Главная arrow Термины arrow Сетевые технологии arrow ЗАЩИТНЫЙ ЭКРАН [FireWall, firewall]

ЗАЩИТНЫЙ ЭКРАН [FireWall, firewall]

Брандмауэр - это, Что такое брандмауэр, Определение термина брандмауэр, Агент, Прокси, Прокси-сервер, Анонимный CGI прокси сервер, Анонимайзер, Анализ системного журнала, Безопасность обеспечиваемая хостом, Виртуальная сеть, Защищенная подсеть, Защищенный шлюз хоста, Зона риска, Обнаружение нападения, Ограничение полномочий, Основной принцип защиты, Периметр безопасности, Политика безопасности, Преобразующий маршрутизатор, Режим разрушения, Сетевой экран, Срок хранения системного журнала, Устройство аутентификации, Хост-бастион, Шифрующий маршрутизатор, Шлюзовой экран, Экранирующий маршрутизатор, Экранирующий шлюз, Эшелонированная оборона, Authentication, Authorisation, Accounting, Authentication, Authorisation, Administration, Intrusion Detection System, Intrusion Prevention System, LAN Security Architecture, Equalizer, Bit error rate, Error correction, Error detection, Error level

1. Узел сети, служащий барьером для предотвращения передачи трафика из одного сегмента в другой. Межсетевой защитный экран используется как для уменьшения трафика, так и для повышения безопасности сети; может работать в качестве барьера между частной сетью и сетью общего пользования; может быть реализован с помощью маршрутизатора или другого специального сетевого устройства.
2. Применительно к Интернету и Интранету: система защиты средств технического, программного и информационного обеспечения компьютерной сети от несанкционированного доступа и различного рода действий, связанных с нарушением их штатной работы или состояния. Строится на гибком использовании механизмов разрешающего и запрещающего действия, работа которых основана на принципах фильтрации данных.
В составе защитного экрана могут использоваться:
 - экранирующий шлюз —часть защитного экрана, управляющая отдельными видами сервиса и обеспечивающая безопасное обслуживание ими. Реализует связь между корпоративными и открытыми сетями. Состоит из программ, поддерживающих распространенные виды сервиса сетей Интернета (WWW, FTP, Gopher и др.), называемые сервисными агентами. В процессе сеанса экранирующий шлюз производит детальную аутентификацию пользователей и только после этого разрешает или запрещает им связь с сетью. Преимущество экранирующих шлюзов — высокая надежность; недостатки — повышенная сложность (в том числе работы для пользователей), узкая специализация, требующая установки для каждого нового сервиса дополнительных агентов, и сравнительно небольшая скорость передачи данных;
 - пакетный фильтр, экранирующий маршрутизатормаршрутизатор, обеспечивающий передачу данных по адресу, установленному системным администратором, а не по указанному в пакете. Это позволяет построить зону так называемой статической маршрутизации, включив в нее наиболее безопасные почтовые серверы. Фильтры этого типа оперируют наиболее полными данными о топологии сети и направлениях передачи информации. Недостатки: сложность определения факта их "взлома", отсутствие возможности гибкой оптимизации маршрутов передачи данных с учетом содержания сообщений, их количественных и других показателей;
 - транспортный фильтрфильтр, управляющий сеансами связи. Во время открытия информационного канала и обмена сообщениями он может проверять соответствие адресов, записывать необходимые данные в системный журнал, контролировать количественные показатели передаваемых сообщений и выполнять другие действия транспортного назначения. Наиболее распространенные критерии, используемые для блокировки связи: адресные данные (подсети или порта отправителя и/или получателя данных), вид сервиса, время его запроса или предоставления и т.д. Достоинства: возможности реализации более полного контроля передаваемых данных, предупреждения о нападении, нахождения ошибок управления и конфигурации экранов, отслеживания подделки адресов, а также блокировки при необходимости вызова соответствующего сервиса.
Другие термины, связанные с защитным экраном
 - Агент, прокси [proxy]
1. Программное обеспечение, установленное на защитном экране, которое действует от имени внутреннего пользователя корпоративной сети. Агент устанавливает связь с внешним пользователем, аутентифицирует его и разрешает или запрещает использовать ресурсы данной сети.
