans ce tableau. Lorsque la session est terminée, la passerelle supprime l'élément correspondant de la table et enfreint le réseau utilisé dans la session en cours.

L'inconvénient des passerelles de niveau de session est l'absence de vérification du contenu des paquets transmis, ce qui permet à la déficience de pénétrer dans une telle passerelle.

Passerelles de niveau d'application

Afin de protéger un certain nombre de sièges vulnérables inhérents aux routeurs de filtrage, les pare-feu doivent utiliser un logiciel d'application pour filtrer les connexions avec des services tels que Telnet et FTP. Une telle application s'appelle un service proxy et l'hôte sur lequel le service proxy est en cours d'exécution est la passerelle du niveau d'application. Une telle passerelle élimine une interaction directe entre un client agréé et un hôte externe. La passerelle filtre tous les paquets entrants et sortants au niveau appliqué.

Après avoir trouvé une session réseau, la passerelle d'application l'arrête et provoque une application autorisée de fournir le service dûment rempli. Pour atteindre un niveau supérieur de sécurité et de flexibilité, des passerelles de niveau d'application et des routeurs de filtres peuvent être combinés dans un pare-feu.

Les passerelles de niveau appliquées vous permettent de fournir protection fiableÉtant donné que l'interaction avec le monde extérieur est mise en œuvre grâce à un petit nombre d'applications autorisées qui contrôlent pleinement l'ensemble du trafic entrant et sortant. Il convient de noter que les passerelles de niveau d'application nécessitent une application distincte pour chaque service de réseau.

Par rapport au fonctionnement en mode normal, dans lequel le trafic appliqué est ignoré directement sur les hôtes internes, les passerelles de niveau d'application présentent un certain nombre d'avantages:

• invisibilité de la structure du réseau protégé de l'Internet mondial. Les noms des systèmes internes ne peuvent pas être signalés à des systèmes externes via DNS, car la passerelle de niveau d'application peut être le seul hôte dont le nom sera connu des systèmes externes;
• authentification et enregistrement fiable. Le trafic appliqué peut être authentifié avant d'atteindre des hôtes internes et est enregistré plus efficacement que d'utiliser l'enregistrement standard;
• un ratio de prix et d'efficacité acceptable. Un logiciel supplémentaire ou une authentification matérielle ou d'enregistrement doit être installé uniquement sur la passerelle de niveau d'application;
• règles simples filtration. Les règles sur le routeur de filtre sont moins compliquées que sur le routeur qui filtre indépendamment le trafic appliquée et l'envoie un grand nombre de systèmes internes. Le routeur doit sauter du trafic appliqué uniquement destiné à la passerelle de niveau d'application et bloquer le reste du reste;
• la possibilité d'organiser un grand nombre de chèques. La protection au niveau de l'application vous permet d'effectuer un grand nombre de contrôles supplémentaires, ce qui réduit la probabilité de piratage en utilisant des "trous" dans le logiciel.

Les lacunes des passerelles de niveau d'application sont les suivantes:

• performances relativement bases par rapport aux routeurs de filtres. En particulier, lors de l'utilisation de protocoles client-client, tels que Telnet, une procédure de deux-an est requise pour les connexions d'entrée et de sortie;
• coût plus élevé que les routeurs de filtres.

L'authentification (authentification de l'utilisateur) est l'un des éléments importants du concept de pare-feu (authentification de l'utilisateur), c'est-à-dire que l'utilisateur obtient le droit d'utiliser tout autre service uniquement après sa création qu'il est vraiment celui qui donne. On pense que le service de cet utilisateur est autorisé (le processus de définition, que les services sont autorisés à un utilisateur spécifique s'appelle une autorisation).

Lorsque vous recevez une demande d'utilisation du service pour le compte de tout utilisateur, le pare-feu vérifie quelle méthode d'authentification est définie pour ce sujet et transfère la gestion de l'authentification Server. Après avoir reçu une réponse positive du serveur d'authentification, le pare-feu est fourni par l'utilisateur demandé par l'utilisateur. En règle générale, la plupart des pare-feu commerciaux soutiennent plusieurs divers régimes Authentification En fournissant à l'administrateur de la sécurité du réseau la possibilité de choisir le plus acceptable dans les conditions de schéma actuelles.

Principales façons de déployer des pare-feu dans les réseaux d'entreprise

connexion d'une entreprise ou d'un réseau local à des réseaux mondiaux, l'administrateur de la sécurité du réseau doit résoudre les tâches suivantes:

• protection du réseau d'entreprise ou local d'un accès distant non autorisé à partir du réseau mondial;
• cacher des informations sur la structure du réseau et ses composants des utilisateurs du réseau mondial;
• Élimination de l'accès au réseau protégé du réseau mondial et protégé au niveau mondial.

La nécessité de travailler avec des utilisateurs distants nécessite la mise en place de restrictions strictes sur l'accès aux ressources d'information du réseau protégé. Dans le même temps, l'organisation survient souvent la nécessité de disposer de plusieurs segments avec différents niveaux de sécurité dans le cadre d'un réseau d'entreprise:

• segments librement disponibles;
• segments S. accès limité;
• segments fermés.

Les principaux régimes suivants pour l'organisation de pare-feu sont utilisés pour protéger le réseau d'entreprise ou local:

1. Le pare-feu présenté comme un routeur de filtre.
2. Firewatch basé sur une passerelle à deux ports.
3. Parewatch basé sur une passerelle blindée.
4. Ferewatch avec sous-réseau blindé.

Le pare-feu présenté comme un routeur de filtre

Un pare-feu basé sur le filtrage de paquets est la mise en œuvre la plus courante et la plus simple, représentant un routeur de filtre situé entre le réseau protégé et Internet.

Le routeur de filtre est configuré pour bloquer ou filtrer des paquets entrants et sortants en fonction de l'analyse de leurs adresses et de leurs ports.

Les ordinateurs du réseau protégé ont un accès direct à Internet, tandis que la plupart des accès Internet sont bloqués. En principe, le routeur de filtre peut mettre en œuvre l'une des stratégies de sécurité décrites précédemment. Toutefois, si le routeur ne filtre pas les paquets sur le port source et le numéro de port d'entrée et de sortie, la mise en œuvre de la stratégie "est interdite par tout ce qui n'est pas autorisé" de manière explicite peut être difficile.

Les écrans de film basés sur le filtrage de l'emballage ont les mêmes inconvénients que les routeurs de filtrage.

Ferewatch basé sur une passerelle à deux ports

Le pare-feu sur la base de données d'une passerelle d'application à deux ports est un hôte avec deux interfaces réseau. Lorsque vous transférez des informations entre ces interfaces et le filtrage principal est effectué. Pour assurer une protection supplémentaire entre la passerelle appliquée et Internet, placez le routeur de filtre. En conséquence, un sous-réseau blindé interne est formé entre la passerelle appliquée et le routeur. Il peut être utilisé pour accueillir le serveur d'informations disponible disponible. Le placement du serveur d'informations augmente la sécurité du réseau, car même lorsque l'attaquant pénètre, il ne pourra pas accéder aux systèmes de réseau via une passerelle avec deux interfaces.

Contrairement à un schéma de pare-feu avec un routeur de filtre, la passerelle d'application bloque entièrement le trafic IP entre Internet et le réseau protégé. Seules les applications autorisées situées sur la passerelle d'application peuvent fournir des services et un accès aux utilisateurs.

Cette version du pare-feu implémente la politique de sécurité basée sur le principe "est interdite par tout ce qui n'est pas autorisé explicitement"; Dans le même temps, seuls les services pour lesquels l'autorité appropriée sont identifiées. Cette approche fournit un niveau de sécurité élevé, car les itinéraires vers le sous-réseau protégé ne sont connus que pour le pare-feu et sont cachés des systèmes externes.

Le schéma de l'organisation pare-feu est relativement simple et assez efficace. Étant donné que le pare-feu utilise l'hôte, il peut être installé des programmes pour une authentification d'utilisateur améliorée. Le pare-feu peut également enregistrer l'accès, les tentatives de sondage et d'attaques système, ce qui vous permet d'identifier les actions des intrus.

Ferewatch basé sur la passerelle blindée

Le pare-feu basé sur la passerelle blindée a une plus grande flexibilité par rapport au pare-feu, construit sur la base d'une passerelle avec deux interfaces, cependant, cette flexibilité est obtenue par une certaine réduction de la sécurité. Le pare-feu consiste en un routeur de filtrage et une passerelle d'application située à partir du réseau interne. La passerelle appliquée est implémentée sur l'hôte et dispose d'une seule interface réseau.

