Домашняя Технологии Построение сетевой и локальной системы безопасности

Построение сетевой и локальной системы безопасности

1 мин чтения
0
0
1,376
обеспечения сетевой безопасности

Вопросы обеспечения безопасности на сегодняшний день как никогда актуальны в организации любого масштаба и области работы. Все возрастающее количество различных вредоносных программ (вирусы, черви и др.) и увеличивающаяся зависимость от информации и ее содержания требуют повышенного внимания к вопросам обеспечения безопасности. Для решения данных вопросов необходим системный подход и большой опыт создания систем подобного уровня с тем чтобы учесть все возможные факторы влияющие на безопасность.

Корпорации предлагают различные решения для построения защищенных систем и далее мы рассмотрим более подробно типовые решения построения защищенных систем.

Назначение систем сетевой безопасности:

  • защита хранилищ данных, локальных и глобальных сетей от попытки несанкционированного доступа и внешних или внутренних атак из публичных сетей, к примеру, сети Интернет;
  • ограничение доступа несанкционированных пользователей;
  • защита от вирусов, троянских программ, червей и других вредоносных программ;
  • шифрование критичного трафика.

Область применения:

  • Организация безопасности в корпоративной сети;
  • Защита локальной сети офиса в корпоративной сети;
  • Организация услуг VPN (виртуальных частных сетей) через сети Интернет для доступа удаленных корпоративных пользователей или мобильных служащих;
  • Защита центрального офиса и удаленных офисов от атак хакеров и обеспечение антивирусной защиты;
  • Защита трафика критически важных хостов;
  • Организация безопасности в сети провайдера;
  • Защита хост-серверов на узлах провайдеров услуг удаленного доступа в сети Интернет;
  • Защита web-серверов, хранилищ информации от взлома и кражи информации клиентов провайдера;
  • Построение виртуальных частных сетей (VPN) с поддержкой прогрессивных методов шифрования.

Используемое оборудование

Для реализации проектов обеспечения сетевой безопасности возможно использование оборудования ведущих мировых производителей предлагающих свои методики построения систем безопасности.

Компания Cisco Systems предлагает наиболее полный спектр оборудования и решений для обеспечения безопасности:

  • оборудование доступа;
  • межсетевые экраны;
  • VPN-концентраторы;
  • сетевые сенсоры обнаружения вторжений (IDS);
  • системы предотвращения вторжений (IPS);
  • специализированное программное обеспечение для маршрутизаторов;
  • клиентское ПО – защита на уровне хоста или сервера;
  • модули обеспечения безопасности для коммутационных шасси;
  • системы управления.

Nortel Networks:

  • VPN-концентраторы и VPN-коммутаторы;
  • системы управления.

Вопросы безопасности на сегодняшний день становятся все более актуальными и требуют все большего внимания со стороны не только IT-персонала, но и всех сотрудников компании и, как ни странно, руководства компании. Рассмотрим далее архитектурные вопросы построения современных систем обеспечения безопасности, а также более подробно типовой вариант построения системы безопасности для крупного корпоративного клиента.

 обеспечения безопасности

Структура системы сетевой безопасности

Типы клиентов информационной системы:

  • Сотрудники;
  • Внешние клиенты.

Методы подключения сотрудников:

  • Корпоративная сеть;
  • Доступ по коммутируемым линиям связи;
  • Сети общего доступа, такие как Интернет.

Методы подключения клиентов:

  • Корпоративная сеть;
  • Доступ по коммутируемым линиям связи;
  • Сети общего доступа, такие как Интернет.

Так как присутствуют разные методы подключения клиентов информационной системы, то предлагаемая схема имеет эшелонированную структуру и состоит из следующих элементов:

  • Зона подключения к сетям общего пользования – Интернет;
  • Зона подключения абонентов по коммутируемым линиям связи;
  • Зона расположения серверов обслуживания клиентов;
  • Зона расположения прикладных серверов;
  • Зона расположения серверов баз данных.

Так как в рамках каждой зоны реализована своя политика безопасности, то они разделены специальными программно-аппаратными комплексами – межсетевыми экранами.

Этапы создания системы обеспечения безопасности

Философия безопасности является круговым процессом, не имеющим по сути своего завершения. Только постоянный контроль на всех указанных ниже этапах позволит обеспечить действительно эффективную и работающую архитектуру безопасности.

