Методы защиты внешнего периметра компьютерных сетей

С развитием сетевых технологий появился новый тип СЗИ - межсетевые экраны, которые обеспечивают безопасность при электронном обмене информацией с другими взаимодействующими автоматизированными системами и внешними сетями, контроль доступа между сегментами корпоративной сети, а также защиту от вторжений и злоумышленников из внешних систем.
Межсетевые экраны, установленные в точках подключения к Интернету, защищают внешний периметр корпоративной сети и защищают собственные Intemet-серверы, открытые для публичного использования, от несанкционированного доступа.
В межсетевых экранах применяются специальные, характерные только для данного вида средств методы защиты.
Наиболее важные:
трансляция адресов для сокрытия структуры и адресации внутренней сети;
фильтрация проходящего трафика;
управление списками доступа на маршрутизаторах;
дополнительная идентификация и аутентификация пользователейстандартных служб;
ревизия содержимого информационных пакетов, выявление инейтрализация компьютерных вирусов;
виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям - обеспечения конфиденциальности, - применяютсякриптографические методы, рассмотренные выше);
противодействие атакам на внутренние ресурсы.
Сетевая безопасность требует комплексного подхода к безопасности. Сегодня в области сетевой безопасности существует тенденция предлагать не отдельные продукты, а интегрированные решения. На основе межсетевых экранов (MЭ) разрабатываются целые комплексы инструментов сетевой безопасности, которые обеспечивают защиту периметра сети.
Современные MЭ могут легко интегрироваться с другими решениями в области информационной безопасности, в частности, с антивирусными инструментами и системами обнаружения и предотвращения вторжений, что позволяет создавать эффективную, гибкую и прозрачную систему защиты.
Основное внимание уделяется внедрению самих защитных механизмов, а не их средств управления. Этого можно успешно преодолеть только путем обеспечения необходимой гибкости для управления оборудованием безопасности.
Отсутствие внимания к проблемам и пожеланиям клиентов, а также обеспечение удобства администраторов безопасности в управлении инструментами безопасности на всех этапах жизненного цикла компьютерных систем часто является основной причиной отказа от использования определенных инструментов безопасности.
Этап реализации средств защиты информации обязательно включает, в той или иной степени, действия по первоначальной идентификации, уточнению и соответствующему изменению настроек средств защиты. Эти действия должны выполняться для владельцев и пользователей системы максимально прозрачно.
Органы управления системой защиты должны обеспечивать удобство необходимых изменений настроек системы защиты.
Для поддержки и упрощения действий по настройке функций безопасности в системе безопасности необходимо обеспечить следующее:
выборочное подключение существующих защитных механизмов;
так называемый «мягкий» режим работы защитного оборудования, при котором несанкционированные действия пользователя (действия с превышением полномочий) записываются в системном журнале как обычно, но не прекращаются

. Этот режим позволяет обнаружить неправильные настройки функций безопасности; 
возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах.
Для решения проблем управления средствами защиты в больших сетях в системе необходимо предусмотреть следующие возможности: 
должна быть возможность управлять механизмами защиты как централизованно (удаленно, с рабочей станции администратора сетевой безопасности), так и децентрализованно (непосредственно с конкретной рабочей станции). Более того, любые изменения настроек защитных механизмов, сделанные централизованно, должны автоматически распространяться на все рабочие станции, к которым они относятся (независимо от состояния рабочей станции на момент внесения изменений в центральную базу данных);
управление механизмами защиты конкретной станции должно осуществляться независимо от активности данной станции;
в больших АС замены версий программ защиты (как и любых других программ) требует много работы для обслуживающего персонала и связана с необходимостью обхода всех рабочих станций для получения прямого доступа к ним;
Система безопасности должна включать подсистему для оперативного мониторинга состояния сетевых рабочих станций и отслеживания пользователей.
Для облегчения работы администратора с системными журналами в системе должны быть предусмотрены:  
подсистема реализации запросов, позволяющая выбирать данные по определенным событиям из собранных системных журналов (по имени пользователя, дате, времени произошедшего события, категории события и т. д.);
возможность автоматического разделения и хранения системных журналов по месяцам и дням в течение определенного периода. Кроме того, чтобы избежать переполнения диска через определенное количество дней, журналы с истекшим сроком, если они не были удалены администратором, должны автоматически уничтожаться;
система защиты должна включать механизмы сжатия семантических данных в журналах, позволяющие увеличивать записанные события без существенной потери их информационного содержания;
Целесообразно иметь систему автоматической подготовки отчетных документов в установленном виде. Универсальные защитные механизмы имеют свои преимущества и недостатки и могут использоваться в различных вариантах и в комбинации с конкретными методами и средствами защиты.
Межсетевые экраны или пограничные маршрутизаторы - это программные или аппаратные устройства, предназначенные главным образом для контроля и разграничения информационных потоков между внутренними и внешними сетями. Для этой цели используются правила, определенные на основе политики безопасности, которые определяют, что можно передавать или освобождать из внутренней сети, а что нельзя.
Межсетевые экраны являются основой защиты периметра сети. С точки зрения сетевой безопасности, периметр или граница сети - это место, с которого возможности ME и их правильная конфигурация начинают применяться к сети.
Одним из наиболее распространенных решений является классическая трехуровневая схема межсетевого экрана