Dans ce schéma, la sécurité primaire est fournie par un routeur de filtre qui filtre ou bloque des protocoles potentiellement dangereux de manière à ne pas atteindre la passerelle d'application et les systèmes internes. Le filtrage par lots dans le routeur de filtre peut être implémenté dans l'une des méthodes suivantes:

• les hôtes internes sont autorisés à ouvrir des connexions avec des hôtes sur Internet pour certains services (l'accès à ceux-ci est autorisé par environnement de filtrage de paquets);
• toutes les connexions des hôtes internes sont interdites (elles doivent utiliser des applications autorisées sur la passerelle d'application).

Dans cette configuration, le pare-feu peut utiliser une combinaison de deux politiques, le ratio entre lequel dépend de la politique de sécurité spécifique adoptée dans le réseau interne. En particulier, le filtrage de paquets sur le routeur de filtre peut être organisé de manière à ce que la passerelle d'application, utilisant ses applications autorisées, fournit les systèmes réseau protégés tels que Telnet, FTP, SMTP.

L'inconvénient principal du schéma de pare-feu avec la passerelle blindée est que si la déficience de l'attaquant est capable de pénétrer dans l'hôte, les systèmes de réseau interne non protégés seront des systèmes réseau internes non protégés. Un autre inconvénient est associé au compromis possible du routeur. Si le routeur s'avère être compromis, le réseau interne sera disponible pour l'attaquant du violateur.

Écran Firewatch avec sous-réseau blindé

Le pare-feu constitué d'un sous-réseau blindé est le développement d'un schéma de pare-feu basé sur la passerelle blindée. Pour créer un sous-réseau blindé, deux routeurs de blindage sont utilisés. Le routeur externe est situé entre Internet et le sous-réseau expansionnable, et l'interne entre le sous-réseau blindé et le réseau interne protégé. Le sous-réseau blindé comprend une passerelle d'application et des serveurs d'informations et d'autres systèmes nécessitant un accès contrôlé peuvent également être inclus. Ce système de pare-feu fournit un niveau de sécurité élevé en raison de l'organisation du sous-réseau blindé, qui est encore mieux isolant le réseau protégé interne d'Internet.

Le routeur externe protège contre les intrusions d'Internet, sous le sous-réseau blindé et un réseau interne. Le routeur externe interdit l'accès du réseau mondial aux systèmes de réseau internes et bloque tout le trafic sur Internet, qui provient des systèmes qui ne devraient pas être les initiateurs des composés.

Ce routeur peut également être utilisé pour bloquer d'autres protocoles vulnérables qui ne doivent pas être transmis au réseau interne des ordinateurs hôtes ou d'eux.

Le routeur interne protège le réseau interne de l'accès non autorisé d'Internet et à l'intérieur du sous-réseau blindé. De plus, il exerce la majeure partie de la filtration par lots et contrôle également le trafic vers les systèmes de réseau internes et d'eux.

Le pare-feu avec sous-réseau blindé convient parfaitement à la protection des réseaux avec des volumes de trafic importants ou des taux de change élevés.

Ses inconvénients incluent le fait que la paire de routeurs de filtrage a besoin d'une grande attention pour garantir le niveau de sécurité nécessaire, car, en raison des erreurs de leur configuration, des défaillances peuvent survenir dans le système de sécurité de l'ensemble du réseau. En outre, il existe une capacité fondamentale d'accéder à la passerelle d'application.

Inconvénients de l'utilisation de pare-feu

les écrans électroniques sont utilisés lors de l'organisation de réseaux privés virtuels protégés. Plusieurs réseaux locaux connectés au global sont combinés dans un réseau privé virtuel protégé. Le transfert de données entre ces réseaux locaux est invisible pour les utilisateurs, et la confidentialité et l'intégrité des informations transmises doivent être fournies à l'aide d'outils de cryptage, à l'utilisation de signatures numériques, etc. Avec le transfert de données, non seulement le contenu de l'emballage peut être crypté, mais également des champs de rubrique.

Le pare-feu n'est pas en mesure de résoudre tous les problèmes de sécurité du réseau d'entreprise. Outre les avantages décrits ci-dessus, il existe un certain nombre de restrictions dans leur utilisation et il y a des menaces pour la sécurité, à partir duquel les pare-feu ne peuvent pas protéger. Notez les restrictions les plus importantes sur l'utilisation de pare-feu:

• un grand nombre de lieux vulnérables restants. Les parewrites ne sont pas protégés des entrées noires (trappes) sur le réseau. Par exemple, si vous pouvez mettre en œuvre un accès illimité à un modem à un réseau protégé par un pare-feu, les attaquants peuvent contourner efficacement le pare-feu;
• protection insatisfaisante contre les attaques des employés de la société. Les écrans de pare-feu ne protègent généralement pas contre les menaces internes;
• restriction dans l'accès aux services souhaités. L'inconvénient le plus évident du pare-feu est qu'il peut bloquer un certain nombre de services utilisant des utilisateurs - Telnet, FTP, et al. Pour résoudre de tels problèmes, une politique de sécurité bien pensée est requise, dans laquelle l'équilibre entre les exigences de sécurité et les besoins des utilisateurs seront respectés;
• concentration d'outils de sécurité au même endroit. Cela facilite la mise en œuvre du fonctionnement du pare-feu;
• limiter la bande passante.

Organisation de la protection intégrée des entreprises de sociétés

pour protéger les ressources d'information et assurer des travaux optimaux de systèmes d'information d'entreprise distribués, il est nécessaire d'appliquer un système complet de sécurité des informations qui utilisera efficacement les avantages des pare-feu et compensera leurs lacunes par d'autres outils de sécurité.

La protection des réseaux d'entreprise complets doit fournir:

• interaction sécurisée des utilisateurs et des ressources d'informations situées dans des réseaux d'extrapete et d'intranet, avec des réseaux externes, tels que Internet;
• une gamme de mesures de protection technologiquement unifiée pour les réseaux locaux distribués et segmentés de divisions d'entreprise;
• la présence d'un système de protection hiérarchique offrant des outils de sécurité adéquats pour diverses proximitées des segments de réseau d'entreprise.

La nature du traitement de données moderne dans les systèmes Internet / intranet d'entreprise nécessite les qualités de base suivantes dans les pare-feu:

• mobilité et évolutivité relatives à diverses plates-formes matérielles et logicielles;
• la possibilité d'intégrer avec des outils matériels et logiciels d'autres fabricants;
• installation facile, configuration et fonctionnement;
• gestion conformément aux politiques de sécurité centralisées.

Selon l'échelle de l'organisation et la politique de sécurité adoptée à l'entreprise, divers pare-feu peuvent être appliqués. Pour les petites entreprises utilisant jusqu'à une douzaine de nœuds, les pare-feu conviennent parfaitement à interface graphiquepermettant la configuration locale sans appliquer une gestion centralisée. Pour les grandes entreprises, de préférence le système avec des consoles et gestionnaires de gestionqui fournissent une gestion rapide des pare-feu locaux, la prise en charge des réseaux privés virtuels.

L'augmentation des flux d'informations transmises sur Internet par des entreprises et des utilisateurs privés, ainsi que la nécessité d'organiser l'accès à distance aux réseaux d'entreprise, des raisons d'amélioration continue des technologies de connexion du réseau d'entreprise.

Il convient de noter que maintenant aucune des technologies de connexion avec des caractéristiques de haute performance, dans la configuration standard ne peut fournir une protection complète du réseau d'entreprise. La solution de ce problème ne devient possible que lorsque vous utilisez la technologie du pare-feu, qui organise une interaction sûre avec l'environnement externe.

Considérez plus en détail les technologies du pare-feu.

Protection du réseau d'entreprise d'un accès non autorisé d'Internet

Lors de la connexion du réseau d'une entreprise à Internet, vous pouvez protéger le réseau d'entreprise contre un accès non autorisé à l'aide de l'une des solutions suivantes:

• matériel et logiciel ou pare-feu logiciel;
• routeur avec un filtre de lots intégré;
• un routeur spécialisé qui implémente le mécanisme de protection basé sur des listes d'accès;
• système d'exploitation Unix ou, moins généralement, MS Windows, renforcé avec des utilitaires spéciaux qui implémentent le filtrage des packages.