Наиболее полно этот процесс описан в различных регламентирующих документах и стандартах: ISO 17779 (Практические правила управления информационной безопасностью), RFC 2196 (site security handbook) и др. Также есть ряд адаптированных документов, которые описывают правила и методики построения защищенных сетей. Так, к примеру, компания Cisco Systems разработала и предлагает собственную архитектуру SAFE для построения защищенных систем.

Несмотря на то, что стандарты и рекомендации (ISO 17799, RFC и др.) начинают приобретать все большую популярность в Украине и корпорации могут предложить свои услуги в этих областях создания регламентирующих документов, остановимся все же более подробно на архитектуре Cisco SAFE, которая является на наш взгляд одной из самых удобных методик для практического применения при проектировании, построении, внедрении и тестировании современных систем безопасности. Как было сказано выше, обеспечение безопасности это круговой процесс который базируется на основных описанных этапах.

  1. Политика безопасности
  2. Средства и механизмы обеспечения политики безопасности (FW, IOS FW, IPSec, TACACS+)

III. Мониторинг (IDS)

  1. ТестированиIV. Тестирование
  2. Управление и улучшение

Рассмотрим подробнее каждый из этапов, связанных с системами построения безопасности:

  • создание политики безопасности компании – подразумевает собой создание регламентирующего документа, содержащего формальное описание принципов, которыми должен руководствоваться каждый сотрудник компании при работе с ИТ-ресурсами компании. По сути это первоочередная задача любой компании, серьезно заботящейся об обеспечении безопасности, но зачастую упускаемая из виду многими компаниями как основная стадия создания системы безопасности. Вот здесь и пригодятся стандарты уровня ISO 17799 или RFC в качестве рекомендации к действию;
  • после того как политика безопасности создана, на ее базе уже можно проектировать собственно систему комплексного обеспечения безопасности с использованием современного оборудования и решений, согласованную с разработанной политикой безопасности. На этом этапе используются межсетевые экраны, системы обнаружения атак, устройства шифрования и другое необходимое оборудование, а также организационные и физические методы обеспечения безопасности. Более подробно ниже будут рассмотрены рекомендуемые схемы построения и использования оборудования;
  • на третьем этапе происходит внедрение систем постоянного мониторинга и анализа активности в сети компании на базе информации, полученной от систем обнаружения атак (IDS), серверов SNMP, а также различных систем регистрации (серверов syslog). На данном этапе внедрения и разработки системы безопасности мы имеем возможность обнаружить несанкционированную активность в корпоративной сети и предотвратить ее путем: сброса сессии, принудительного разрыва соединения или уведомления администратора. Следует отметить, что это требует значительных усилий, направленных на анализ событий их корреляцию и установку корректных правил отработки сигнатур;
  • четвертый этап – связан с вопросами тестирования существующей сети на предмет ее уязвимости путем использования специализированных сетевых сканнеров, которые позволяют обнаружить слабые места и элементы в системе защиты, и выдают некоторые рекомендации по их устранению;
  • пятый, завершающий, этап – обеспечивает замкнутость контура и позволяет осуществлять управление всеми устройствами обеспечения безопасности с одновременным улучшением параметров элементов защиты в существующей системе безопасности. Следуя циклу обеспечения безопасности, после анализа полученных данных мы можем перейти собственно к модернизации и/или оптимизации существующей системы безопасности – к примеру, заменой ПО, установкой нового ПО или устройства.

Теперь остановимся более подробно на самой архитектуре построения сетевой безопасности, на базе рекомендаций компании Cisco Systems по обеспечению безопасности корпоративных сетей (SAFE). Основная задача архитектуры SAFE состоит в том, чтобы предоставить заинтересованным сторонам информацию о современном опыте проектирования и

Рассмотрим подробнее каждый из этапов, связанных с системами построения безопасности:

