Межсетевые экраны. Способы организации защиты (Firewall) презентация

Содержание

Слайд 2

Содержание Межсетевые экраны. Способы организации защиты (Firewall) Межсетевой экран (Firewall)

Содержание

Межсетевые экраны. Способы организации защиты (Firewall)
Межсетевой экран (Firewall)
Классификация межсетевых экранов
Фильтрующие маршрутизаторы
Шлюзы сеансового

уровня (Сервер аутентификации) AAA
Шлюзы уровня приложений (firepower) Фильтры уровня приложений
Защита сети от несанкционированного доступа из Интернет
Защита корпоративной сети на основе межсетевого экрана
Слайд 3

Содержание Классификация межсетевых экранов Cisco ASA и PIX Firewall. Характеристики

Содержание

Классификация межсетевых экранов
Cisco ASA и PIX Firewall. Характеристики
Алгоритм ASA (Adaptive Security

Algorithm)
Технология аутентификации - Cut-through proxy
Инспектирование протоколов и приложений
Виртуальный firewall (Security Context)
Поддержка отказоустойчивости (Failover)
Прозрачный firewall (Transparent firewall)
Управление через Web интерфейс
Слайд 4

Слайд 5

Межсетевой экран (Firewall) Межсетевой экран — это система межсетевой защиты,

Межсетевой экран (Firewall)

Межсетевой экран — это система межсетевой защиты, позволяющая разделить

каждую сеть на две и более части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую.

Глобальная сеть Интернет создавалась как открытая система, предназначенная для свободного обмена информацией. В силу открытости своей идеологии Интернет предоставляет злоумышленникам значительные возможности по проникновению в информационные системы.
Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать межсетевые экраны.

Слайд 6

Классификация межсетевых экранов экранирующий шлюз (прикладной шлюз), синоним Шлюзы уровня

Классификация межсетевых экранов
экранирующий шлюз (прикладной шлюз), синоним Шлюзы уровня приложений.
экранирующий транспорт

(шлюз сеансового уровня),- синоним здесь Шлюзы сеансового уровня.
экранирующий маршрутизатор (пакетный фильтр); - синоним здесь описан как Фильтрующие маршрутизаторы. (фильтрует заголовки)

Файрвалл роботает на 4 уровне

Слайд 7

Фильтрующие маршрутизаторы Фильтрация IP-пакетов на основе группы полей заголовка пакета:

Фильтрующие маршрутизаторы

Фильтрация IP-пакетов на основе группы полей заголовка пакета:
IP-адрес отправителя;
IP-адрес получателя;
порт

отправителя;
порт получателя;
Флаги (пакет приходящий с таким-то флагом не пропускать, все входящие соединения с флагом setup мы отбрасываем).
Слайд 8

Фильтрующие маршрутизаторы Преимущества: невысокая стоимость; гибкость в определении правил фильтрации;

Фильтрующие маршрутизаторы

Преимущества:
невысокая стоимость;
гибкость в определении правил фильтрации;
небольшая задержка при прохождении пакетов.
Недостатки:
внутренняя

сеть маршрутизируется из сети Интернет;
правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;
при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
отсутствует аутентификация на пользовательском уровне.
Слайд 9

Шлюзы сеансового уровня (Сервер аутентификации) AAA

Шлюзы сеансового уровня (Сервер аутентификации) AAA

Слайд 10

Шлюзы уровня приложений (firepower) Файервалл уровня приложений Преимущества: невидимость структуры

Шлюзы уровня приложений (firepower) Файервалл уровня приложений

Преимущества:
невидимость структуры защищаемой сети из

глобальной сети Интернет;
надежная аутентификация и регистрация;
приемлемое соотношение цены и эффективности;
простые правила фильтрации;
возможность организации большого числа проверок;
Недостатки:
относительно низкая производительность по сравнению с фильтрующими маршрутизаторами;
более высокая стоимость по сравнению с фильтрующими маршрутизаторами.
Слайд 11