La protection du réseau d'entreprise basée sur un pare-feu vous permet d'obtenir un degré élevé de sécurité et de mettre en œuvre les fonctionnalités suivantes:

• filtrage sémantique de flux de données circulant;
• filtrage basé sur les adresses réseau de l'expéditeur et du destinataire;
• filtrage des demandes au niveau de transport pour établir des composés virtuels;
• demandes de filtrage au niveau de l'application aux services d'application;
• alarme locale tente de violer les règles de filtrage;
• l'interdiction de l'accès d'un sujet inconnu ou du sujet, dont l'authenticité pendant l'authentification n'a pas été confirmée;
• sécurité de Point à Point: Autorisation de pare-feu, de route et de routeur, tunnel pour la route et la cryptocrust de données, etc.

Il convient de noter que les pare-feu vous permettent d'organiser une protection complète de réseau d'entreprise à partir d'un accès non autorisé, basé sur le filtrage traditionnel syntaxique (paquet IP) de flux de données contrôlés effectués par la plupart des Familles Windows et UNIX, et sur Sémantican (Contenu), Disponible uniquement aux solutions spéciales commerciales.

Actuellement, tous les pare-feu libérés peuvent être classés en fonction des fonctionnalités de base suivantes:

• par exécution:
  • - matériel et logiciel,
  • - Logiciel;
• en fonctionnant aux niveaux du modèle OSI:
  • - passerelle de niveau d'expert,
  • - passerelle de blindage (passerelle appliquée),
  • - Transport de blindage (passerelle de niveau de session),
  • - routeur de blindage (filtre à lots);
• selon la technologie utilisée:
  • - surveiller le statut du protocole,
  • - basé sur des modules intermédiaires (proxy);
• par schéma de connexion:
  • - schéma de la protection du réseau unifié,
  • - schéma avec des segments de réseau ouverts protégés et non protégés et non protégés,
  • - Schéma avec une protection séparée des segments de réseau fermés et ouverts.

Une protection de réseau d'entreprise plutôt commune basée sur la liste d'accès avec une liste d'accès est basée sur l'utilisation de routeurs spécialisés. Ce régime Il a une efficacité élevée et une sécurité suffisante. En tant que telle décision, les routeurs de la série Cisco 12000, 7600 ont été largement distribués. Pour connecter le réseau d'une entreprise à Internet, vous pouvez également utiliser la série précédente de routeurs de cette société.

Protection du réseau d'entreprise basée sur les systèmes d'exploitation, les fonctions de filtrage de paquets améliorées, reposent sur le fait que systémique logiciel Effectue un routage, un filtrage, un service, etc. En termes de fiabilité, de sécurité et de performances, les solutions les plus préférées basées sur un système d'exploitation de type UNIX.

Organisation de la politique de sécurité interne du réseau d'entreprise

Dans les conditions modernes, plus de 50% des différentes attaques et tentatives d'accès à l'accès sont effectuées de l'intérieur des réseaux locaux. Le réseau d'entreprise ne peut être considéré comme vraiment protégé de l'accès non autorisé que s'il existe un moyen de protéger les points d'entrée d'Internet et des solutions garantissant la sécurité. ordinateurs séparés, Serveurs d'entreprise et fragments du réseau local de l'entreprise. Sécurité des ordinateurs individuels, des serveurs d'entreprise et des fragments de réseau locaux dans les meilleures solutions possibles basées sur des pare-feu distribués ou personnels.

Les serveurs d'entreprise internes de la Société, en règle générale, sont des applications exécutant le système d'exploitation Windows NT / 2000, ou, moins généralement, la famille UNIX. Pour cette raison, les serveurs d'entreprise deviennent potentiellement vulnérables à différents types d'attaques.

Le moyen le plus simple Protection du serveur - Installation entre serveurs et pare-feu Internet, tel que le point de contrôle Firewall-1. Avec la configuration correcte, la plupart des pare-feu peuvent protéger les serveurs internes des attaquants externes et certains détecter et empêcher les attaques des attaques de «refus d'entretien». Néanmoins, cette approche n'est pas privée de certains inconvénients. Lorsque les serveurs d'entreprise sont protégés par un seul et unique pare-feu, toutes les règles de contrôle d'accès et de données sont axées sur un seul endroit. Ainsi, le pare-feu devient un goulot d'étranglement et la charge augmente considérablement dans la performance.

Alternative au schéma précédent - Acquisition de serveurs supplémentaires et installation du pare-feu Firewall-1 Firewall-1 Pare-feu ou Cisco Cisco's Cisco Pix en face de chaque serveur. À la suite du fait que le pare-feu devient une ressource de serveur dédiée, le problème d'un goulot d'étranglement est résolu et l'effet d'un pare-feu distinct diminue pour l'état réseau global. Cependant, cette approche ne peut être convoquée parfaitement car les coûts de la société augmentent fortement les équipements. En outre, les coûts de main-d'œuvre sur l'administration et l'augmentation de la maintenance du réseau.

La solution la plus réussie à la protection des serveurs d'entreprise est la mise en place d'outils de sécurité sur une plate-forme avec le serveur qu'ils protégeront. Cette tâche est effectuée en utilisant des pare-feu distribués ou personnels, tels que la solution de sécurité CyberwallPlus Network-1. Ces solutions complètent de manière significative la fonctionnalité des pare-feu traditionnels (périmètres) et peuvent être utilisés pour protéger les serveurs internes et Internet.

Contrairement aux pare-feu traditionnels, qui sont généralement locaux " points de contrôle»Contrôle accès aux ressources d'informations critiques de la Société, des pare-feu distribués sont des logiciels supplémentaires qui protègent de manière sécurisée les serveurs d'entreprise, tels qu'un serveur Internet.

Comparez les pare-feu traditionnels et distribués dans plusieurs indicateurs.

Efficacité. Le pare-feu traditionnel est souvent situé autour du périmètre, offrant une seule couche de protection. Le pare-feu personnel fonctionne au niveau du noyau du système d'exploitation et protège de manière sécurisée les serveurs d'entreprise, en vérifiant tous les paquets entrants et sortants.

Installation facile. Le pare-feu traditionnel doit être installé dans le cadre de la configuration du réseau d'entreprise. Le pare-feu distribué est un logiciel installé et supprimé en quelques minutes.

Contrôler. Le pare-feu traditionnel est contrôlé par un administrateur réseau. Un pare-feu distribué peut être contrôlé par un administrateur réseau ou par un utilisateur de réseau local.

Performance. Le pare-feu traditionnel est un dispositif permettant de fournir un pare-feu avec une restriction fixe de performances par des packages par seconde et ne convient pas aux parcs de serveurs en croissance connectés aux réseaux locaux commutés. Le pare-feu distribué vous permet de construire des parcs de serveurs sans préjudice de la politique de sécurité acceptée.

Coût. Les pare-feu traditionnels, en règle générale, sont des systèmes avec des fonctions fixes et un coût assez élevé. Les pare-feu distribués sont des logiciels, dont le coût, en règle générale, varie de 20 à 10% du coût des écrans traditionnels. Par exemple, la solution de sécurité de Network-1 distribué Cyberwallplus Firewall est de 6 000 dollars, tandis que le prix de Cisco Cisco PIX 535 de Cisco est d'environ 50 mille dollars.

Les pare-feu distribués combinent des contrôles d'accès réseau avec des outils incorporés pour un accès non autorisé et fonctionnent en mode noyau en cochant chaque ensemble d'informations à l'arrivée du réseau. Des activités telles que le piratage et les tentatives d'accès non autorisées sont bloquées par cet écran avant de passer au niveau d'application du serveur.

Les principaux avantages des pare-feu distribués incluent:

• assurer la sécurité du trafic entrant et sortant;
• fournir une architecture évolutive en distribuant une protection à l'aide d'un pare-feu à de nombreux serveurs;
• Élimination du pare-feu traditionnel comme le seul lieu d'échec;
• assurer une sécurité peu coûteuse, facile à mettre en œuvre et à gérer.

Ainsi, les pare-feu CyberwallPlus offrent un niveau supplémentaire de protection des plates-formes exécutant le système d'exploitation Windows NT / 2000 sur lequel les applications d'entreprise sont installées, telles qu'un serveur Internet. De plus, le pare-feu Cyberwallplus peut empêcher l'utilisation de types d'attaques connus d'intrusion pour les serveurs critiques de la société et informer l'administrateur de la sécurité sur des activités suspectes sur le réseau.

