Axborot kimga tegishli dunyoga tegishli

Download 0,61 Mb.

bet	8/16
Sana	12.04.2022
Hajmi	0,61 Mb.
	#546512

1 ... 4 5 6 7 8 9 10 11 ... 16

MANGLE
FILTR

2.2.5 Firewall

Tarmoqingizni Internetga yoki boshqa tarmoqqa ulaganingizda, tarmoqqa kirishni ta'minlash juda muhim. Internetga ulanishingizni himoya qilishning eng samarali usuli mahalliy tarmoq va Internet o'rtasida Firewall o'rnatishni o'z ichiga oladi. Faervollar barcha kiruvchi va chiquvchi trafikni filtrlash orqali tashqi tarmoqdan ichki tarmoqqa kirishni boshqarish mexanizmlarini amalga oshiradi, bu orqali faqat ruxsat etilgan ma'lumotlar o'tishi mumkin.
Xavfsizlik devorlarining uchta asosiy turi mavjud - paketli filtrlash, seans darajasidagi shlyuz (sxema darajasidagi shlyuz) va dastur darajasidagi shlyuz (ilova darajasidagi shlyuz). Mavjud bo'lgan xavfsizlik devorlarining juda kam sonini ushbu turlardan biriga aniq belgilash mumkin. Qoida tariqasida, XEI ikki yoki uch turdagi funktsiyalarni birlashtiradi.
Yuqorida aytib o'tilganidek, tarmoqni samarali himoya qilish uchun xavfsizlik devori u orqali o'tadigan barcha oqimlarni kuzatishi va boshqarishi kerak. TCP/IP xizmatlarini boshqarish qarorlarini qabul qilish uchun (ya'ni, uzatish, bloklash yoki ulanishga urinishlar) xavfsizlik devori barcha aloqa qatlamlari va boshqa ilovalardan olingan ma'lumotlarni olishi, saqlashi, tanlashi va qayta ishlashi kerak.
Paketlarni alohida tekshirishning o'zi kifoya emas. O'tgan havola tekshiruvlari va boshqa ilovalardan olingan havola holati ma'lumotlari yangi ulanishni o'rnatishga urinayotganda boshqaruv qarorida asosiy omil hisoblanadi. Qaror qabul qilish uchun ikkala ulanish holati (o'tmishdagi ma'lumotlar oqimidan olingan) va dastur holati (boshqa ilovalardan olingan) hisobga olinishi mumkin.
Shunday qilib, boshqaruv qarorlari xavfsizlik devoriga kirishni, quyidagi narsalarni tahlil qilish va ulardan foydalanish qobiliyatini talab qiladi:

Havola ma'lumotlari - bu paketdagi barcha etti qatlamdan olingan ma'lumotlar.
Ulanish tarixi - oldingi ulanishlardan olingan ma'lumotlar. Masalan, FTP seansining chiquvchi PORT buyrug'i keyinchalik kiruvchi FTP ma'lumotlar ulanishini tekshirish uchun ishlatilishi uchun saqlanishi kerak.
Ilova darajasidagi holatlar boshqa ilovalardan olingan holat ma'lumotlaridir. Misol uchun, shu paytgacha autentifikatsiya qilingan foydalanuvchiga faqat avtorizatsiya qilingan xizmatlar uchun xavfsizlik devori ruxsati berilishi mumkin.
Axborotni manipulyatsiya qilish - yuqoridagi barcha omillarga asoslangan turli xil ifodalarni hisoblash.

Linux yadrolarining 2.4 va 2.6 versiyalari uchun tarmoq filtri xavfsizlik devorini (xavfsizlik devori) boshqarishning eng keng tarqalgan yechimi Iptables yordam dasturidir . Juda mashhur e'tiqoddan farqli o'laroq, na iptables, na netfilter paketlarni marshrutlashni amalga oshirmaydi yoki boshqaradi. Netfilter faqat iptables yordam dasturi orqali ma'mur tomonidan o'rnatilgan qoidalarga muvofiq paketlarni filtrlaydi va o'zgartiradi (shu jumladan NAT uchun). Iptables yordam dasturidan foydalanish uchun superuser (root) imtiyozlari talab qilinadi. Ba'zan iptables so'zi tarmoq filtri xavfsizlik devorining o'ziga tegishli.