2. Компьютер, который функционирует как интерфейс между двумя вычислительными системами, использующими различные стандарты, форматы или протоколы.
 - Прокси-сервер [proxy server] — вспомогательный (промежуточный) Web-сервер, используемый как посредник между браузером и Web-сервером. Основное назначение прокси-сервера — обеспечить защиту локальной сети от атак. Помимо этого он выполняет функции экономии объема трафика и увеличения скорости доступа к данным за счет их кэширования на своем локальном диске. Использование прокси-сервера способно также привести к экономии IP-адресов корпоративной сети, поскольку в этом случае необходим всего лишь один публичный IP-адрес.
 - Анонимный CGI прокси сервер, анонимайзер [anonymous CGI proxy server] — CGI прокси-сервер, который дает знать удаленному Web-серверу о том, что с ним работает proxy, однако IP-адрес своего клиента ему не сообщает. Отдельную категорию анонимных CGI прокси-серверов, находящихся в свободном доступе в Интернете, составляют так называемые реальные анонимные CGI прокси-серверы, которые не дают знать Web-серверу о том, что он работает не с клиентом, а с ним.
 - Анализ системного журнала [log processing] — процесс проверки системного журнала, поиск в нем признаков атаки и составление отчетов.
 - Безопасность, обеспечиваемая хостом [host-based security] — защита ЭВМ каждого абонента сети, обеспечиваемая программно-аппаратными средствами хоста.
 - Виртуальная сеть [virtual network perimeter] — защищаемая сеть, которая разбита на несколько сегментов, связанных в единую систему защищенными каналами через ненадежные сети.
 - Защищенная подсеть [screened subnet] — подсеть (часть сети), защищенная экранирующим маршрутизатором. Уровень ее доступности и безопасности определяется установленными на маршрутизаторе правилами фильтрации данных.
 - Защищенный шлюз хоста [screened host gateway] — конфигурация защитного экрана, основанная на использовании экранирующего маршрутизатора хоста. Уровень доступности и безопасности защищенных ЭВМ зависит от установленных для маршрутизатора правил фильтрации данных.
 - Зона риска [zone of risk] —ЭВМ корпоративной сети, которые могут быть доступны для пользователей при правильной работе защитного экрана. Чтобы обнаружить на них нападение, администратору системы достаточно контролировать лишь зону риска.
 - Обнаружение нападения [intrusion detection] — поиск признаков нападения в системных журналах или других средствах контроля и регистрации работы вычислительной системы.
 - Ограничение полномочий [least privilege] —принцип реализации безопасности, в соответствии с которым для каждого пользователя устанавливается необходимый минимум доступных ему полномочий, чем достигается сокращение процессов авторизации и вероятности несанкционированных действий пользователей.
 - Основной принцип защиты [stance] — стратегия построения защитного экрана, в соответствии с которой "запрещено все, кроме необходимого" или "разрешено все, кроме опасного".
 - Периметр безопасности [perimeter-based security] — контроль доступа во всех пунктах выхода корпоративной сети к глобальной.
 - Политика безопасности [policy] — совокупность правил, регламентирующих работу защищаемых средств, а также мер и действий, обеспечивающих их надежную защиту.
 - Преобразующий маршрутизатор [tunneling router] —маршрутизатор или шлюз, шифрующий поток данных для передачи его через ненадежные сети.
 - Режим разрушения [failure mode] — характеристика устанавливаемого уровня защиты при настройке экранирующей системы.
 - Сетевой экран [Network-Level FireWall] — защитный экран, который контролирует поток данных на уровне IР-пакетов.
 - Срок хранения системного журнала [log retention] — установленное регламентом сети время хранения и анализа системных журналов.
 - Устройство аутентификации [authentification token] — портативное устройство, используемое для аутентификации пользователя. В основе его работы могут быть заложены различные принципы и алгоритмы (например, "Запрос/ответ", "Списки одноразовых паролей").
 - Хост-бастион, компьютер-бастион [bastion host] — наиболее защищенная ЭВМ, которая устанавливается в самом уязвимом месте корпоративной сети для создания надежной экранирующей системы.
 - Шифрующий маршрутизатор [encrypting router].
 - Шлюзовой экран [dual homed gateway] — экранирующая ЭВМ, связанная каналами передачи данных с двумя или более различными сетями. Блокирует прямую передачу IP-пакетов между разделяемыми сетями.