  • создание политики безопасности компании – подразумевает собой создание регламентирующего документа, содержащего формальное описание принципов, которыми должен руководствоваться каждый сотрудник компании при работе с ИТ-ресурсами компании. По сути это первоочередная задача любой компании, серьезно заботящейся об обеспечении безопасности, но зачастую упускаемая из виду многими компаниями как основная стадия создания системы безопасности. Вот здесь и пригодятся стандарты уровня ISO 17799 или RFC в качестве рекомендации к действию;
  • после того как политика безопасности создана, на ее базе уже можно проектировать собственно систему комплексного обеспечения безопасности с использованием современного оборудования и решений, согласованную с разработанной политикой безопасности. На этом этапе используются межсетевые экраны, системы обнаружения атак, устройства шифрования и другое необходимое оборудование, а также организационные и физические методы обеспечения безопасности. Более подробно ниже будут рассмотрены рекомендуемые схемы построения и использования оборудования;
  • на третьем этапе происходит внедрение систем постоянного мониторинга и анализа активности в сети компании на базе информации, полученной от систем обнаружения атак (IDS), серверов SNMP, а также различных систем регистрации (серверов syslog). На данном этапе внедрения и разработки системы безопасности мы имеем возможность обнаружить несанкционированную активность в корпоративной сети и предотвратить ее путем: сброса сессии, принудительного разрыва соединения или уведомления администратора. Следует отметить, что это требует значительных усилий, направленных на анализ событий их корреляцию и установку корректных правил отработки сигнатур;
  • четвертый этап – связан с вопросами тестирования существующей сети на предмет ее уязвимости путем использования специализированных сетевых сканнеров, которые позволяют обнаружить слабые места и элементы в системе защиты, и выдают некоторые рекомендации по их устранению;
  • пятый, завершающий, этап – обеспечивает замкнутость контура и позволяет осуществлять управление всеми устройствами обеспечения безопасности с одновременным улучшением параметров элементов защиты в существующей системе безопасности. Следуя циклу обеспечения безопасности, после анализа полученных данных мы можем перейти собственно к модернизации и/или оптимизации существующей системы безопасности – к примеру, заменой ПО, установкой нового ПО или устройства.

Теперь остановимся более подробно на самой архитектуре построения сетевой безопасности, на базе рекомендаций компании Cisco Systems по обеспечению безопасности корпоративных сетей (SAFE). Основная задача архитектуры SAFE состоит в том, чтобы предоставить заинтересованным сторонам информацию о современном опыте проектирования и развертывания защищенных сетей. SAFE призвана помочь тем, кто проектирует сети и анализирует требования к сетевой безопасности. SAFE исходит из принципа глубоко эшелонированной обороны сетей от внешних атак. Этот подход нацелен не на механическую установку межсетевого экрана и системы обнаружения атак, а на анализ ожидаемых угроз и разработку методов борьбы с ними. Эта стратегия приводит к созданию многоуровневой системы защиты, при которой прорыв одного уровня не означает прорыва всей системы безопасности.

SAFE основывается на продуктах компании Cisco и ее партнеров.

 обеспечения сетевой безопасности

Основы дизайна архитектуры SAFE

SAFE с максимальной точностью имитирует функциональные потребности современных корпоративных сетей. Решения о внедрении той или иной системы безопасности могут быть разными в зависимости от сетевой функциональности. Однако на процесс принятия решения оказывают влияние следующие задачи, перечисленные в порядке приоритетности:

  • безопасность и борьба с атаками на основе политики;
  • внедрение мер безопасности по всей инфраструктуре (а не только на специализированных устройствах защиты);
  • безопасное управление и отчетность;
  • аутентификация и авторизация пользователей и администраторов для доступа к критически важным сетевым ресурсам;
  • обнаружение атак на критически важные ресурсы и подсети;
  • поддержка новых сетевых приложений.

Во-первых (и это самое главное), SAFE представляет собой архитектуру безопасности, которая должна предотвратить нанесение хакерами серьезного ущерба ценным сетевым ресурсам. Атаки, которые преодолевают первую линию обороны или ведутся не извне, а изнутри, нужно обнаруживать и быстро отражать, чтобы предотвратить ущерб для остальной сети. Однако даже хорошо защищенная сеть должна предоставлять пользователям сервисы, которых от нее ожидают. Нужно одновременно обеспечить и надежную защиту, и хорошую функциональность сети — и это вполне возможно. Архитектура SAFE не является революционным способом проектирования сетей. Это просто система рекомендаций обеспечения сетевой безопасности. Кроме этого, система SAFE является устойчивой и масштабируемой.

Устойчивость сетей включает физическую избыточность, защищающую сеть от любых аппаратных отказов, в том числе отказов, которые могут произойти из-за ошибочной конфигурации, физического сбоя или хакерской атаки. Хотя возможны и более простые проекты, особенно если требования к производительности сети не являются высокими, тем не менее, мы рассмотрим в качестве типового проекта более сложный дизайн, поскольку планирование безопасности представляет собой более сложную проблему именно в сложной, а не в простой среде. Тем не менее, существуют всегда возможности ограничения сложности дизайна при условии, что это делается обдуманно и обоснованно.

