Rambler's Top100 на главную страницу контактная информация карта сайта
Главная > Решения > Информационная безопасность > Межсетевое экранирование

Межсетевое экранирование

Межсетевой экран (МЭ) - комплекс программно-технических и организационных мер и средств, предназначенных для выявления и предотвращения сетевых атак на защищаемые информационные системы

Существующие информационные системы характеризуются: наличием в своем составе как технических средств, обрабатывающих защищаемую информацию, так и средств, обрабатывающих только общедоступную информацию; подключение внешних каналов связи к открытым сетям передачи данных. Для построения оптимальной системы защиты информации часто требуется ограничить трафик между защищаемыми узлами информационной системы и открытыми. Реализация этого требования возможна посредством внедрения межсетевых экранов, обеспечивающих:

  • Ограничение способов взаимодействия между сегментами защищаемой информационной системы с внешними сетями.
  • Идентификацию и аутентификацию пользователей при их доступе в другие сегменты.
  • Сокрытие структуры информационной системы при доступе пользователей к внешним сетям передачи данных.
  • Регистрацию событий об информационных потоках, проходящих между сегментами и пользователями.

Система межсетевого экранирования

Техническое решение

Предлагаемое решение включает:

  • Межсетевой экран канального уровня
    модели OSI «ASA 5520».
  • Управляемый коммутатор
    Cisco Catalyst 2960G».
  • Сервер управления доступом
    Cisco ACS for Windows

Описываемое решение обладает следующими основными функциональными характеристиками:

  • Сегментирование информационной системы может быть выполнено посредством использования технологии VLAN на коммутаторе с прохождением трафика между сегментами через межсетевой экран.
  • Использование технологии VLAN позволит произвести гибкую сегментацию, с выделением отдельных сегментов (например: для рабочих мест руководителей; серверов, содержащих наиболее критичную информацию и т.п.).
  • При внедрении межсетевого экрана такого уровня в информационной системе не требуется изменение IP-адресации.
  • Регистрация событий, идентификация и аутентификация пользователей производится на специализированном сервере «ACS for Windows», который может вести как собственные базы данных пользователей, так и подключать внешние (LDAP, Active Directory, Radius и т.п.).

Структура информационных потоков

Вывод

Контроль трафика посредством межсетевых экранов канального уровня является гибким и эффективным способом сегментации существующих информационных систем.

Партнеры

Нашими партнерами по средствам межсетевого экранирования являются: