Інформаційні технології та моделювання бізнес-процесів - Томашевський О.М. -
10.4. Призначення міжмережних екранів

В даний час питанням безпеки даних у розподілених комп'ютерних системах приділяється значна увага. Розроблено ряд засобів для забезпечення інформаційної безпеки, призначених для використання на різних комп'ютерах з різними операційними системами (ОС). У якості одного з напрямів можна виділити міжмережні екрани (firewalls), призначені контролювати доступ до інформації з боку користувачів зовнішніх мереж.

Сформулюємо проблему міжсіткового екранування. Нехай існують дві інформаційні системи чи дві множини інформаційних систем (комп'ютерних мереж). Екран тоді буде засобом розмежування доступу клієнтів з однієї множини систем до інформації, що зберігається на серверах в іншій множині. Екран виконує свої функції, контролюючи всі інформаційні потоки між цими двома множинами інформаційних систем, працюючи як своєрідна "інформаційна мембрана" (рис.10.5). У цьому сенсі екран можна уявляти собі як набір фільтрів, що аналізують інформацію, яка через них проходить, і, на основі закладених у нього алгоритмів, приймає рішення: пропустити цю інформацію, чи відмовити в її пересиланні.

Схема використання міжсіткового екрану

Рис.10.5. Схема використання міжсіткового екрану

Крім того, така система може виконувати реєстрацію подій, пов'язаних із процесами розмежування доступу. Зокрема, фіксувати всі "сумнівні" спроби доступу до інформації і додатково сигналізувати про ситуації, що вимагають негайної реакції адміністратора.

Звичайно системи для екранування роблять несиметричними. Для екранів визначаються поняття "усередині" і "зовні", і завдання екрану полягає в захисті внутрішньої мережі від "потенційно ворожого" оточення. Найяскравішим прикладом потенційно ворожої зовнішньої мережі є Інтернет.

Розглянемо більш докладно, які проблеми виникають при побудові систем, що екранують. При цьому ми будемо розглядати не тільки проблему безпечного підключення до мережі Інтернет, але і розмежування доступу усередині корпоративної мережі організації:

1. забезпечення безпеки внутрішньої (що захищається) мережі і повний контроль над зовнішніми підключеннями і сеансами зв'язку;

2. екрануюча система повинна мати потужні і гнучкі засоби керування для простого і повного втілення в життя політики безпеки організації і, крім того, забезпечення простої реконфігурації системи при зміні структури мережі;

3. екран повинен працювати непомітно для користувачів локальної мережі і не ускладнювати виконання ними легальних дій;

4. екрануюча система повинна працювати досить ефективно і встигати обробляти весь вхідний і вихідний трафік у "пікових" режимах. Це необхідно для того, щоб екран не можна було, образно говорячи, "закидати" великою кількістю викликів, які привели би до порушення її роботи;

5. система має бути сама надійно захищена від будь-яких несанкціонованих впливів, оскільки вона є ключем до конфіденційної інформації в організації;

6. оптимально, якщо в організації є кілька зовнішніх підключень, у тому числі й у віддалених філіях, із централізованим забезпеченням проведення єдиної політики безпеки;

7. система міжмережного екранування повинна мати засіб авторизації доступу користувачів через зовнішні підключення. Типовою є ситуація, коли частині персоналу в процесі роботи потрібний віддалений доступ до деяких ресурсів внутрішньої комп'ютерної мережі організації (наприклад, у відрядженні).

Класичним прикладом, в якому дотримані наведені вище принципи, є програмний комплекс Solstice FireWall компанії Sun Microsystems. Даний пакет неодноразово відзначався нагородами на виставках і конкурсах. Він має багато корисних особливостей, що вигідно виділяють його серед продуктів аналогічного призначення.

10.5. Особливості взаємодії комп'ютерів у обчислювальній мережі гетерогенної архітектури
10.6. Особливості взаємодії комп'ютерів у обчислювальній мережі клієнт-серверної архітектури
11. Технології глобальної мережі Інтернет
11.1. Основи структури та функціонування мережі Інтернет
11.2. Протоколи і сервіси мережі Інтернет
11.3. Призначення пошукових роботів
Великі обсяги динамічного матеріалу
Критерії індексування web-сторінок
Альтернативи для пошуку ресурсів
11.4. Принципи функціонування пошукової системи Google