Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах

РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання

ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"

ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ

Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків

Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні

Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах

Гендерна антидискримінаційна експертиза може зробити нас моральними рабами

ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ

ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів


Контакти
 


Тлумачний словник
Авто
Автоматизація
Архітектура
Астрономія
Аудит
Біологія
Будівництво
Бухгалтерія
Винахідництво
Виробництво
Військова справа
Генетика
Географія
Геологія
Господарство
Держава
Дім
Екологія
Економетрика
Економіка
Електроніка
Журналістика та ЗМІ
Зв'язок
Іноземні мови
Інформатика
Історія
Комп'ютери
Креслення
Кулінарія
Культура
Лексикологія
Література
Логіка
Маркетинг
Математика
Машинобудування
Медицина
Менеджмент
Метали і Зварювання
Механіка
Мистецтво
Музика
Населення
Освіта
Охорона безпеки життя
Охорона Праці
Педагогіка
Політика
Право
Програмування
Промисловість
Психологія
Радіо
Регилия
Соціологія
Спорт
Стандартизація
Технології
Торгівля
Туризм
Фізика
Фізіологія
Філософія
Фінанси
Хімія
Юриспунденкция






Максимально прозора робота.

Контроль застосувань.

Наявність відкритих портів є одним з найвужчих місць в блокуванні витоку інформації, а одним з надійних способів завадити проникненню вірусів через ці двері є контроль застосувань, що запрошують дозвіл на доступ. Окрім банальної перевірки за іменем файлу, варто перевіряти автентичність застосування.

4. Підтримка зонального захисту.

Робота в локальній мережі часто передбачає практично повну довіру до локального контенту, що відкриває унікальні можливості з використання новітніх (як правило, потенційно небезпечних) технологій. В той же час рівень довіри до Інтернет контенту є значно нижчим, а тому, слід застосовувати диференційований підхід до аналізу небезпеки того чи іншого змісту.

5. Протоколювання і попередження.

Брандмауер повинен збирати лише необхідний об'єм інформації — надлишок, так само як і недостатність відомостей є недопустимими. Можливість налаштування файлів реєстрації і вказування причин для привертання уваги користувача є доволі потрібними.

Ефективність і вживаність системи часто є зворотно пропорційною до складності її налаштування, адміністрування і супроводу. Не дивлячись на традиційний скепсис стосовно майстрів (wizards) з налаштування брандмауера, навіть досвідчені адміністратори не нехтують ними хоча б з метою економії часу.

Недоліки брандмауерів

Не можна забувати і про недоліки брандмауерів, причому не окремих рішень, а всієї технології в цілому.

Розрізненість систем захисту

Це одна з найважливіших проблем, вирішити яку намагаються багато постачальників, але поки без особливого успіху. В багатьох брандмауерах відсутній захист від саботажу з боку авторизованих користувачів. Це питання можна розглядати з етичної, соціальної або будь-якої іншої точки зору, але суті справи це не міняє: брандмауери не здатні заборонити авторизованому користувачеві вкрасти (передати, знищити, модифікувати) важливу інформацію.

І хоча вже давно існують інші рішення (наприклад, розмежування доступу тощо), проблема полягає в розрізненості всіх подібних систем, які, за суттю, повинні виконувати одну і ту ж функцію. Поки антивірусні програми, системи виявлення вторгнень, розмежування доступу тощо не отримають єдиного центру управління, ефективність кожної з них є сумнівною.

Відсутність захисту для нестандартних або нових мережних сервісів

Рішенням тут в певній мірі можуть бути шлюзи на рівні з'єднання або пакетні фільтри, але, їм бракує гнучкості. Звичайно, існують певні можливості з просування нестандартного трафіку, наприклад в HTTP, але цей варіант не можна назвати зручним. Є багато успадкованих систем, код яких переписати неможливо, проте залишати їх беззахисними теж не можна.

Зниження продуктивності

На щастя, подібні питання виникають все рідше, особливо в індивідуальних користувачів, що прагнуть захистити свій комп’ютер чи невелику локальну мережу. В той же час великі локальні мережі як і раніше генерують доволі великий трафік, тому звичайними програмними (дешевими або безкоштовними) рішеннями мережу не захистити.

Апаратні рішення демонструють високу продуктивність і масштабованість, але ціна (деколи десятки тисяч доларів) переводить питання їх застосування в абсолютно іншу площину, тому, часто максимумом можливого є виділення спеціального сервера виключно під обслуговування брандмауера. Природно, що подібне універсальне рішення автоматично позначається на зменшенні швидкості доступу.

Загальні принципи налаштування брандмауера

Конфігурація брандмауера — предмет достатньо складний, і зазвичай всі мережні екрани мають індивідуальну конфігурацію, що відображає специфіку роботи конкретної інформаційної системи. Проте, тут слід дотримуватися певних загальних принципів:

· Слід пропускати крізь систему лише ті сервіси, які є необхідними для забезпечення достатньої функціональності інформаційної системи.

· Все, що явним чином не дозволено, повинно бути заборонено. Це означає, що всі служби, що не згадані при конфігурації брандмауера, повинні бути заборонені.

· При конфігурації мережних екранів слід вести докладну документацію.

Проксі-сервер

Проксі-сервер (proxy-server) регулює доступ абонентів до ресурсів Інтернету. Він має гнучкі налаштування, що дозволяють обмежити доступ користувачів до певних сайтів, контролювати об'єм завантаженої з Інтернету інформації і надавати можливість доступу до Інтернету для різних користувачів залежно від дня тижня і години доби.

Проксі-сервер дозволяє користувачу не виходити в Інтернет з своєї адреси, а заміняє при запитах адресу користувача на свою власну і посилає запит вже не від імені реального користувача, а від свого власного. Це не лише допомагає приховати в цілях безпеки внутрішню структуру своєї мережі, але і дозволяє не орендувати додаткову кількість адрес для всіх користувачів локальної мережі, а обійтися однією загальною адресою для проксі-сервера.

Читайте також:

  1. IV. Практична робота.
  2. VI. Домашня робота.
  3. VI. Практична робота.
  4. VI. Практична робота.
  5. VI. Практична робота.
  6. VI. Практична робота.
  7. VI. Практична робота.
  8. VI. Практична робота.
  9. VI. Практична робота.
  10. VI. Практична робота.
  11. VI. Практична робота.
  12. VI. Практична робота.



Переглядів: 579

<== попередня сторінка | наступна сторінка ==>
Служба безпеки | Система виявлення атак

Не знайшли потрібну інформацію? Скористайтесь пошуком google:
 

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.005 сек.