Donc, le pare-feu:

• protège les informations transmises indépendamment du support de données et de données (canaux satellite, lignes optiques Liens, connexions téléphoniques, lignes de relais radio);
• effectue une protection des applications sans nécessiter de modification;
• transparent pour les utilisateurs finaux;
• vous permet de mettre en œuvre des systèmes de protection évolutifs avec la possibilité d'augmenter et de compliquer davantage en tant qu'artentions et d'améliorer les exigences des politiques de sécurité.
• protège des systèmes d'information individuels et des applications indépendamment de la topologie des réseaux qu'ils utilisent;
• protège le système d'information de l'entreprise des attaques de l'environnement externe;
• protège les informations de l'interception et des modifications non seulement sur les connexions ouvertes externes, mais également dans les réseaux internes de la Société;
• il peut être facilement reconfiguré en tant que développement des politiques de sécurité des informations générales, en ajoutant des ressources, des mises à jour de la technologie, une croissance du réseau de sociétés.

Mise en œuvre de pare-feu

Actuellement, un grand nombre de sociétés étrangères et nationales proposent divers logiciels et logiciels et logiciels de pare-feu. Ci-dessous est donné brève description Certains produits produits aujourd'hui sont des produits de principaux fabricants étrangers.

Netscreen Technologies propose une large gamme de produits, allant des appareils à fournir aux utilisateurs individuels au réseau d'entreprise d'une entreprise dans un canal protégé et se terminant par des modèles destinés à la mise en œuvre dans la structure des grandes entreprises et de créer des systèmes de sécurité à grande bande passante. Chaque série Netscreen est une combinaison d'un appareil de pare-feu et de VPN (réseau privé virtuel).

La série de produits Netscreen-5 vous permet de créer une bande passante avec une bande passante de 70 Mbps pour le modèle Netscreen-5xt et 20 Mbps pour le modèle Netscreen-5XP, ainsi qu'un VPN avec une bande passante de 20 et 13 Mbps, respectivement. Contrairement à Netscreen-5XP, en prenant en charge jusqu'à cinq ports 10BASE-T, le modèle Netscreen-5xt fournit cinq interfaces Ethernet rapides.

Les deux produits sont capables de prendre en charge jusqu'à 2 000 tunnels VPN et jusqu'à 2 000 connexions TCP simultanées simultanées. Ils sont compléts avec le système d'exploitation Netscreen Screenos 4.0, utilisé pour configurer des interfaces physiques et virtuelles conformément aux exigences de sécurité.

Les produits de la série Netscreen-5 conviennent parfaitement à l'installation entre l'ordinateur et le Web de l'utilisateur ou pour fournir un accès sécurisé au réseau local de l'entreprise.

Pour l'introduction des technologies Netscreen, Netscreen-25, -50, -100, -200 produits de série ont été développés dans des petites et moyennes entreprises. Ils vous permettent de créer des pare-feu avec une bande passante de 100 à 550 Mbps. De plus, des données lorsqu'elles sont chiffrées par triple des protocole avec une clé de 168 bits transmise entre des nœuds via le tunnel de réseau privé virtuel à des vitesses de 20 à 200 Mbps. Ces produits de la série sont supportés parmi quatre à huit ports Ethernet rapides.

La famille des appareils Netscreen-500, Netscreen-1000 et Netscreen-5000 diffère d'un débit exceptionnel, il est donc donc la meilleure solution Pour l'introduction dans les grandes entreprises. Le modèle Netscreen-500 fournit une bande passante de près de 750 Mbps, ainsi qu'un VPN à une vitesse de 240 Mbps.

Le modèle Netscreen-5200 vous permet de mettre en place un pare-feu avec une bande passante de 4 Gb / s et VPN avec 2 Gbit / s. Il prend en charge jusqu'à huit ports Ethernet Gigabit ou deux ports Ethernet Gigabit et 24 Fast Ethernet. Le modèle Netscreen-5400 fournit une vitesse de 12 Gbit / s pour un pare-feu et 6 Go / s pour VPN. Il prend en charge jusqu'à 78 ports de Gigabit Ethernet et Fast Ethernet.

Les deux produits sont capables de prendre en charge jusqu'à 25 000 tunnels VPN et jusqu'à un million de connexions simultanées TCP. Ils sont équipés d'un système d'exploitation Netscreen Screenos 3.1. De plus, Netscreen Technologies prennent en charge le rayon (service utilisateur de l'authentification à distance - le service d'authentification de distance pour les lignes commutées) et dispose de leur propre base de données pour authentifier les utilisateurs qui soumettent une demande d'accès à distance.

Watchguard Technologies propose des modèles conçus pour introduire à la fois des petites et moyennes entreprises. Pour une utilisation dans les petites et moyennes entreprises, les produits de la série Firebox III (4500, 2500, 1000 et 700) sont proposés. Les modèles Firebox 4500 et 2500 sont des pare-feu matériels exécutant Linux avec un noyau protégé. La bande passante du pare-feu est de 197 Mbps en mode de filtrage de paquets et 60 Mbps - dans le mode médiateur (proxy transparent) au niveau de l'application. Chaque pare-feu dispose de trois interfaces réseau 10/100 Mbps 10/100 Fast Ethernet.

Les deux pare-feu peuvent prendre en charge jusqu'à 3 000 tunnels VPN, mais le modèle Firebox 4500 vous permet d'atteindre plus haut par rapport aux vitesses de cryptage d'informations de Firebox 2500 en fonction de l'algorithme des triplédes - 100 et 55 Mbps, respectivement.

Pour les petites et moyennes entreprises et les bureaux distants, la société fabrique Firebox Soho 6, Firebox Soho 6 / TC et Firebox 700 produits.

Firebox 700 est capable de servir simultanément jusqu'à 250 utilisateurs. Il s'agit d'un pare-feu qui prend en charge à la fois des intermédiaires de filtrage par lots et de filtres. Les spécialistes de WatchGuard évaluent la performance de Firebox 700 en 131 Mbps en mode de filtrage de paquets et 43 Mbps en mode intermédiaire. Firebox 700 vous permet de créer un réseau privé virtuel avec 150 tunnels simultanément et effectuez un cryptage tripledes à une vitesse de 5 Mbps.

Firebox Soho 6 prend en charge les filtres par lots avec une bande passante de 75 Mbps. Il prend également en charge un réseau privé virtuel avec cinq tunnels et une bande passante de 20 Mbps (modification SOHO / TC) lors de l'utilisation de cryptage Triplees.

Pour assurer une bande passante à grande vitesse des grandes entreprises d'information, le modèle Firebox Vclass a été développé, ce qui vous permet d'obtenir un débit jusqu'à 600 Mbps. Le produit est capable de prendre en charge jusqu'à 20 000 tunnels VPN. En mode de cryptage, une vitesse de 300 Mbps est atteinte.

Cisco Systems propose une série de pare-feu Cisco Pix Firewall, offrant un haut niveau de sécurité, de performance et de fiabilité. La gamme Les pare-feu sont représentés par les produits suivants: PIX 506E, 515E, 525 et 535.

Les pare-feu Cisco PIX 506E et 515E sont des mises à niveau des modèles Cisco PIX 506 et 515, respectivement. Ces modèles sont destinés à être utilisés dans les réseaux de sociétés de petites entreprises, ainsi que pour assurer la sécurité des clients distants des réseaux d'entreprise d'entreprises. Le modèle 506e a une capacité de 20 Mbps et 515e - 188 Mbps. Le flux de données de chiffrement peut être effectué à la fois à l'aide de l'algorithme DES 56 bits et à tripleilles avec une clé de 168 bits. Cisco PIX 506E Capacité avec cryptage des. - 20 Mbps, Tripledes - 16 Mbps. La vitesse de cryptage pour le modèle 515E sur l'algorithme tripledes est de 63 Mbps. Le modèle 515E prend en charge jusqu'à 2 000 tunnels VPN.

Pour une utilisation dans les petites et grandes entreprises, Cisco fabrique des modèles 525 et 535. La bande passante du modèle 525 est de 370 Mbps. Ce modèle peut servir simultanément jusqu'à 280 000 sessions. Le modèle Cisco PIX 535 comporte 1 GB / S Performance et prend en charge VPN avec une bande passante de 100 Mbps. De plus, ce modèle prend en charge jusqu'à 2 000 tunnels VPN et jusqu'à 500 000 connexions simultanées TCP.