 - Экранирующий маршрутизатор [screening router] —маршрутизатор, фильтрующий пакеты в соответствии с набором правил, установленных администратором сети.
 - Экранирующий шлюз [application-level FireWall] — фильтр, который является посредником между пользователями различных сетей. Установление прямого канала связи между отправителем и получателем информации блокируется.
 - Эшелонированная оборона [defence in depth] —принцип построения системы безопасности, при котором защита устанавливается как на общесистемном уровне (например защитный экран), так и на уровнях отдельных ее звеньев, включая ЭВМ конечных пользователей.
 - AAA (Authentication, Authorisation, Accounting) —"Аутентификация, авторизация, учет": дополнительная к защитному экрану совокупность мер защиты вычислительных систем и их сетей как от внешних, так и внутренних атак.
Аутентификация в телекоммуникационных системах осуществляется под контролем протокола IEEE 802.IX и открытого протокола аутентификации ЕАР (Extensible Authentication Protocol). Функции учета —при помощи протокола RADIUS.
 - ААА, ЗА (Authentication, Authorisation, Administration) —"Аутентификация, авторизация, администрирование": наименование новой концепции построения комплексной системы информационной безопасности корпоративных сетевых инфраструктур, которая предполагает многоуровневое эшелонированное построение средств их защиты от разнородных видов угроз и централизованное управление ими.
 - IDS (Intrusion Detection System) —"Система обнаружения вторжений, СОВ"
1. Один из видов средств защиты, предназначенных для контроля попыток и фактов несанкционированного доступа в информационные системы (локальные и/или распределенные) —ID (Intrusion Detection). Учитывая принцип действия систем обнаружения вторжений, который непосредственно не связан с поиском и устранением уязвимых мест защищаемой системы, их принято относить к пассивным средствам защиты. Различают два вида СОВ: создаваемых на базе сети NIDS (Network Intrusion Detecting Systems) и на базе хоста HIDS (Host Intrusion Detecting Systems). В подмножество сетевых подвидов СОВ входят системы наблюдения только за одним узлом сети NNIDS (Network Node IDS).
2. Программный модуль, используемый в защитных экранах для автоматического обнаружения попыток и/или фактов несанкционированного доступа к сети, блокировки сети и аварийной сигнализации. С 2002-2003 гг. модули информационной безопасности стали встраиваться в сетевую инфраструктуру (маршрутизаторы и коммутаторы), а ПО управления — интегрировать с системами управления сетью.
 - IPS (Intrusion Prevention System) — "Система предотвращения вторжений": программный модуль, предназначенный для защиты каналов связи. В настоящее время функции IPS и IDS обычно интегрируют в одном устройстве (ID&PS). Они образуют второй уровень в комплексной системе защиты сети.
 - LSA (LAN Security Architecture) — "Архитектура безопасности ЛВС" технология защиты данных в ЛВС, запатентованная фирмой 3Com. Основана на применении для каждого порта концентратора специальной микросхемы LSA, которая отключает незарегистрированных пользователей, вносит искажения в пакеты данных, не предназначенных для принимающих их пользователей, и предупреждает администратора сети о попытках несанкционированного доступа.
Ошибки и искажения передачи данных, средства их коррекции
 - Equalizer — устройство, компенсирующее амплитудные, частотные и фазовые искажения, а также затухание сигнала.
 - Bit error rate — "Вероятность ошибок": отношение числа битов, принятых с ошибками, к общему числу переданных битов. Обычно измеряется числом, являющимся отрицательной степенью десяти.
 - Error correction — "Исправление ошибок": метод восстановления целостности данных, принятых с ошибками. Существуют два основных метода исправления ошибок: преобразования полученной избыточной информации и посылкой запроса на повтор данных.
 - Error detection —"Обнаружение ошибок": методы обнаружения ошибок: анализ битов четности, а также вычисление контрольной суммы блока и последующее ее сравнение со значением, переданным вместе с блоком.
 - Error level —"Уровень ошибок": численное значение частоты появления ошибок передачи данных. Используется, например, в концентраторах для предотвращения аварийных ситуаций: если уровень ошибок данных, следующих через порт, достигает определенного порога, то порт отключается.