На многих этапах проектирования сети встает вопрос выбора между интеграцией множества функций в едином сетевом устройстве и использованием специализированных сетевых средств. Интеграция функций часто является более привлекательной, потому что ее можно реализовать на существующем оборудовании и потому что функции могут взаимодействовать в рамках единого устройства, создавая более эффективное функциональное решение. Специализированные устройства чаще всего используются для поддержки весьма продвинутых функций или высокой производительности. Решение принимается на основе сравнения емкости и функциональности отдельного устройства и преимуществ, которые может дать интеграция.

Например, в некоторых случаях вы можете выбрать интегрированный высокопроизводительный маршрутизатор с операционной системой Cisco IOS (и встроенным программным межсетевым экраном, а в других – менее крупный маршрутизатор с отдельным межсетевым экраном. В нашей архитектуре используются как тот, так и другой типы систем.

Наиболее важные функции безопасности передаются выделенным устройствам, чтобы поддержать высокую производительность крупных корпоративных сетей.

Описание типового решения построения систем сетевой безопасности

Предлагается эшелонированное решение, обеспечивающее максимальную защиту серверов баз данных и обладающее следующими характеристиками:

  • В системе реализована как технологическая, так и эксплуатационная безопасность. Реализация требований технологической и эксплуатационной безопасности основывается на специально разработанном для сети комплексе организационных, организационно-технических и технических мероприятий по защите информации и ресурсов сети.
  • Реализована современная система обеспечения безопасности с применением:
    • межсетевых экранов (МЭ) последнего поколения;
    • сканеров уязвимости сети и эмуляторов атак, с постоянно пополняемой базой данных известных уязвимостей;
    • транзитного почтового сервера, осуществляющего контроль за содержанием и пересылкой сообщений;
    • транзитного WWW-сервера, осуществляющего контроль за содержанием запрашиваемых ресурсов;
    • сенсоров атак, позволяющих оперативно реагировать на внештатные ситуации;
    • единой системы управления и контроля состояния информационной безопасности.
  • Используемые средства являются новейшими разработками компаний, не один год работающих на рынке защиты информации. Концепция решения подразумевает возможность обновления используемого программного обеспечения.
  • Применяемые средства не ухудшают качественные характеристики сети. Данное требование учтено и реализовано на этапе разработки.
  • Обеспечение требуемого уровня качества функционирования сети и ее устойчивость к внешним и внутренним факторам (атаки, вирусы, НСД и т.п.) достигается применением комплексного решения на базе, как специальных средств обеспечения безопасности, так и на базе используемого активного сетевого оборудования.
  • Система обеспечения информационной безопасности имеет в своем составе средства управления, позволяющие в моменты наступления «внештатных» и «чрезвычайных» ситуаций, изменять качественные показатели работы сети, реализуя возможности:
    • предоставления ресурсов сети заданным организациям и пользователям;
    • контроля загрузки сети;
    • контроля трафика;
    • контроля взаимодействия сегментов сетей.
  • Узлы сети построены на базе оборудования, имеющего в своем составе резервирующие элементы и схемы.
  • Предлагаемая система обеспечения безопасности предусматривает возможность ограничения списка станций управления для каждого из устройств и ресурсов сети, с которых может производится доступ к оборудованию и управления им.
  • Одним из результатов реализации комплекса организационных, организационно- технических и технических мероприятий по защите информации и ресурсов сети является устойчивость используемого в проекте оборудования к атакам, направленным на уничтожение сервисов (DoS — Denial of Service).

Задачи, решаемые системой обеспечения информационной безопасности Система информационной безопасности сети обеспечивает:

  • аутентификацию и авторизацию пользователей и сетевых устройств;
  • контроль доступа к ресурсам сети;
  • контроль ресурсов сети;
  • защиту от отказов.