En tant que méthode de protection dans les pare-feu de Cisco, une variété d'algorithme d'adaptation d'algorithme de vérification contextuelle (ASA) et d'un système d'exploitation interne PIX OS seront utilisés pour assurer une fiabilité élevée et une sécurité d'éventuelles attaques Internet.

Esoft, inc. En novembre 2002, une nouvelle série de produits Instage XSP a été présentée, qui a remplacé les modèles précédents Instage EX2 et Instagez Pro. Sous la marque Instage XSP, Esoft est fabriquée par Instagez XSP Branch office pour les bureaux de petits et distribués et instageez l'entreprise XSP pour les bureaux moyens et grands. Les produits de la série XSP sont fournis avec un package d'applications Softpak, permettant aux utilisateurs de créer rapidement et facilement un système de sécurité fiable de l'ensemble du périmètre du réseau d'entreprise. La série de produits XSP est entièrement compatible avec les modèles Instage existants et vous permet de créer des réseaux privés virtuels basés sur IPSec et PPTP. Instagez XSP Branch Office prend en charge jusqu'à 10 utilisateurs et 10 tunnels VPN et Instageez XSP Business jusqu'à 100 utilisateurs et 100 tunnels VPN. Les produits de cette série diffèrent relativement peu coûteux.

La société 3COM propose deux types de pare-feu: Superstack 3, conçu pour le siège social et les grands bureaux, ainsi que pour les clients qui ont besoin d'un accès hautes performances au réseau privé virtuel et officeConnect - pour les petits bureaux avec le nombre d'employés inférieurs à cent bureaux à domicile et travaillant chez des professionnels de la maison.

Selon les estimations des fabricants, Superstack 3 prend en charge un nombre illimité d'utilisateurs de réseau d'entreprise et fournit jusqu'à 1000 tunnels VPN. La bande passante de ce modèle dans le cryptage de l'algorithme tripledes est de 45 Mbps.

La gamme de modèles d'officeConnect est présentée par OfficeConnect Internet Firewall 25 et Firewall Internet officiel DMZ. Le modèle DMZ de pare-feu d'Internet office Connectoire utilisant le port DMZ vous permet d'accéder en toute sécurité aux ressources du réseau. OfficeConnect Internet Firewall DMZ prend en charge jusqu'à 100 utilisateurs et office Connectez Internet Parewall 25 - 25 utilisateurs. En collaboration avec OfficeConnect Internet Firewall DMZ et OfficeConnect Internet Firewall 25, les sites Web de filtre Web de WebConnect sont utilisés, offrant un accès à des sites Web indésirables. Tous les écrans d'incendie 3COM sont certifiés ICSA. La famille 3Com Face Screens combine une facilité d'utilisation exceptionnelle avec la flexibilité de la sélection de solutions. Les pare-feu de 3com sont facilement installés et constituent un niveau de protection extrêmement élevé. L'installation en mode Plug-and-Play élimine les procédures de configuration et d'administration complexes et à long terme sans préjudice de la rigueur, de l'exhaustivité et des détails de la stratégie de sécurité.

Ainsi, l'utilisation de pare-feu est un élément clé de la construction de systèmes et de systèmes d'analyse et d'analyses de haute performance, sécurisés et fiables pour l'automatisation des entreprises, des systèmes financiers, des bases de données distribuées, des systèmes d'accès à distance pour les employés aux ressources internes des réseaux d'entreprise, du réseau d'entreprise segments et réseau d'entreprise dans son ensemble..

Instruction

Allez au menu principal "Démarrer" du système d'exploitation Windows. Sélectionnez la section "Panneau de configuration" et allez à " fenêtre pare-feu" Vous pouvez également exécuter le paramètre de ligne de commandeEn introduisant le texte suivant: "Control.exe / Nom Microsoft.WindowsFirewall".

Découvrez la fenêtre qui s'ouvre. À gauche, il existe un groupe spécial composé de plusieurs sections responsables de divers réglages Interventif écranmais. Accédez à l'onglet Profile Général et au "Profil privé", où les inscriptions "Connections sortantes", vous devez annuler l'option "Block". Cliquez sur le bouton "Appliquer" et "OK", puis fermez la fenêtre. Après cela, vous pouvez procéder à la mise en place d'un accès à Internet de divers services et programmes installés sur un ordinateur personnel.

Accédez à l'onglet "Paramètres avancés" pour exécuter le pare-feu écran En mode de sécurité avancé. La fenêtre qui apparaît se compose de la barre d'outils et de trois sections. Sélectionnez les "règles pour la connexion hors-bord" dans le champ gauche, après quoi elle se trouve sur le champ droit pour "créer une règle". En conséquence, l'assistant de création de règles apparaîtra.

Sélectionnez le type de règles que vous souhaitez ajouter aux paramètres du pare-feu écranmais. Vous pouvez sélectionner pour toutes les connexions informatiques ou configurer un programme spécifique en spécifiant le chemin d'accès. Cliquez sur le bouton Suivant pour accéder au programme, dans lequel vous spécifiez à nouveau le chemin d'accès à l'application.

Aller à "action". Ici, vous pouvez activer la connexion ou le bloquer. Vous pouvez également devenir une connexion sécurisée à laquelle elle sera vérifiée par IPSec. Dans le même temps, en cliquant sur le bouton "Configurer", vous pouvez installer vos propres règles. Après cela, spécifiez le "profil" pour votre règle et proposez-lui le nom. Cliquez sur le bouton "Terminer" pour enregistrer les paramètres.

Le degré de scintillement sur l'écran activé dépend des paramètres définis sur la fréquence de mise à jour de l'image sur le moniteur. Le concept de "fréquence de mise à jour" est applicable aux moniteurs de la lampe, pour les moniteurs à cristaux liquides, ces paramètres ne sont pas importants. L'écran de la plupart des moniteurs de lampe est mis à jour une fois par minute. Si vous ne correspondez pas aux paramètres, éliminez vaciller ÉcranAprès avoir effectué plusieurs actions.

Instruction

Appelez le composant "Écran". Pour ce faire, sur le menu "Démarrer", ouvrez le panneau de commande. Dans la catégorie "Design and Tunics", cliquez sur l'icône "Écran" avec le bouton gauche de la souris ou sélectionnez l'une des tâches disponibles en haut de la fenêtre. Si le "Panneau de configuration" de votre ordinateur a une vue classique, sélectionnez l'icône souhaitée immédiatement.

Il y a un autre moyen: cliquez avec le bouton droit de la souris sur n'importe quel fichier de fichiers et de dossiers du bureau. Dans le menu déroulant, sélectionnez "Propriétés", en cliquant dessus avec le bouton gauche de la souris. Une nouvelle boîte de dialogue "Propriétés: écran" s'ouvre.

Dans la fenêtre qui s'ouvre, accédez à l'onglet "Paramètres" et appuyez sur le bouton "Avancé" situé au bas de la fenêtre. Cette action entraînera les "propriétés optionnelles": Module de connexion du moniteur et [Votre carte vidéo] ".

Dans une nouvelle fenêtre, allez à l'onglet Moniteur et installez le marqueur dans le champ en face de l'inscription «Masquer les modes que le moniteur ne peut pas utiliser. Cela vous aidera à éviter des problèmes possibles: si Écran Installée de manière incorrecte, l'image sur le moniteur peut être instable. La fréquence non sélectionnée de manière incorrecte peut également entraîner un dysfonctionnement de l'équipement.

En utilisant la liste déroulante dans la section Paramètres du moniteur, définissez le champ "Mettre à jour la fréquence". Écran«La valeur dont vous avez besoin. Plus la fréquence de mise à jour est élevée ÉcranMoins le moniteur flickes. La fréquence par défaut est de 100 Hz, bien que votre moniteur puisse supporter une autre fréquence. Spécifiez ces informations dans la documentation ou sur le site Web du fabricant.

Après avoir fait les changements nécessaires Cliquez sur le bouton "Appliquer" dans la fenêtre Propriétés du moniteur. La demande de confirmation de nouveaux paramètres est répondu dans l'affirmative. Cliquez sur le bouton OK. Vous resterez une fenêtre «Propriétés: écran». Fermez-le à l'aide du bouton OK ou de l'icône [x] dans le coin supérieur droit de la fenêtre.

Si vous modifiez la fréquence de mise à jour Écran Le type de bureau changera, définira la fenêtre Propriétés. Écran Convient à percevoir la permission, cliquez sur le bouton "Appliquer" et fermez la fenêtre. La taille de l'espace de travail à l'écran est ajustée à l'aide des boutons de configuration du boîtier du moniteur. N'oubliez pas à la fin de cliquer sur le bouton "Degauss".