2.3 Xavfsiz aloqa kanallarini tashkil etish

2.3.1 Xavfsizlik devori sozlamalari

Ushbu Iptables sozlamasi 2 ta tarmoq interfeysidan foydalanadigan sxema uchun mo'ljallangan.

5-rasm xavfsizlik devori.

Dastur xavfsizlik devori orqali o'tadigan IP-paketlar mos kelishi kerak bo'lgan qoidalarni o'rnatishga imkon beradi. Ushbu qoidalar, barcha Linux sozlamalari kabi, /etc papkasida joylashgan matn fayliga yozilgan. Qoidalar ketma-ketligi zanjir (ZANJIR) deb ataladi. Bir xil tarmoq interfeysi uchun bir nechta zanjirlar qo'llaniladi. Agar o'tgan paket qoidalarning birortasiga mos kelmasa, standart harakat amalga oshiriladi.

Qoidalarni aniqlash uchun bir nechta jadvallardan foydalaniladi:

MANGLE

Paket sarlavhasini o'zgartirish uchun ishlatiladi. Faqat quyidagi harakatlarga ruxsat beriladi:

TOS
TTL
MARK

TOS harakati paketdagi Xizmat turi maydonidagi bitlarni o'rnatadi . Ushbu maydon tarmoq paketiga xizmat ko'rsatish siyosatini belgilash uchun ishlatiladi, ya'ni. kerakli marshrutlash variantini belgilaydi. Biroq, shuni ta'kidlash kerakki, bu xususiyat aslida Internetdagi kam sonli routerlarda qo'llaniladi. Boshqacha qilib aytadigan bo'lsak, Internetga kiruvchi paketlar uchun ushbu maydon holatini o'zgartirmasligingiz kerak, chunki bu maydonga xizmat ko'rsatadigan routerlar marshrutni tanlashda noto'g'ri qaror qabul qilishlari mumkin.
TTL harakati paketning TTL ( Yashash vaqti) maydonining qiymatini belgilash uchun ishlatiladi . Bu harakat uchun bir yaxshi foydalanish bor. Biz xavfsizlik devorimizni haddan tashqari qiziquvchan Internet-provayderlardan yashirish uchun ushbu maydonga ma'lum bir qiymat belgilashimiz mumkin. Gap shundaki, bitta ulanish bir nechta kompyuterlar tomonidan baham ko'rilsa, individual provayderlarga haqiqatan ham yoqmaydi. va keyin ular kiruvchi paketlarning TTL qiymatini tekshirishni boshlaydilar va undan bitta kompyuter ulanishda yoki bir nechta "o'tirgan"ligini aniqlash mezonlaridan biri sifatida foydalanadilar.
MARK harakati paketga maxsus belgi qo'yadi, keyin uni iptablesdagi boshqa qoidalar yoki iproute2 kabi boshqa dasturlar orqali tekshirish mumkin . "Teglar" yordamida siz paketlarning marshrutini boshqarishingiz, trafikni cheklashingiz va hokazo.

NAT

NAT (Network Address Translation) tarmoq manzillarini tarjima qilish uchun foydalaniladi. Oqimning faqat birinchi paketi ushbu jadval zanjirlari orqali o'tadi, manzilni tarjima qilish yoki maskarad avtomatik ravishda oqimdagi barcha keyingi paketlarga qo'llaniladi. Ushbu jadvalda quyidagi harakatlar mavjud:

