Безопасный интернет
ДМЗ — сегмент сети, содержащий общедоступные сервисы, которые отделены от частных сегментов сети. В качестве общедоступного сервиса может выступать, например, веб-сервис (обеспечивающий его сервер), который физически размещен в локальной сети (Интранет). Сервер должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа. Цель ДМЗ — добавить дополнительный уровень безопасности, который позволит минимизировать ущерб в случае атаки на один из общедоступных сервисов: внешний злоумышленник имеет прямой доступ только к оборудованию в ДМЗ.
Для реализации данной задачи используется служба Proxy server — служба, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, http://factor-ts.ru), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кеша (в случаях если прокси имеет свой кеш). Прокси-сервер позволяет вести записи обо всех запросах, проходящих через него, а также может работать в прозрачном режиме, что обеспечивает анонимность контроля.
ПАК Dionis DPS обеспечивает безопасность сети и позволяет управлять прохождением трафика через интерфейсы маршрутизатора, обеспечивая фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, содержимому пакета). Правила фильтрации объединяются в IP-списки контроля доступа (ip access-list). Списки контроля доступа могут быть применены к конкретным интерфейсам с учетом направления трафика.
Система обнаружения и предотвращения вторжений (IDS/IPS) входит в состав изделий Dionis DPS, но лицензируется отдельно. Это система сетевой безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них. Системы IPS можно рассматривать как расширение систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако они отличаются тем, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак. Возможные реакции со стороны IPS: блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами.
Поддержка технологии NAT/PAT позволяет скрывать внутреннюю структуру защищаемых сегментов сети при передаче открытого и закрытого трафика. Сокрытие внутренней структуры защищаемой сети осуществляется путем преобразования IP-адресов внутренней сети (фиктивных адресов) в адрес (-а) внешней сети (реальные адреса) — для исходящих датаграмм (транзитных пакетов).
Спасибо за заявку!
Мы скоро свяжемся с вами.