БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р ИСО/МЭК 27033-4-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 4. Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасности

10 Методы проектирования

 

10.1 Компоненты шлюзов безопасности

10.1.1 Коммутаторы

Коммутаторы используются для поддержки высокоскоростной связи, обеспечивающей полную пропускную способность сети для каждого физического порта. Обычно коммутаторы - это устройства уровня 2, которые широко используются для сегментирования локальных сетей. Кроме того, они могут обеспечить изоляцию подсети при реализации VLAN. Трафик между коммутатором и узлами, подключенными к этому коммутатору, можно контролировать с помощью ACL. Они могут быть применены на уровнях 2, 3 и 4 модели OSI. Функция управления доступом, предоставляемая коммутаторами, делает их полезными для включения в качестве компонентов архитектуры шлюза безопасности, особенно для реализации и структурирования любых ДМЗ с экранированными подсетями. Коммутаторы, используемые в среде шлюза безопасности, не должны быть подключены напрямую к общедоступной сети из-за различных угроз, например DoS-атак, которые могут привести к тому, что незащищенный коммутатор "наводнит" подключенные сети пакетами.

Известны коммутаторы с балансировкой нагрузки, работающие на уровне 7. Они используются для обеспечения доступности как МЭ, так и серверов (хотя обычно это не уровень 7 для МЭ).

10.1.2 Маршрутизаторы

Маршрутизаторы, как правило, предназначены для подключения к различным сетям путем поддержки нескольких сетевых протоколов и для оптимизации сетевого трафика и маршрутов между взаимодействующими узлами. Кроме того, маршрутизаторы могут использоваться в качестве компонентов шлюзов безопасности, поскольку они могут фильтровать соответствующие пакеты данных для передачи данных на основе методов фильтрации пакетов. Маршрутизатор, который использует такую проверку пакетной информации для управления сетевым трафиком, часто называют экранирующим маршрутизатором. Маршрутизаторы обычно работают на уровне 3 модели OSI (сетевой уровень). На этом уровне можно анализировать только информацию уровня пакета, такую как порты источника и назначения. Маршрутизаторы могут выполнять трансляцию сетевых адресов (NAT) и фильтрацию пакетов.

Известны маршрутизаторы с балансировкой нагрузки, которые работают на уровне 7. Они используются для обеспечения доступности как МЭ, так и серверов (но обычно не уровня 7 для МЭ).

10.1.3 Шлюзы уровня приложений

Шлюз уровня приложений - это аппаратно-программное устройство или набор устройств. Шлюзы уровня приложений специально предназначены для ограничения доступа между двумя отдельными сетями. В первую очередь для реализации шлюзов уровня приложений используются два метода:

- проверка пакетов с отслеживанием состояния;

- прокси-сервер приложений.

Также могут использоваться комбинации и вариации (например, МЭ уровня канала) этих методов. Кроме того, шлюзами уровня приложений может выполняться NAT. Шлюз уровня приложений "понимает" приложения и протоколы, используемые приложениями, для того, чтобы иметь возможность определить, являются ли запросы законными. Например, чтобы разрешить соответствующую информацию между соединениями при использовании таких приложений, как VoIP, шлюз уровня приложений должен "понимать" SIP.

При использовании технологии VoIP для предоставления телефонного обслуживания сеть организации должна быть защищена от атак на SIP так называемым МЭ с поддержкой SIP - типовой пример шлюза уровня приложений.

10.1.4 Устройства безопасности

Сетевые устройства (маршрутизаторы, коммутаторы, модемы и т.д.), оснащенные усиленными ОС, предназначенными для обеспечения безопасности, называются устройствами безопасности. На эти устройства может устанавливаться ПО безопасности (МЭ, СОВ/СПВ, антивирусная защита и т.д.). Для удовлетворения разнообразных требований по обеспечению безопасности устройства безопасности предлагаются для различных платформ - от самых маленьких удаленных локаций до крупных корпоративных сетей и центров обработки данных. Устройство, предназначенное для одного компьютера, которое называется персональным МЭ, представляет собой программное приложение, работающее на этом компьютере для защиты входящего и исходящего с этого компьютера трафика. Устройство, предназначенное для защиты удаленной локации, называется устройством безопасности филиала/домашнего офиса или удаленного офиса и филиала. Устройство безопасности удаленного офиса и филиала обычно защищает трафик в удаленный офис/филиал или домашний офис и обратно. Все случаи, упомянутые в разделе 9, могут быть реализованы при использовании устройств безопасности.

10.1.5 Функция мониторинга

Централизованная функция мониторинга/аудита позволяет правильно и эффективно проводить аудит и/или мониторинг шлюзов безопасности, развернутых в сети организации. Соединение между функцией мониторинга/аудита и шлюзом безопасности должно быть защищено, что используется для обмена необходимой информацией для правильного выполнения функции аудита и мониторинга.

Кроме того, каждый шлюз безопасности должен поддерживать интерфейс для связи с централизованной функцией мониторинга/аудита. Эта централизованная функция мониторинга/аудита может помочь отследить каждое ненормальное состояние шлюзов безопасности и/или любые попытки и действия, которые могут вызвать нарушение безопасности шлюзов и/или внутренних систем, а также отследить ответственность пользователей за выполненные действия и зафиксировать нарушения политики безопасности.

Комплексная функция мониторинга/аудита облегчает всесторонний мониторинг работы шлюза безопасности и журналов регистрации событий. Кроме того, он может предложить наглядную, эффективную и доступную информационную панель для принятия управленческих решений.

TelegramПодписаться на обновления
Реклама. ООО ЛИТРЕС
Реклама. ООО ЛИТРЕС, ИНН 7719571260, erid: 2VfnxyNkZrY
TOC