DNAT
SNAT
MASQUERAD

DNAT ( Destination Network Address Translation) harakati paket sarlavhalaridagi maqsad manzillarini tarjima qiladi. Boshqacha qilib aytganda, bu harakat paketlarni paket sarlavhalarida ko'rsatilganlardan boshqa manzillarga yo'naltiradi.
SNAT (Source Network Address Translation) paketlarning manba manzillarini o'zgartirish uchun ishlatiladi. Ushbu harakat yordamida siz mahalliy tarmoq strukturasini yashirishingiz va shu bilan birga Internetga kirish uchun mahalliy tarmoqdagi kompyuterlar o'rtasida yagona tashqi IP-manzilni almashishingiz mumkin. Bunday holda, xavfsizlik devori SNAT dan foydalangan holda, manzilni oldinga va teskari tarjima qilishni avtomatik ravishda amalga oshiradi va shu bilan mahalliy tarmoqdagi kompyuterlardan Internetdagi serverlarga ulanish imkonini beradi.
( MASQUERADE ) SNAT bilan bir xil maqsadlarda qo'llaniladi , ammo ikkinchisidan farqli o'laroq, MASQUERADE tizimga ko'proq yuk beradi. Buning sababi shundaki, har safar ushbu harakat talab qilinganda, amalda ko'rsatilgan tarmoq interfeysi uchun IP manzil so'raladi, SNAT uchun esa IP manzil to'g'ridan-to'g'ri ko'rsatiladi. Biroq, bu farq tufayli MASQUERADE dinamik IP-manzilli holatlarda ishlashi mumkin, ya'ni. Internetga ulanganingizda, PPP , SLIP yoki DHCP orqali ayting .

FILTR

Ushbu jadval paketlarni filtrlashni amalga oshirish uchun qoidalar to'plamini o'z ichiga olishi kerak. Paketlar mazmuniga qarab uzatilishi yoki rad etilishi mumkin ( mos ravishda ACCEPT va DROP amallari). Albatta, biz paketlarni boshqa jadvallarda ham filtrlashimiz mumkin, ammo bu jadval filtrlash ehtiyojlari uchun mavjud. Mavjud harakatlarning aksariyati ushbu jadvalda ishlatilishi mumkin, ammo biz ushbu bobda ilgari muhokama qilgan ba'zi harakatlar faqat o'z jadvallarida bajarilishi kerak.
Shuningdek, ulanish holati bo'yicha filtrlashingiz mumkin. Yaroqli holatlar YANGI, TUZILGAN, BOG'LIQ va YAROQ. Quyidagi jadvalda mumkin bo'lgan holatlarning har biri ko'rib chiqiladi.

Davlat	Tavsif
YANGI	YANGI bayroq paketning ushbu ulanish uchun birinchi ekanligini bildiradi. Bu shuni anglatadiki, bu tracer moduli ko'rgan ushbu ulanishdagi birinchi paket. Misol uchun, agar ushbu ulanish uchun birinchi paket bo'lgan SYN paketi olinsa, u YANGI maqomini oladi. Biroq, paket SYN paketi bo'lmasligi va baribir YANGI bo'lishi mumkin. Bu ba'zi hollarda ba'zi muammolarni keltirib chiqarishi mumkin, lekin ayni paytda juda foydali bo'lishi mumkin, masalan, boshqa xavfsizlik devorlari tomonidan "yo'qolgan" ulanishlarni "olish" kerak bo'lganda yoki ulanish muddati tugagan, lekin ulanish o'zi yopilmagan.
BOG'LIQ	BOG'LIK holati eng hiyla-nayranglardan biridir. Ulanish O'RNATISH atributiga ega bo'lgan boshqa ulanish bilan bog'langan bo'lsa, RELATED holatini oladi. Bu shuni anglatadiki, ulanish ESABLISHED atributiga ega bo'lgan allaqachon o'rnatilgan ulanishdan boshlanganda RELATED atributini oladi. RELATED deb hisoblanishi mumkin bo'lgan ulanishning yaxshi namunasi - FTP boshqaruv porti bilan bog'langan FTP-ma'lumotlar ulanishi, shuningdek, IRC-dan boshlangan DCC ulanishi. E'tibor bering, TCP protokollarining aksariyati va ba'zi UDP protokollari juda murakkab va ulanish ma'lumotlarini TCP yoki UDP paketlarining ma'lumotlar maydoni orqali uzatadi va shuning uchun to'g'ri ishlashi uchun maxsus yordamchi modullarni talab qiladi.
TUZILGAN	ESABLISHED holati bu ulanishdagi birinchi paket emasligini bildiradi. O'rnatilgan holatni o'rnatish sxemasini tushunish juda oddiy. Ulanish uchun yagona talab shuki, O'RNAGAN holatga o'tish uchun tarmoq xosti paketni uzatishi va unga boshqa xostdan (host) javob olishi kerak. Javobni olgandan so'ng, ulanish holati YANGI yoki BOG'LIKdan O'RNATISHGA o'zgartiriladi.
Yaroqsiz	INVALID bayrog'i paketni aniqlab bo'lmasligini va shuning uchun muayyan maqomga ega emasligini bildiradi. Bu turli sabablarga ko'ra sodir bo'lishi mumkin, masalan, xotira tugashi yoki biron bir ma'lum ulanishga mos kelmaydigan ICMP xato xabarini olish. Bunday paketlarga DROP amalini qo'llash eng yaxshi variant bo'lishi mumkin.