Недостатки применения межсетевых экранов большое количество остающихся уязвимых мест; неудовлетворительная

Недостатки применения межсетевых экранов

большое количество остающихся уязвимых мест;
неудовлетворительная защита от атак

сотрудников компании;
ограничение в доступе к нужным сервисам;
концентрация средств обеспечения безопасности в одном месте. Это позволяет легко осуществлять администрирование работы межсетевого экрана;
ограничение пропускной способности.
Слайд 12

Защита сети от несанкционированного доступа из Интернет аппаратно-программный или программный

Защита сети от несанкционированного доступа из Интернет

аппаратно-программный или программный межсетевой экран;
маршрутизатор

со встроенным пакетным фильтром;
специализированный маршрутизатор, реализующий механизм защиты на основе списков доступа;
операционная система семейства UNIX или, реже, MS Windows, усиленная специальными утилитами, реализующими пакетную фильтрацию.
Слайд 13

Защита корпоративной сети на основе межсетевого экрана семантическая фильтрация потоков

Защита корпоративной сети на основе межсетевого экрана

семантическая фильтрация потоков данных;
фильтрация на

основе сетевых адресов отправителя и получателя;
фильтрация запросов на транспортном уровне на установление виртуальных соединений;
фильтрация запросов на прикладном уровне к прикладным сервисам;
локальная сигнализация попыток нарушения правил фильтрации;
запрет доступа неизвестного субъекта или субъекта, подлинность которого при аутентификации не подтвердилась;
обеспечение безопасности от точки до точки: межсетевой экран, авторизация маршрута и маршрутизатора, туннель для маршрута и криптозащита данных и др.
Слайд 14

Классификация межсетевых экранов по исполнению: аппаратно-программный, программный; по функционированию на

Классификация межсетевых экранов

по исполнению:
аппаратно-программный,
программный;
по функционированию на уровнях модели OSI:
шлюз экспертного уровня,
экранирующий

шлюз (прикладной шлюз),
экранирующий транспорт (шлюз сеансового уровня),
экранирующий маршрутизатор (пакетный фильтр);
по используемой технологии:
контроль состояния протокола,
на основе модулей-посредников (proxy);
по схеме подключения:
схема единой защиты сети,
схема с защищаемым закрытым и не защищаемым открытым сегментами сети,
схема с раздельной защитой закрытого и открытого сегментов сети.
Слайд 15

Межсетевые экраны Cisco ASA и PIX Firewall ZyXEL ZyWALL 5

Межсетевые экраны

Cisco ASA и PIX Firewall

ZyXEL ZyWALL 5

D-LINK DFL-1600 Medium Business/Workgroup Firewall с ZoneDefense

Слайд 16

Cisco ASA и PIX Firewall. Характеристики Собственная операционная система (Proprietary

Cisco ASA и PIX Firewall. Характеристики

Собственная операционная система (Proprietary operating system)
Использование

алгоритма ASA (Adaptive Security Algorithm)
Поддержка user-based аутентификации (Cut-through proxy)
Инспектирование протоколов и приложений (Application-Aware Inspection)
Виртуальный фаервол (Security Context)
Поддержка избыточности (Failover)
Прозрачный фаервол (Transparent firewall)
Управление устройством через Web интерфейс (ASDM)
Слайд 17

Алгоритм ASA (Adaptive Security Algorithm) Внутренний хост инициирует соединение на

Алгоритм ASA (Adaptive Security Algorithm)

Внутренний хост инициирует соединение на внешний ресурс.
Cisco

ASA ( PIX Firewall ) делает запись следующей информации в таблицу состояния (state table):
Адрес источника и порт
Адрес назначения и порт
Дополнительные TCP/UDP флаги
Произвольно сгенерированный TCP sequence number
Данная запись называется объектом сессии (session object)
Объект сессии (session object) сравнивается с политикой безопасности. Если соединение не разрешено, объект сессии (session object) удаляется и соединение сбрасывается.
Если соединение одобрено политикой безопасности, адрес источника транслируется во внешний адрес, а запрос на соединение форвардится на внешний ресурс
Внешний ресурс отвечает на запрос
Cisco ASA ( PIX Firewall ) получает ответ и сравнивает его с объектом сессии (session object), если он совпадает, адрес назначениния транслируется снова в изначальный адрес и трафик приходит внутреннему хосту. Если ответ не совпадает с объектом сессии (session object), соединение сбрасывается.
Слайд 18

Пример объекта сессии

Пример объекта сессии

Слайд 19

Технология аутентификации - Cut-through proxy 1 - Пользователем инициируется FTP,

Технология аутентификации - Cut-through proxy

1 - Пользователем инициируется FTP, HTTP(S) либо

Telnet соединение на внутренний веб-сервер 2 - Cisco ASA ( PIX Firewall ) в ответ на это предлагает аутентификацию и пользователь вводит данные учетной записи. 3 - Cisco ASA ( PIX Firewall ) используя протокол TACACS+ либо RADIUS, связывается с сервером AAA, где пользователь успешно аутентифицируется. 4 - Открывается соединение с веб-сервером на сетевом уровне, информация о сессии записывается в таблицу соединений (connection table) и в дальнейшем трафик соединения инспектируется алгоритмом ASA.
Слайд 20

Инспектирование протоколов и приложений Требования в межсетевому экрану: Безопасно открывать

Инспектирование протоколов и приложений

Требования в межсетевому экрану:
Безопасно открывать и закрывать динамически

выделяемые порты или IP адреса на фаерволе для разрешенных клиет-серверных соединений.
Использовать сетевую трансляцию адреса (NAT) внутри IP пакета
Использовать трансляцию портов (PAT) внутри пакета
Инспектировать пакеты на предмет неправильного (злонамеренного) использования приложений.
Слайд 21

Виртуальный firewall (Security Context)

Виртуальный firewall (Security Context)

Слайд 22

Поддержка отказоустойчивости (Failover)

Поддержка отказоустойчивости (Failover)

Слайд 23

Прозрачный firewall (Transparent firewall)

Прозрачный firewall (Transparent firewall)

Слайд 24

Управление через Web интерфейс

Управление через Web интерфейс

Имя файла: Межсетевые-экраны.-Способы-организации-защиты-(Firewall).pptx
Количество просмотров: 72
Количество скачиваний: 2
- Предыдущая
Секрет происхождения арабских цифр
Следующая -
Создание классной газеты в программе Microsoft Office Publisher 2003 (мастер-класс)

Похожие презентации

Конституционное право. Методика изучения
Гласные буквы: е, ё, ю, я. Тест
Образовательная ситуация с использованием информационно-коммуникационных технологий В гостях у сказки для детей средней группы.
Системы счисления. Древние системы счисления
Development of technology of ultrasonic modification of starch in the cooling system
Шалкан әкиятенә презентация
Классный час Сталинградская битва
Наливные газавозы
: Плазма в атмосфере
Деление многозначных чисел на двузначное число
Международные стандарты в сфере разрешения таможенных споров. (Лекция 12)
Презентация Развитие профессиональной компетентности педагога в условиях совершенствования дополнительного образования детей
Работа гейм-дизайнера
Презентация (2) (копия) (копия)
презентация на тему Севастополь
Горно-транспортные машины
Совокупность видов борьбы и бокс
Дополнительное образование детей. Историческая ретроспектива
Схемотехнические основы компьютерной техники
Рентгенодиагностика и дифференциальная диагностика частных форм туберкулеза. Великий Р. Кох и его палочки
дидактическая игра Четвертый лишний
умножение и деление величин на число
Животные рекордсмены
Создание шаблона журнала в строительных работах
Химические элементы. Формирование понятия.
Рисунок в стиле японской живописи на компьютере в программе gimp
Презентация кружка Маленький мастер
Презентация Географический рисунок расселения и хозяйства
Обратная связь
Email: Нажмите что бы посмотреть