от Leonard Loro

Внешний информационный доступ к сети для партнеров и работников является важным аспектом в разработке ее безопасности. Корпорации нуждаются в гарантии того, что их критические серверы защищены от различных угроз из Интернета. Кроме того, поскольку Web является всемирной службой, невозможно создать глобальное соглашение о том, какой трафик в сети является запрещенным и как этот трафик может контролироваться. Таким образом, основная проблема для специалистов отделов IT (Information Technology) сегодня заключается в том, как защитить критические серверы от враждебного сетевого трафика. Как мы можем добавить дополнительные уровни безопасности для защиты наших Интернет-серверов и внутренних систем?

Фильтры первого уровня – маршрутизаторы и базовые сетевые устройства

Фильтрование IP адресов может быть достигнуто при использовании простых маршрутизаторов. Фильтр может быть создан для запрета доступа к внутренним портам сетевого сервера. Это решение подходит для статических списков и блокирует IP пакеты от доступа на определенные порты в сети. Недостатком данного решения является то, что если сетевые политики изменяются часто, поддержка этого списка на каждодневной или еженедельной основе может превратиться в сущий кошмар.

Используйте фильтры первого уровня для статических списков доступа, которые не сильно (и не часто) изменяются или для блокировки нежелательных служб, таких, например, как доступ к SQL Server через Интернет.

Фильтры второго уровня – брандмауэры (firewall) и устройства уровня приложений

Брандмауэры являются хорошим решением для дополнительной безопасности вашей сети и предотвращения доступа посторонних лиц к вашим внутренним серверам. Большинство брандмауэров предоставляют многоступенчатые решения для реализации таких функций, как шифрование, использование аутентификации, web-proxy и динамическое фильтрование пакетов.

Используйте фильтры второго уровня для обеспечения специальных требований, таких как динамическое фильтрование пакетов или аутентификация пользователей.

IP-пересылка (IP forwarding) или NAT (Network Address Translation) позволяет одному серверу выступать в качестве IP адреса для всех устройств в вашей сети. Это устройство обеспечивает службу шлюза для всех устройств сети на сетевом уровне IP и скрывает вашу сеть от внешнего мира. Некоторые NAT устройства могут также включать и другие службы, например, статическое фильтрование или web-proxy кэширование.

Фильтры третьего уровня – Web-proxy и специальное программное обеспечение безопасности уровня приложений

Web-proxy кэш позволяет пользователям объединять кэши их web-браузеров на одном сервере. Если используется этот инструмент, то когда второй пользователь загружает тот же файл, на загрузку которого вы потратили до этого 20 минут, файл будет загружен с кэширующего сервера Интернета, а не из Интернета. Этот метод, объединенный с программным обеспечением сторонних производителей, обеспечивающим текущее обновление, является полным и масштабируемым решением. Он обеспечивает единую точку управления и предоставляет возможность выбирать категории фильтров, которые отвечают вашим потребностям.

Другое программное обеспечение сторонних производителей для фильтрования. Фильтрование при помощи программного обеспечения может потребовать привлечение сторонних разработчиков, которые поддерживают и обновляют содержание базы данных и на долгосрочной основе обеспечивают обновляемую информацию своим клиентам. Фильтрующее программное обеспечение поддерживает широкий диапазон платформ. Вы можете запустить это программное обеспечение на автономной рабочей станции или как размещенное на сервере решение. Размещенное на сервере решение дает вам центральную точку для контроля и предлагает лучшее решение для уменьшения затрат на технический персонал.

Фильтрование сетевого трафика при помощи встроенного фильтрования Windows 2000

Фильтрование в Windows 2000 позволяет вам контролировать, какие виды запросов и транзакций будет получать ваш сервер. Есть различные пути для фильтрования доступа к и из Интернета, но ни один из этих методов не позволяет блокировать 100% всех атак.

Рисунок 1. Включение фильтрования IP трафика.

В большинстве IT сред не имеется достаточно времени и квалифицированного персонала для мониторинга деятельности критических серверов каждую минуту. Поэтому необходимо внедрять системы, в которых серверы могут иметь доступ к сети и Интернету без прямого надзора обслуживающим персоналом. Функция фильтрования Windows 2000 помогает сетевым администраторам входящих в большие сети серверов, таких как Web-сервера, сервера баз данных и почты. Фильтрование Windows 2000 позволяет защитить незащищенные сетевые данные от посторонних и контролировать, какие сетевые приложения будут доступны системным пользователям. Доступ к портам используется для защиты и контроля конкретного сервера, ограничивая доступ запросов к необходимой информации и контролируя, к каким портам можно, а к каким нельзя получить доступ.

Леонард Лоро, MCSE, MCSD, ISS, MCT, CCNA.