Реализация вышеописанных задач достигается следующими методами и средствами:

  1. Система механизмов контроля доступа реализована на основе следующих продуктов и решений:
  • CiscoSecure ACS – продукт компании Cisco Systems, используется как средство контроля доступа пользователей сети к сетевым устройствам и ресурсам сети. Продукт реализует следующие функциональные возможности:
    • ? аутентификация, авторизация и учет использования ресурсов пользователями сети (AAA);
    • полная интеграция контроля доступа с используемым сетевым оборудованием. Запрос на авторизацию прав доступа пользователя к ресурсу может исходить от сетевого оборудования, через которое осуществляется доступ;
    • возможность создания единого центра контроля доступа пользователей к сетевым устройствам и ресурсам сети;
    • гибкая схема контроля доступа на основе набора параметров, характеризующих конкретного пользователя интранет;
    • возможность интеграции с другими средствами контроля доступа, в том числе поддерживающих протоколы RADIUS, TACACS+, LDAP, авторизацию в домене NT и NDS.
  1. В качестве механизмов обменной аутентификации в системе реализованы и могут быть применены следующие механизмы:
  • Протокол PAP – идентифицирует вызывающего абонента сети на основе пары идентификатор/пароль. Пересылка пароля при этом осуществляется в открытом виде.
  • Протокол CHAP – идентификация происходит с применением хэш-функции (обычно MD5), одним из параметров которой является «текстовый секрет», никогда не передающийся по сети.
  1. Обеспечение безопасной маршрутизации основывается на механизмах обеспечения ее целостности, и призвана противодействовать атакам на разрушение сети методом внедрения ложных маршрутов в ее центральной части. Маршрутная идентификация гарантирует, что обновление маршрутизации исходит от проверенного источника и что никакие данные не испорчены. Она использует шифрование, одностороннюю хэш-функцию для обеспечения идентификации рабочего места и целостности содержания обновления маршрутизации.
  2. Отказоустойчивость сетевых элементов сети должна рассматриваться в двух аспектах: отказоустойчивость самого оборудования и отказоустойчивость оборудования под влиянием внешних сетевых воздействий. Первый вопрос рассматривается в соответствующем разделе проектной документации, описывающем технические характеристики используемого оборудования. Второй аспект относится к вопросам обеспечения информационной безопасности и предусматривает проведение комплекса организационно-технических мероприятий по защите оборудования и элементов сети от атак типа «отказ в обслуживании».

Описание типового варианта построения корпоративной системы безопасности

В данном разделе рассмотрим типовой вариант построения корпоративной системы безопасности с учетом рекомендация SAFE компании Cisco Systems.

Для построения такой системы в центральном офисе рекомендуется использовать модели «Межсетевых экранов» с функцией резервирования серий Cisco PIX-515Е, Cisco PIX-525 или Cisco PIX-535 с поддержкой нескольких портов Fast Ethernet или Gigabit Ethernet. Межсетевые экраны этой серии позволяют осуществлять гибкую настройку политик безопасности, создание большого количества демилитаризованных зон (DMZ), наряду с высокой производительностью и надежностью этого критичного узла сети. В демилитаризованных зонах традиционно размещают важные узлы корпоративной сети, сегмент доступа к корпоративной сети, сегмент удаленного доступа клиентов или пользователей сети и др.

Для обеспечения комплексности защиты рекомендуется установка сенсоров обнаружения атак («Система обнаружения атак») серии Cisco IDS 4200 или систем предотвращения вторжений Cisco IPS 4200, которые имеют порты FastEthernet/Gigabit Ethernet и рассчитаны на различные скорости анализа проходящего трафика. Следует отметить, как уже отмечалось выше, что размещать рекомендуется такие сенсоры как на внешнем периметре доступа в публичные сети, так и на участках наиболее критичных ресурсов сети компании с целью предотвращения несанкционированного доступа к защищаемым ресурсам и атак на эти ресурсы. Преимуществом установки IPS является возможность работы данной системы в нескольких режимах – режиме обнаружения вторжений (трафик анализируется, при этом устройство не участвует в передаче трафика; блокировка трафика возможна только при использовании внешних устройств – межсетевого экрана, маршрутизатора, коммутатора уровня 3) и режиме предотвращения вторжений (трафик анализируется, при этом устройство участвует в передаче трафика и может осуществить блокировку нежелательного трафика без дополнительных внешних устройств) и смешанном режиме – режиме обнаружения вторжений и предотвращения вторжений (система предотвращения вторжений работает для одного участка сети, система обнаружения вторжений для другого участка сети).

Схема подключения системы предотвращения атак в гибридном режиме

На приведенной схеме система предотвращения атак служит в качестве таковой для интерфейса межсетевого экрана, который подключен к корпоративной сети, и в качестве системы обнаружения вторжений на пограничном маршрутизаторе. Также для повышения безопасности на уровне серверов рекомендуется установка «Host based IDS» (систем обнаружения атак на уровне хоста) серии Cisco Security Agent на наиболее критичные сервера (во все DMZ зоны), для обнаружения несанкционированной активности на уровне сервера/рабочей станции и установленной операционной системы.