Intersecteurs écranou le pare-feu est conçu pour contrôler le fonctionnement des programmes de réseau et protéger le système d'exploitation et les données utilisateur des attaques externes. Il existe de nombreux programmes ayant des caractéristiques similaires et ils ne sont pas toujours efficaces. Pour vérifier la qualité de votre réseau écrana, utilisez le programme de testeur de pare-feu 2IP.

Instruction

Trouver avec aide moteur de recherche Lien pour télécharger l'utilitaire de testeur de pare-feu 2IP. Vérifiez le programme téléchargé sur le programme antivirus et exécutez l'application. En règle générale, le programme doit être installé sur le disque dur de l'ordinateur. Après cela, une étiquette apparaît sur le bureau, avec laquelle vous pouvez l'exécuter.

La fenêtre du programme est assez simple et contient une chaîne de sortie de message et deux boutons d'aide et de test. Assurez-vous que votre ordinateur a accès à Internet et appuyez sur le bouton Test. L'utilitaire tentera de communiquer avec le serveur externe. Si la connexion est définie (ce que le message se posera avec des lettres rouges), votre pare-feu est inefficace. Il convient également de noter que la plupart d'un tel logiciel sont définis par défaut avec une interface anglophone. Pour changer la langue russe, accédez aux paramètres du programme. N'oubliez pas de conserver tous les changements produits dans le programme.

Si la connexion ne peut pas être installée, mais le programme du pare-feu écranet a publié une demande d'autorisation à cette connexion, puis le pare-feu fonctionne. Autoriser une connexion jetable. Pour plus vérification complexe Firewall Renommez le fichier de démarrage de l'utilitaire de testeur de pare-feu 2IP dans le nom du programme, l'accès à Internet est évidemment autorisé. Par example, Internet Explorer.. Pour ce faire, nommez le nom de l'utilitaire IExplore.exe, démarrez et appuyez sur le bouton Test. Si la connexion est installée, votre pare-feu écran Il a un niveau de protection assez faible.

Si la connexion n'est pas établie, votre programme de pare-feu écranet effectue ses fonctions pour cinq points. Vous pouvez vous promener en toute sécurité via des sites sur Internet, car votre ordinateur personnel est protégé de manière fiable de diverses menaces. En règle générale, ce logiciel a des paramètres flexibles dans le système.

Vidéo sur le sujet

Parfois, assis sur l'ordinateur, vous pouvez voir que l'image à l'écran est tremblante, particulière "flotte" ou commence de manière inattendue. Ce problème est répandu. Mais les raisons d'elle sont différentes. Il vaut la peine de traiter pourquoi l'écran tremble.

Le plus souvent, la cause de l'écran d'agitation est la présence d'un champ électromagnétique dans la salle de travail ou de l'appartement. Ceci est valable très facilement en déplaçant le moniteur. S'il s'arrête, le problème est lié aux champs électromagnétiques. Leurs sources au travail sont diverses installations électriques, des sous-stations de transformation, ainsi que des lignes électriques. Les maisons sont remplacées par une télévision, un réfrigérateur, un four micro-ondes et d'autres appareils.

Le deuxième taux de l'écran de secoussage est insuffisant de la puissance du moniteur. En règle générale, le moniteur est connecté au pilote, dans lequel, en plus de son propre "flux", un modem, un modem, une télévision, un lustre et beaucoup plus, en fonction du goût de l'utilisateur. Il convient de tenter de déconnecter certains de ces dispositifs et de voir si les images frissonnantes sur le moniteur ont diminué. Sinon, peut-être que le problème est peut-être dans le pilote lui-même, dans la façon dont il filtre l'électricité. Vous pouvez essayer simplement de le changer.

Moins fréquemment (bien que le plus souvent à l'esprit), la cause de la tremblante de l'image peut être un dysfonctionnement à l'intérieur du moniteur lui-même, par exemple une unité de décharge cassée ou un problème dans le système de son pouvoir. Dans de tels cas, il vaut mieux ne pas grimper à l'intérieur du moniteur. La solution optimale dans cette situation sera l'attrait à des spécialistes qualifiés.

Parfois, la raison des problèmes susmentionnés peut être le taux de mise à jour de faible écran. Par défaut, certains moniteurs ont une fréquence de 60 Hz. Cela fait non seulement un écran aigu des yeux notable, mais aussi extrêmement nocif pour la vue. Par conséquent, il se situe à travers le "Panneau de commande" pour trouver l'élément de menu "Écran" et définir une fréquence de 75 Hz. À cette fréquence, le bouclier peut être complètement complètement.

ATTENTION: Supprimer!

Pour supprimer la capture d'écran, exécutez l'application sur l'ordinateur en cliquant sur l'étiquette du bureau (généralement pendant le processus d'installation, il est créé automatiquement) ou en le trouvant dans la liste des programmes (via le bouton "Démarrer"). Après cela, dans la fenêtre de travail qui s'ouvre, sélectionnez la fonction dont vous avez besoin. Dans ce programme, vous pouvez capturer la capture d'écran: tout l'écran, l'élément de fenêtre, la fenêtre de défilement, la zone sélectionnée, une zone fixe, une zone arbitraire ou supprimer la capture d'écran de la sélection précédente.

La barre d'outils s'ouvre et appuyez sur la touche "Fichier" dans le menu Programme principal.

Sur les noms des options, il est clair que la partie de la fenêtre de travail sera mise en évidence dans le processus de retrait de l'écran. Vous pourrez appuyer sur l'écran entier ou une partie de la touche "Prendre une photo". Vous pouvez également spécifier une zone ou une partie spécifique de l'écran, qui répondra aux paramètres précédemment définis. En général, vous pouvez absolument tout.

En outre, le programme dispose d'une petite liste d'outils nécessaires au traitement: palette de couleurs, fenêtre de zoom, règle, avec laquelle vous pouvez calculer avec précision la distance d'un point à un autre, une cassure, un chevauchement et même une planche de styliste qui vous permet Pour enregistrer des dessins directement à l'écran.

Pour effectuer d'autres actions, cliquez sur le bouton "Main", après lequel un panneau supplémentaire avec un ensemble d'outils spécifique apparaît à l'écran. Avec leur aide, vous pouvez couper l'image, définir sa taille, mettre en surbrillance la couleur d'une certaine partie, imposer du texte, sélectionner la couleur de la police et remplir.

Le bouton "View" dans le menu principal vous permet de changer l'échelle, de travailler avec une règle, de mettre en place une sorte de documents tachés: cascade, mosaïque.

Après avoir supprimé la capture d'écran, cliquez sur le bouton Fichier de panneau supérieur Applications et dans la fenêtre déroulante, sélectionnez l'option "Enregistrer sous". Après cela, une fenêtre supplémentaire s'ouvrira sur le côté droit dans laquelle vous devrez sélectionner le type de fichier: PNG, BMP, JPG, GIF, PDF. Ensuite, vous ne spécifierez que le dossier dans lequel le fichier doit être enregistré.

Le nombre d'incidents de sécurité de l'information, conformément aux principales agences d'analyse, augmente constamment. Spécialistes responsables de la protection des informations Notez l'activité croissante des intrus externes qui utilisent les derniers développements dans le domaine des attaques qui tentent de pénétrer dans les réseaux de sociétés afin de faire de leurs cas «noirs».

Le nombre d'incidents de sécurité de l'information, conformément aux principales agences d'analyse, augmente constamment. Spécialistes responsables de la protection des informations Notez l'activité croissante des intrus externes qui utilisent les derniers développements dans le domaine des attaques qui tentent de pénétrer dans les réseaux de sociétés afin de faire de leurs cas «noirs». Ils ne se limitent pas aux alarces d'informations ou à la suppression des nœuds de réseau. Il n'y a aucun cas lorsque des réseaux piratés ont été utilisés pour faire de nouvelles attaques. Par conséquent, la protection du périmètre du système d'information est un élément obligatoire du système de sécurité des informations de l'organisation.

