Безопасность и Internet


Координированный контроль доступа в нескольких точках


Межсетевые экраны традиционно являются основным средством контроля внешнего доступа к ресурсам корпоративной сети, ограничивая проникновение трафика во внутренние подсети предприятия и тем самым существенно снижая потенциальные угрозы для ресурсов корпоративной сети. Долгое время функции межсетевых экранов ориентировались на достаточно простую схему доступа:

  • Доступ контролировался в одной точке, которая располагалась на пути соединения внутренней сети с Internet или другой публичной сетью, являющейся источником потенциальных угроз.
  • Все субъекты доступа делились на группы по IP-адресам, причем чаще всего - на две группы - внутренние пользователи и внешние пользователи. Таким образом субъектами доступа были подсети и классификацию трафика выполнять было достаточно просто - по IP-адресам, явно указанным в пакете.
  • Внешним пользователям разрешалось для доступа к внутренним ресурсам сети использовать один-два популярных сервиса Internet, например электронную почту, основанную на протоколе SMTP, а трафик остальных сервисов отсекался

Сегодня в связи с широким использованием разнотипных соединений внутренней сети предприятия с Internet и через Internet, а также повышенными требованиями к защите ресурсов от внутренних угроз схема контроля доступа существенно усложняется.

У предприятия появляется, как правило, несколько точек контроля доступа. Во-первых, это точки, в которых контролируется доступ к нескольким внешним сетям, например, к публичной части Internet и IP-сети провайдера. Предприятие может также иметь несколько связей с Internet через разных провайдеров для надежности или по другим соображениям. Кроме того, вовлечение в автоматизированную обработку информации практически всех подразделений предприятия и повышение требований к защите обрабатываемой и передаваемой информации приводит к необходимости использования межсетевых экранов и между внутренними подсетями, что приводит к появлению дополнительных точек контроля доступа.

Применение нескольких межсетевых экранов в пределах одной внутренней сети требует изменений их функциональных возможностей. Прежде всего это касается возможности координированной работы всех экранов на основе общей политки доступа. Координация нужна для того, чтобы корректно обрабатывать пакеты пользователей независимо от того, через какую точку доступа проходит их маршрут. Изменение маршрутов пакетов может происходить как на долговременной, так и на кратковременной основах. Долговременные изменения (на часы или сутки) происходят обычно из-за перемещения пользователя между разными географическими пунктами (сегодня пользователь работает в основном здании, завтра - дома, а через неделю - в филиале в другом городе) и для их учета достаточно загрузить во все межсетевые экраны единый набор правил контроля доступа. Кратковременные изменения маршрута пакетов - на секунды или даже миллисекунды - вызываются динамической природой IP-маршрутизации (ожидаемый переход на маршрутизацию с учетом маршрутизаторов - QoS-based routing -, только усилит эту динамику). Кратковременные изменения маршрутов требуют от экрана не только координированного задания правил доступа, но и синхронизации состояний отслеживаемых сессий во всех экранах для того, чтобы любой пакет корректно соотносился с определенной сессией.

Для обеспечения масштабируемости координация правил доступа требует централизованной системы задания и распространения правил.




Начало  Назад  Вперед



Книжный магазин