МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» Кафедра ЗІ / Звіт до лабораторної роботи № 3 З курсу: «Комп`ютерні методи високорівневого проектування систем захисту» На тему: “НАЛАШТУВАННЯ МІЖМЕРЕЖЕВОГО ЕКРАНУ НА ОСНОВІ IOS CISCO” Варіант № 8  Мета роботи – ознайомитися з принципом функціонування міжмережевих екранів на відповідних рівнях моделі OSI, типовими схемами їх підключень у корпоративній мережі, набути практичні навички щодо налаштування міжмережевого екрану на основі IOS маршрутизатора CISCO для захисту від несанкціонованих мережевих віддалених підключень до вузлів локальної мережі. 1.Теоретичні відомості Міжмережевий екран (також зустрічається як брандмауер і firewall) називають локальний або функціонально розподілений програмний (програмно-апаратний) засіб (комплекс), який реалізує контроль за інформацією, що надходить в автоматизовану систему і/або виходить з автоматизованої системи. Типовими завданнями МЕ, як правило, є: контроль всього трафіку, що входять у внутрішню корпоративну мережу; контроль всього трафіку, що виходить з внутрішньої корпоративної мережі. Контроль інформаційних потоків полягає в їх фільтрації та перетворені у відповідності зі заданим набором правил. Оскільки в сучасних МЕ фільтрація може здійснюватися на різних рівнях еталонної моделі взаємодії відкритих систем (OSI), МЕ зручно представити у вигляді системи фільтрів. Кожен фільтр на основі аналізу даних, які проходять повз нього, приймає рішення ( пропустити їх далі, перекинувши за екран, блокувати або перетворити (рис. 2). Невід'ємною функцією МЕ є протоколювання інформаційного обміну. Ведення журналів реєстрації дозволяє адміністратору виявити підозрілі дії, помилки в конфігурації МЕ і прийняти рішення про зміну правил МЕ. / Рис. 1. Схема фільтрації в МЕ Завдання міжмережевого екрану, який захищає значну кількість вузлів внутрішньої мережі, полягає у вирішенні двох основних задач: Обмеження доступу зовнішніх (по відношенні до мережі, яка захищається) користувачів до внутрішніх ресурсів корпоративної мережі. До таких користувачів, зазвичай, відносять віддалених користувачів, партнерів, зловмисників (хакерів) і навіть співробітників організації, які, наприклад, намагаються отримати доступ до серверів баз даних, що перебувають під захистом брандмауера. Розмежування доступу користувачів, внутрішньої мережі до зовнішніх ресурсів. Вирішення цього завдання робить можливим, наприклад, регулювання доступу до серверів, які не є необхідними для виконання службових обов’язків. На сьогодні не сформовано повної та комплексної загальноприйнятої класифікації міжмережевих екранів. Проте, МЕ можна класифікувати за такими основними ознаками у відповідності до функціонування на різних рівнях моделі OSI чи стеку TCP/IP: • комутатори, що функціонують на канальному рівні (мостові МЕ); • мережеві чи пакетні фільтри, які функціонують на мережевому рівні (stateless firewall filter); • шлюзи сеансового рівня (circuit-level proxy); • посередники прикладного рівня (application proxy чи application gateway); • інспектори стану або комплексні екрани (stateful inspection) Схема єдиного захисту локальної мережі Найбільш простим є рішення, при якому міжмережевий екран просто екранує локальну мережу від глобальної. При цьому WWW-сервер, FTP-сервер, поштовий сервер та інші сервера, виявляються також захищені фаєрволом. При цьому потрібно виділити багато уваги на запобігання проникнення на захищені станції локальної мережі за допомогою засобів легкодоступних WWW-серверів. Схема єдиного захисту локальної мережі зображено на рисунку 2. / Рис. 2. Схема єдиного захисту локальної мережі Схема захищена закритою і не захищена відкритою підмережами. Для запобігання доступу в локальну мережу, використовуючи ресурси WWW-сервера, рекомендується загально доступні сервери підключати перед міжмережевим екраном. Такий спосіб підключення надає більш високу захищеність локальної мережі, проте рівень захищеності WWW-і FTP-серверів є низьким...