Вопрос: Общее описание

Ответ: 

Экономичный способ защиты сети от атак из Internet

Сеть Internet дает доступ к огромным объемам полезной информации. В настоящее время, с развитием электронной коммерции - еще и доступ сотням и тысячам потенциальных потребителей к информации о продуктах и услугах Вашей фирмы.

Вместе с тем сеть Internet неподконтрольна, и множество людей используют эту сеть с деструктивными намерениями, они атакуют компьютерные системы с целью извлечения незаконной выгоды, а чаще просто с целью разрушить их. Если раньше жертвами таких вторжений были сайты и внутренние сети крупных фирм и правительственных организаций, то в настоящее время ими становятся также небольшие и средние фирмы.

Поэтому компании, использующие в своей работе Internet, серьезно заботятся о безопасности своих внутренних сетей. Первое (и самое главное), что необходимо сделать для обеспечения сетевой безопасности, это установить и правильно сконфигурировать межсетевой экран (другое название - брандмауэр). Предназначение брандмауэра простое: он прозрачен для полезных данных, но ставит заслон на пути нежелательного (или злонамеренного трафика), приходящего извне, со стороны сети Internet.

Таким образом, небольшие и средние фирмы, старавшиеся раньше экономить на безопасности, теперь все чаще наряду с организацией доступа в интернет стараются установить в своей сети брандмауэр.

Также важно защитить сеть изнутри, для предотвращенния такого рода атак используется так называемая демилитаризованная зона (DMZ), представляющая собой третий сегмент защищенный извне, но и изолированный от остальной внутренней сети. Существуют брандмауэры программные и аппаратные. Для программных требуется машина, работающая под UNIX или Windows NT/2000. Для этого нужно подготовить лучше всего отдельный компьютер, установить на него все сервисные пакеты и "заплаты". Правильное конфигурирование и сопровождение такого брандмауэра - обязанность опытного системного администратора.

Другой вариант, приобретающий все большую популярность, - аппаратные брандмауэры. Для установки аппаратного брандмауэра нужно лишь подключить его в сеть и выполнить минимальное конфигурирование.

Программные брандмауэры работают на базе традиционных операционных систем, которые сами имеют слабые места, постоянно изучаемые и атакуемые хакерами. Аппаратные же брандмауэры почти всегда построены с использованием операционных систем, специально разработанных для этой цели.

Для защиты небольших сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей лучше использовать Интернет-шлюзы или Интернет-маршрутизаторы. В случае же, если необходимы большая производительность и гибкость настроек - необходимо использовать аппаратные межсетевые экраны с расширенными возможностями.

D-Link предлагает межсетевые экраны уровня малого офиса (Интернет-серверы и Интернет-маршрутизаторы) и уровня рабочих групп (Firewall). К первым относятся модели DI-604, DI-704P, DI-804v; ко врорым - DFL-500 и DFL-1000.

Межсетевые экраны DFL-500 и DFL-1000 защищают от сетевых атак, включая: SYN, ICMP, UDP Flood, WinNuke, сканирование портов, спуфинг, подмена адресов, отказ в обслуживании и др. Есть возможность настроить отправку предупреждений и оповещений об атаках администратору по почте. Оба устройства позволяют управлять входящим и исходящим трафиком, создавая индивидуальные правила доступа в Интернет для групп пользователей и индивидуально. Для обеспечения приоритетов доступа настраивается ширина полосы пропускания.

Возможность организации демилитаризованной зоны DMZ позволяет предоставить пользователям извне доступ к установленным в офисной сети WEB-серверам или серверам электронной почты.

Используя встроенные в DFL-500 и DFL-1000 возможности построения VPN, можно установить безопасные соединения между удаленными офисами или подключить к сети мобильных пользователей, находящихся вне офиса, даже в другой стране. Для такого подключения устройства генерируют зашифрованный трафик и организовывают туннель между сетями, защищенными DFL-1000, DFL-500 или продуктами других производителей, поддерживающих IPSec. Через такой туннель можно работать с сервером или другим компьютером, программное обеспечение которого используюет алгоритмы шифрования DES и 3DES, и протоколы PPTP и L2TP (например с популярными Операционными Системами Windows).

Для предупреждения неавторизованного доступа есть возможность требовать аутентификацию пользователя перед предоставлением доступа в Интернет или из Интернет в офисную сеть. При этом DFL-1000 обеспечивает аутентификацию пользователей через RADIUS сервер, который поддерживает гибкие механизмы входа в сеть и определение прав доступа.

Межсетевые экраны осуществляют антивирусное сканирование загружаемого содержимого WEB или E-mail. Антивирусные базы данных обновляются через интернет, чтобы обеспечить защиту сети по мере появления новых вирусов.

Вся статистика о потоке данных, сигнализация об атаках из Интернет и сведения об активности пользователей по web-навигации сохраняются в реальном времени и могут быть предоставлены в виде отчета.

DFL-500 и DFL-1000 конфигурируются через web- интерфейс, а для DFL-1000 возможно управление в режиме терминала через консоль, подключенную к RS-232.

Внутреннее программное обеспечение межсетевых экранов обновляется, что дает возможность добавить новые функции или применить новые механизмы работы

К сети устройства подключаются через порты с разъемами RJ-45. Порт LAN подключается к офисной сети, а внешний порт WAN - к кабельному или DSL модему.