Особливості застосування мережевих екранів у локальних комп’ютерних мережах
Анотація: Розглянуто теоретичні аспекти застосування мережевих екранів для захисту інформації в локальних комп’ютерних мережах, проведено аналіз характеристик існуючих моделей апаратних мережевих екранів
Бібліографічний опис статті:
Максим Карнаух. Особливості застосування мережевих екранів у локальних комп’ютерних мережах//Наука онлайн: Міжнародний електронний науковий журнал - 2020. - №11. - https://nauka-online.com/publications/technical-sciences/2020/11/osoblivosti-zastosuvannya-merezhevih-ekraniv-u-lokalnih-komp-yuternih-merezhah/
Технічні науки
УДК 004.732
Карнаух Максим Юрійович
студент
Національного технічного університету України
“Київський політехнічний інститут імені Ігоря Сікорського”
ОСОБЛИВОСТІ ЗАСТОСУВАННЯ МЕРЕЖЕВИХ ЕКРАНІВ У ЛОКАЛЬНИХ КОМП’ЮТЕРНИХ МЕРЕЖАХ
Анотація. Розглянуто теоретичні аспекти застосування мережевих екранів для захисту інформації в локальних комп’ютерних мережах, проведено аналіз характеристик існуючих моделей апаратних мережевих екранів
Ключові слова: локальна мережа, мережевий екран, захист інформації.
Створення захищеної системи — завдання комплексне. Один із заходів забезпечення безпеки — використання мережевих екранів (фаєрволів). Відомо, що мережеві екрани бувають програмними і апаратними. Використання мережевих екранів підвищує рівень безпеки в локальних мережах та особливо потрібно, якщо необхідний зв’язок з глобальною мережею. Мережевий екран може бути у вигляді окремого апаратного приладу або програмного забезпечення [1-2].
Фаєрвол мережного рівня представлений екрануючим маршрутизатором. Він контролює лише дані службової інформації пакетів мережевого і транспортного рівнів моделі OSI. Недоліком таких маршрутизаторів є те, що ще п’ять рівнів залишаються неконтрольованими. Також слів враховувати, що у більшості приладів, що здійснюють фільтрацію пакетів, відсутні механізми аудиту та подачі сигналу тривоги. Іншими словами, маршрутизатори можуть піддаватися атакам і відбивати велику їх кількість, а адміністратори навіть не будуть проінформовані [3].
Серед завдань, які вирішують мережеві екрани, основним є захист сегментів мережі або окремих хостів від несанкційованого доступу з використанням вразливих місць в протоколах мережевої моделі OSI або в програмному забезпеченні, встановленому на комп’ютерах мережі. Мережеві екрани пропускають або забороняють трафік, порівнюючи його характеристики з заданими шаблонами [4].
Для розгляду та аналізу мережевих екранів була використана класифікація мереж за швидкістю передачі інформації. Комп’ютерні мережі були поділені на наступні:
Низькошвидкісні. До них відносяться ті мережі, швидкість передачі даних, яких становить 100 Мбіт в секунду або менше.
Середньошвидкісні. Ті мережі, швидкість передачі даних, яких становить більше 100 Мбіт в секунду, проте менше або дорівнює 1000 Мбіт.
Високошвидкісні. Відносяться ті, які здатні передавати дані зі швидкістю понад 1000 Мбіт в секунду.
Найбільш поширене місце для встановлення мережевих екранів — межа периметра локальної мережі для захисту внутрішніх хостів від атак ззовні [5].
Схема порівняння переваг апаратних та програмних мережевих екранів зображена на рисунку 1.
Рис. 1. Схема порівняння переваг програмних та апаратних екранів
Для низько- та середньошвидкісних мереж більш прийнятно використовувати програмні мережеві екрани, так як вони мають ряд переваг саме для таких типів локальних мереж, а саме: вартість – програмні мережеві екрани коштують в декілька разів дешевше, ніж апаратні; можливість захисту кожної робочої станції, так як зазвичай в низько- та середньошвидкісних мережах набагато менше робочих станцій, ніж в високошвидкісних; можливість розгортання на вже існуючих серверах, тоді теж зникає необхідність в придбанні окремого апаратного рішення, економічне питання є вкрай важливим для низько- та середньошвидкісних локальних мереж.
Більшість програмних мережевих екранів мають стандартні функції сканування та фільтрації портів, блокування вхідного та вихідного трафіку, можливість створення персональних користувацьких політик та правил, за якими відповідно і буде виконуватись фільтрація мережевого трафіку.
Перевага в використанні апаратних мережевих екранів перед програмними в тому, що апаратний захищає загалом локальну мережу, а не окремі робочі станції чи сегменти мережі. Апаратні мережеві екрани можуть бути реалізовані у вигляді додаткових модулів для маршрутизаторів, так звані екрануючі маршрутизатори, або у вигляді окремих мережевих пристроїв. Далі в таблиці 1 розглянуті саме характеристики пристроїв популярних виробників мережевого обладнання, реалізованих у вигляді окремих апаратних рішень
Таблиця 1
Порівняльний аналіз апаратних мережевих екранів
Характеристики | Firebox XTM 830 | Cisco ASA 5580-40 | Juniper NetScreen 5400 |
URL-фільтрування | + | + | + |
Блокування спаму в режимі реального часу | + | – | + |
Пропускна здатність брандмауера (Мбіт / с) | 5 000 | 10 000 | 30 000 |
Пропускна спроможність VPN (Мбіт / с) | 1700 | 2 000 | 15 000 |
Порти типу E Standard (10/100/1000) | 6 | 8 | 8 |
Порти 10 Гб | 0 | 2 | 2 |
Дані моделі апаратних мережевих екранів виконують стандартні функції, якими характеризуються саме апаратні фаєрволи. Всі 3 розглянуті рішення мають функції URL-фільтрування, екрани виробництва Firebox та Juniper мають доповнення у вигляді функції блокування спаму в режимі реального часу. Головними відмінностями між даними мережевими екранами є їх пропускна здатність в режимі брандмауера, пропускна здатність VPN- з’єднання, кількість одночасних VPN-з’єднаннь. Ключовий недолік екрану Firebox XTM 830 в тому, що у ньому не присутні 10 Гб порти, що для сьогоднішніх високошвидкісних мереж є значним недоліком і якщо, навіть на даний момент немає необхідності в наявності 10 Гб порту, то для розширення мережі в майбутньому це може бути ключовим фактором при виборі конкретного апаратного мережевого екрану. У моделей Cisco ASA 5580-40 та Juniper NetScreen 5400 порти 10 Гб присутні у кількості 2 штук. І вибір між цими 2 моделями мережевих екранів залежить вже від конкретних задач та бюджету для кожного окремого випадку.
Література
- Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 2-е изд. СПб.: Питер, 2002. 864 с.
- Фаронов А. Е. Основы информационной безопасности при работе на компьютере. ИНТУИТ, 2016. 155 с.
- Лапонина О. Р. Межсетевое экранирование. Бином, 2014. 343 с.
- Лебедь С. В. Межсетевое экранирование. Теория и практика защиты внешнего периметра. МГТУ им. Н. Э. Баумана, 2002. 306 с. ISBN 5-7038-2059-6
- Оглрти Т. Firewalls. Практическое применение межсетевых экранов. М.: ДМК, 2003. 401 с.
Коментарі закрито.
To comment on the article - you need to download the candidate degree and / or doctor of Science