Для терминирования зашифрованных VPN (Virtual Private Network) сессий от мобильных пользователей или удаленных локальных сетей возможно применение отдельного внешнего устройства VPN концентратор, специально предназначенного для таких целей и позволяющего в зависимости от модели терминировать от 100 до 10 000 удаленных пользователей.

С целью обеспечения комплексного управления всеми элементами обеспечения безопасности рекомендуется использование специализированной системы управления Cisco VPN Management Solutions (VMS) размещаемый в зоне DMZ 1 «Серверы аутентификации и управления».

Для обеспечения аутентификации пользователей, сетевых устройств используются сервера аутентификации, к примеру, Cisco ACS размещаемый в зоне DMZ 1 «Серверы аутентификации и управления».

Для подключения пользователей корпоративной сети также рекомендуется использовать подключение в отдельную демилитаризованную зону, что позволит обеспечить требуемый уровень внутренней безопасности сети («Маршрутизатор КС»).

Рекомендуется вынос внешних серверов (SMTP, WWW, Proxy) и внутрикорпоративных серверов также в отдельные DMZ зоны, контролируемые межсетевыми экранами. Данное решение позволит обеспечить уровень безопасности для серверов и обеспечить безопасность доступа в и извне публичной сети.

Так, к примеру, доступ в Интернет через серверы Proxy и доступ к электронной почте осуществляется через так называемые Proxy или SMTP – relay агенты.

Общий принцип функционирования заключается в том что все запросы от внутренних клиентов перенаправляются на внутренние сервера WWW и SMTP (зеленая стрелка), затем уже внутренние серверы WWW и SMTP взаимодействуют через межсетевой экран с внешними серверами WWW и SMTP размещенных в DMZ3 зоне (синяя стрелка). И только внешние сервера WWW и SMTP взаимодействуют напрямую с Интернет серверами через межсетевой экран (красная стрелка).

Таким образом осуществляется полный контроль над прохождением информации, а также исключается непосредственное взаимодействие пользователей локальной сети с Интернет сетью, что позволяет значительно увеличить общую безопасность корпоративной сети.

Для обеспечения защиты в удаленных офисах и для мобильных сотрудников предлагается рассмотреть три типовых варианта построения системы безопасности:

  • Решение на базе интегрированной в маршрутизатор функциональности межсетевых экранов и систем обнаружения атак, что позволяет обеспечить больший уровень безопасности по сравнению с базовыми системами безопасности. Этот вариант рекомендуется использовать при ограниченных средствах и для бюджетных решений. В данном случае в качестве маршрутизаторов могут устанавливаться серии Cisco 800, 1800, 2800 и выше. Для реализации функций систем обнаружения атак возможно использование специализированного модуля сетевой системы обнаружения атак NM-CIDS-K9 для серий Cisco 2800 и выше.
  • Решение на базе отдельных компонентов, обладает большей надежностью и безопасностью, поскольку функции маршрутизации и обеспечения безопасности реализованы на разных устройствах. Данное решение рекомендуется для реализации в случае необходимости обеспечения высокого уровня безопасности корпоративной сети. В качестве маршрутизаторов могут устанавливаться серии Cisco 800, 1800 и выше, а в качестве межсетевых экранов серии Cisco PIX-501, Cisco PIX-506Е или выше. При необходимости могут устанавливаться сетевые системы обнаружения/предотвращения атак (IDS/IPS) или host based IDS (Security Agent).
  • Для организации подключения удаленных мобильных пользователей, рекомендуется использование внешнего VPN концентратора, Cisco PIX Firewall или маршрутизатора со специализированным ПО в центральном офисе и программное обеспечение Cisco VPN клиентов, на рабочих местах пользователей, что позволяет обеспечить безопасное и защищенное подключение, в том числе и по публичным каналам связи Интернет, с организацией шифрованных IPSec туннелей.

Следует отметить, что данное решение является действительно типовым и в реальных проектах возможно использование других схем и методик обеспечения безопасности в зависимости от желаемого результата, поставленных целей и бюджета проекта.

Больше статей
Загрузить больше в Технологии

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Смотрите также

Несколько советов по написанию дипломной работы

После того как студент переходит на последний курс учебы в университете, перед ним практич…