Dans le même temps, pour déterminer la composition des composants de protection du périmètre, fournir un niveau minimal (initial) de sécurité de l'information, il est nécessaire d'analyser les menaces les plus courantes pour les ressources d'information de l'organisation:
Attaques de réseau destinées à des ressources d'information indisponibles (par exemple, serveurs Web, services de messagerie, etc.) - Attaques de la classe DO et DDOS;
compromettre les ressources d'informations et l'escalade des privilèges à la fois des initiés et des intrus externes, les deux afin d'utiliser vos ressources et des dommages;
Actions de logiciels malveillants code de logiciel (virus, vers de réseau, chevaux de Troie, logiciels espions, etc.);
fuites d'informations confidentielles et enlèvement de données à la fois via le réseau (e-mail, ftp, Web, etc.) et par des transporteurs externes;
Divers attaques de réseau sur les applications.

Pour minimiser les menaces de sécurité de l'information, il est nécessaire d'introduire des pare-feu à différents niveaux du modèle OSI, comme indiqué dans le tableau.

Tableau. Firewalls et modèles OSI

Le travail de tous les pare-feu repose sur l'utilisation d'informations de différents niveaux du modèle OSI (tableau). Le modèle OSI développé par l'Organisation internationale pour la normalisation détermine les sept niveaux sur lesquels systèmes informatiques Interagir les uns avec les autres - à partir du niveau de l'environnement de données physique et se terminant par le niveau de programmes d'application utilisés pour les communications. En général, plus le niveau du modèle OSI est élevé sur lequel le pare-feu filtre des packages, plus le niveau de protection est élevé, fourni par eux.

Les méthodes suivantes de contrôle du trafic entre le réseau local et externe peuvent être sélectionnées:
1. Filtrage de paquet - Basé sur la définition du jeu de filtres. Selon si le paquet entrant satisfait aux conditions spécifiées dans le filtre, elle est transmise au réseau ou jeté.
2. Cette classe de routeurs est un traducteur de connexion TCP. La passerelle accepte un client autorisé à des services spécifiques et après avoir vérifié la recevabilité de la session demandée établit une connexion de destination (hôte externe). Après cela, la passerelle copie des paquets dans les deux sens sans filtrer. En règle générale, la destination est définie à l'avance, tandis que les sources peuvent être beaucoup. En utilisant différents ports, vous pouvez créer une variété de configurations de connexions. Ce type de passerelle vous permet de créer un traducteur de connexion TCP pour tout service défini par l'utilisateur basé sur TCP, surveiller l'accès à ce service et collecter des statistiques sur son utilisation.
3. Serveur proxy. - Il existe un serveur de proxy supplémentaire entre les réseaux locaux et externes, qui sert de «porte», à travers laquelle le trafic entrant et sortant doit être utilisé. Étatfulininspection. - L'inspection du trafic entrant est l'une des méthodes les plus avancées de mettre en œuvre un pare-feu. L'inspection implique une analyse de l'ensemble du package, mais uniquement sa partie clé spéciale et une comparaison avec des valeurs pré-connues de la base de données des ressources autorisées. Cette méthode fournit la plus grande performance du pare-feu et des plus petits retards.

Le principe de fonctionnement du pare-feu est basé sur le contrôle du trafic entrant.

Le pare-feu peut être effectué du matériel ou des logiciels. La mise en œuvre spécifique dépend de l'ampleur du réseau, du volume de trafic et des tâches nécessaires. Le type de pare-feu le plus courant est le logiciel. Dans ce cas, il est mis en œuvre en tant que programme exécutant sur un PC fini ou un périphérique de réseau frontalier, par exemple un routeur. Dans le cas de l'exécution matérielle, le pare-feu est un élément de réseau distinct qui présente généralement de grandes capacités productives, mais effectuant des tâches similaires.

Le pare-feu vous permet de configurer des filtres responsables du trafic de transmission des critères suivants:
1. Adresse IP. Comme vous le savez, tout périphérique final exécutant le protocole IP doit avoir une adresse unique. En spécifiant une autre adresse ou une plage spécifique, vous pouvez interdire les packages d'eux ou, au contraire, autoriser l'accès uniquement à partir des données des adresses IP.
2. Nom de domaine. Comme on le sait, le site sur Internet, ou plutôt son adresse IP, peut être mis en ligne avec un nom alphanumérique, ce qui est beaucoup plus facile à retenir qu'un ensemble de chiffres. Ainsi, le filtre peut être configuré pour sauter le trafic uniquement pour / vers l'une des ressources ou interdire l'accès à celui-ci.
3. Port. Nous parlons de ports de programme, c'est-à-dire Points d'accès des applications aux services réseau. Par exemple, FTP utilise le port 21 et les applications de visualisation du port de pages Web 80. Cela vous permet d'interdire l'accès à partir d'applications de services et de réseaux indésirables, ou au contraire, ne les autorise que.
4. Protocole. Le pare-feu peut être configuré pour sauter des données uniquement n'importe quel protocole ou interdire l'accès à son utilisation. Habituellement, le type de protocole peut parler des tâches de l'application utilisées par eux et l'ensemble de paramètres de protection. Ainsi, l'accès ne peut être configuré que pour faire fonctionner une seule application spécifique et empêcher un accès potentiellement dangereux à l'aide de tous les autres protocoles.

Ce qui précède ne répertorie que les paramètres de base pour lesquels vous pouvez configurer. D'autres paramètres pour les filtres spécifiques à ce réseau particulier peuvent également être utilisés, en fonction des tâches effectuées.

Ainsi, le pare-feu fournit un ensemble complet de tâches pour empêcher l'accès non autorisé, le dommage ou le vol de données, ou tout autre impact négatif, ce qui peut affecter les performances du réseau. Habituellement, le pare-feu est utilisé avec d'autres moyens de protection, par exemple un logiciel antivirus.

Création de stratégie de filtrage pour les écrans de pare-feu
Il existe deux façons principales de créer un ensemble de règles du pare-feu: "y compris" et "à l'exclusion". Le pare-feu exclusif permet le passage de tout le trafic, à l'exception du trafic correspondant à l'ensemble des règles. Y compris le pare-feu agit de la manière opposée. Il ne saute que le trafic correspondant aux règles et bloque tout le reste.

L'écran interstitiel offre une grande partie du trafic sortant. Par conséquent, y compris le pare-feu est le meilleur choix pour les systèmes fournissant des services sur Internet. Il contrôle également le type de trafic généré à l'extérieur et guide sur votre réseau privé. Le trafic non inclus dans les règles est bloqué et les enregistrements correspondants sont entrés dans le fichier de protocole. Y compris les pare-feu sont généralement plus sûrs que d'éliminer, car ils réduisent de manière significative le risque de transmettre le trafic indésirable par le pare-feu.

La sécurité peut être encore améliorée à l'aide d'un "pare-feu avec une économie d'état". Un tel pare-feu économise des informations sur les connexions ouvertes et permet uniquement de trafic via des connexions ouvertes ou d'ouvrir de nouvelles connexions. L'inconvénient du pare-feu avec la préservation de l'État est qu'il peut être vulnérable aux attaques de DOS (déni de service, refus de maintenir) si l'ensemble de nouvelles connexions s'ouvre très rapidement. La plupart des pare-feu permettent de combiner le comportement avec l'économie d'état et sans stocker un état, ce qui vous permet de créer une configuration optimale pour chaque système spécifique.

Par exemple, vous pouvez envisager la création de règles de filtrage dans un simple filtre de lots. Il existe plusieurs paramètres possibles lors de la filtration des paquets. Le plus simple est le filtrage de l'adresse; Il consiste à comparer des adresses dans un paquet avec des adresses enregistrées dans les règles. Si les adresses coïncident, le colis est ignoré. Cette comparaison est faite comme suit:

1. Vous pouvez envisager la règle suivante: Tous les hôtes hôtes 10.1.x.x peuvent interagir avec les hôtes réseau 10.2.x.x. Il est écrit cette règle de la manière suivante:

10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
--- Source - - Objet -

Vous pouvez maintenant appliquer la règle à l'emballage, qui est expédié de l'hôte 10.1.1.2 à l'hôte 10.3.7.7. Nous proposons un masque aux deux adresses - l'adresse de la règle et de l'adresse dans le paquet. Ensuite, il est vérifié si les adresses source et de destination sont identiques. En conséquence, nous aurons:

Pour l'adresse source:

10.1.0.0 et 255.255.0.0 \u003d 10.1.0.0 (pour la règle)
10.1.1.2 et 255.255.0.0 \u003d 10.1.0.0 (pour emballage)

Après avoir appliqué le masque, les deux adresses coïncident. Vérifiez maintenant l'adresse de destination:

10.2.0.0 & 255.255.0.0 \u003d 10.2.0.0 (pour la règle)
10.3.7.7 & 255.255.0.0 \u003d 10.3.0.0 (pour emballage)

Étant donné que les adresses de l'affectation du paquet et des règles après avoir appliqué le masque ne correspondent pas, cette règle ne doit pas être appliquée à ce package.

Cette opération est effectuée tout au long de la liste des adresses et des masques de source et de la destination jusqu'à la fin de la liste ou jusqu'à ce que le colis soit satisfait de l'une des règles. La liste des règles a le format suivant:

10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0

Outre les adresses source et de destination, chaque paquet IP contient des informations sur le protocole et le service. Il peut être utilisé comme paramètre de filtrage supplémentaire.

Par exemple, des services dans protocole TCP Toujours associé au port. En conséquence, vous pouvez apporter la liste des ports avec des adresses.

Nous utilisons par exemple deux services familiers - POP3 et HTTP. POP3 utilise le port 110 et HTTP est le port 80. Par conséquent, nous pouvons ajouter ces ports dans la description de la règle. En conséquence, nous obtenons:

10.1.0.0 et 255.255.0.0 - 10.2.0.0 & 255.255.0.0 TCP 80 110
- Source - - Objet - Protocole - Ports -

Cette règle permet à chaque paquet de la prochaine version 10.1.x.x au réseau 10.2.x.x et à l'aide de services HTTP et POP3, passez à travers le pare-feu.

Premièrement, les adresses de la règle sont comparées aux adresses de paquet. Si, après avoir superposé le masque, les deux adresses correspondent, le protocole et le port de destination dans l'emballage seront comparés au protocole et la liste des ports décrits dans la règle. Si le protocole coïncide et que le port de la règle est identique au port de paquets, un tel paquet répond à la règle. Sinon, la recherche sera poursuivie dans la liste des règles.

Compte tenu de cette nouvelle information, l'ensemble des règles aura le format suivant:

10.1.1.1.2 & 255.255.255.255 - 10.2.0.0 & 255.255.0.0 UDP 53
10.3.3.2 et 255.255.255.255 - 10.1.2.1 & 255.255.255.255 TCP 80
10.1.1.0 & 255.0.0.0 - 10.2.3.0 & 255.255.255.0 TCP 21 20 113
10.1.0.0 et 255.255.0.0 - 10.2.0.0 et 255.255.0.0 ICMP 0 8

En plus de ces paramètres de filtrage de base, vous pouvez en ajouter quelques points de plus. L'un d'entre eux est l'interface de réseau source; En utilisant le nom de l'interface réseau comme paramètre de filtrage, vous pouvez autoriser des paquets avec certaines adresses uniquement à partir de l'interface spécifiée.

Le but d'une telle procédure est de bloquer l'attaque appelée spoofing IP, dont l'essentiel est que le colis est envoyé au réseau interne avec la fausse adresse de la source (du réseau interne). Lorsqu'il est utilisé comme nom d'interface réseau, vous pouvez facilement bloquer ce type d'attaque. Par exemple, si le réseau interne interagit avec le pare-feu via l'interface DE0, il vous suffit de définir les règles que les packages avec l'adresse source du réseau interne ne doivent être prises que si elles provenaient de cette interface; Dans tous les autres cas, ils seront jetés.

Dans les camarades de classe

\\ 06.04.2012 17:16

Le pare-feu est un ensemble de tâches pour empêcher l'accès non autorisé, les dommages ou les données distinctives, ou tout autre impact négatif, ce qui peut affecter les performances du réseau.

Pare-feu, on appelle aussi farfelu(Du feu de pare-feu) ou d'un pare-feu sur la passerelle vous permet de sécuriser l'accès de l'utilisateur à Internet, tout en protégeant la connexion distante aux ressources internes. Pare-feu On le répète tout le trafic passant entre les segments de réseau et que chaque paquet implémente une solution - à sauter ou à ne pas manquer. Le système flexible des règles du pare-feu vous permet d'interdire ou de résoudre les connexions sur de nombreux paramètres: adresses, réseaux, protocoles et ports.

Méthodes de contrôle de la circulation entre le réseau local et externe

Filtrage de paquet. Selon si l'emballage entrant satisfait aux conditions spécifiées dans les conditions de filtrage, elle est transmise au réseau ou jeté.

Inspection d'état. Dans ce cas, l'inspection du trafic entrant est l'une des méthodes les plus avancées de mettre en œuvre le pare-feu. L'inspection implique une analyse de l'ensemble du package, mais uniquement de sa partie clé spéciale et de sa comparaison avec des valeurs pré-connues de la base de données des ressources autorisées. Cette méthode offre la plus grande performance du pare-feu et des plus petits retards.

Server proxy. Dans ce cas, un serveur proxy supplémentaire est installé entre les réseaux locaux et externes, qui sert de "porte" à travers laquelle tout le trafic entrant et sortant devrait être organisé.

Pare-feu Vous permet de configurer des filtres responsables du trafic de transmission de:

Adresse IP. En définissant une adresse ou une plage spécifique, vous pouvez interdire les packages d'eux, ou inversement permettre l'accès uniquement à partir des données des adresses IP.

- Port. Un pare-feu peut configurer des points d'accès aux applications aux services réseau. Par exemple, FTP utilise le port 21 et les applications de visualisation du port de pages Web 80.

Protocole. Le pare-feu peut être configuré pour sauter des données uniquement n'importe quel protocole ou interdire l'accès à son utilisation. Le plus souvent, le type de protocole peut parler des tâches utilisées par l'application et l'ensemble des paramètres de protection. À cet égard, l'accès peut être configuré uniquement pour effectuer une seule application spécifique et empêcher l'accès potentiellement dangereux à l'aide de tous les autres protocoles.

Nom de domaine. Dans ce cas, le filtre interdit ou permet de connecter des ressources spécifiques. Cela vous permet d'interdire l'accès des services indésirables et des applications réseau, ou inversement à leur permettre uniquement.

Les autres paramètres pour les filtres sont également utilisés pour configurer, caractéristique de ce réseau particulier, en fonction des tâches effectuées.

Le plus souvent, le pare-feu est utilisé dans un complexe avec d'autres moyens de protection, par exemple un logiciel antivirus.

Le principe du pare-feu

Pare-feu Peut être complété:

Matériel. Dans ce cas, le rôle du pare-feu matériel est un routeur situé entre l'ordinateur et Internet. Plusieurs ordinateurs peuvent être connectés au pare-feu et tous seront protégés par un pare-feu, qui sert de membre du routeur.

Logiciel. Le type de pare-feu le plus courant, qui est un logiciel spécialisé que l'utilisateur s'installe sur son PC.

Même si le routeur avec un pare-feu intégré est connecté, le pare-feu logiciel pour chaque ordinateur peut également être installé séparément. Dans ce cas, l'attaquant sera plus difficile à pénétrer dans ce système.

Documents officiels

En 1997, un document directeur de la Commission de Gostekh sous le président de la Fédération de Russie " Équipement informatique. Écrans de pare-feu. Protection contre NSD à l'information. Indicateurs de protection de la NSD à l'information. "Ce document définit cinq classes de la sécurité du pare-feu, chacune caractérisée par un certain ensemble minimal d'exigences de protection des informations.

En 1998, un autre document a été développé: «Exigences temporaires pour les périphériques de type pare-feu». Selon ce document, 5 classes du pare-feu sont établies, qui sont utilisées pour protéger les informations dans des systèmes automatisés contenant des outils cryptographiques.

Depuis 2011, les exigences relatives à la législation sur la certification des pare-feu sont entrées en vigueur. Ainsi, si vous travaillez avec des données à caractère personnel est effectué dans le réseau de l'entreprise, il est nécessaire d'installer un pare-feu certifié par le service fédéral du contrôle des exportations (FSTec).

Récemment, il y a eu tendance à limiter la vie privée sur Internet. Cela est dû aux limitations qui indiquent que la réglementation de l'Internet impose à l'utilisateur. La réglementation de l'État d'Internet existe dans de nombreux pays (Chine, Russie, Biélorussie).

Scam "ASIA NOM DE DOMAINE Scam" dans Runet! Vous avez enregistré ou acheté un domaine et créé un site dessus. Les années vont, le site se développe, devient populaire. Voici déjà un revenu de celui-ci "crack". Vous obtenez votre revenu, payez pour le domaine, l'hébergement et d'autres dépenses ...