2. 3.2 IPsec protokoli asosida VPN tunnelini sozlash

6-rasm aloqa kanallari.

Asosiy FreeS/WAN konfiguratsiya fayllari:

* /etc/ipsec.conf;* /etc/ipsec.secrets.
FreeS/WAN virtual xususiy tarmoq shlyuzlarini sozlash uchun ikkala shlyuzda quyidagi sozlamalar amalga oshirilishi kerak.
Keling, /etc/ipsec.conf faylini ehtiyojlarimizga qarab tahrir qilaylik.
Ushbu misolda:
# /etc/ipsec.conf - FreeS/WAN konfiguratsiya fayli
# Namuna konfiguratsiya fayllari katalogda
# hujjat/misol manbasi kodlari .
konfiguratsiyani sozlash
# IPSec tomonidan ishlatiladigan tarmoq interfeysi
interfeyslar = "IPSEC0 = eth0"
# Nosozliklarni tuzatish xabarlarini o'chiring
# hammasi - disk raskadrovka xabarlarini yoqish
clipsdebug=yo'q
plutodebug = yo'q
# Avtomatik ulanishni o'rnatish va autentifikatsiya qilish
#qachon _ IPSec-ni ishga tushirish
plutoload=%qidirish
plutostart=%qidirish
# Mahalliy tarmoqlar orasidagi ulanish parametrlari
# Ulanish nomi (ixtiyoriy qator)
bog'lanish Moscow_Fil
# Moskvadagi shlyuz uchun dastlabki ma'lumotlar
# IP manzil
chap=212.45.28.123
# Mahalliy tarmoq tavsifi
leftsubnet=192.168.150.0/24
Moskvadagi shlyuzga eng yaqin yo'riqnoma # IP
# (traceroute yordamida aniqlash mumkin)
leftnexthop=62.117.82.145
# Filialdagi shlyuz uchun dastlabki ma'lumotlar
# IP manzil
o'ng = 212.111.80.21
# Mahalliy tarmoq tavsifi
Rightsubnet=192.168.1.0/24
# shlyuzga eng yaqin bo'lgan yo'riqnoma filialining IP-manzili
rightnexthop=212.111.78.1
# Kalitlarni tekshirishga urinishlar soni
# 0 - ijobiy natijaga erishilgunga qadar
kalitlar = 0
# Autentifikatsiya turi (AH yoki ESP)
auth=ah
#Options RSA kalitlaridan foydalanish uchun oʻrnatilgan
authby=rsasig
leftrsasigkey =
rightrsigkey =
# IPSec ishga tushganda ulanishni o'rnating
auto=boshlash
Eslatma: Ikkala shlyuzdagi fayllar shlyuzning tashqi interfeys nomiga mos kelishi kerak bo'lgan interfeyslar parametri qiymatiga qadar bir xil bo'lishi kerak.
Ushbu misolda /etc/ipsec.conf fayli ikkita bo'limga ega.
Birinchi bo'lim, konfiguratsiyani sozlash, barcha ulanishlar tomonidan ishlatiladigan umumiy konfiguratsiya opsiyalarini o'z ichiga oladi.
Interfeyslar="IPSEC0=eth0" opsiyasi IPSec interfeysi uchun tarmoq qurilmasini belgilaydi. Bunday holda, bu birinchi tarmoq kartasi. Standart qiymatdan foydalanganda, ya'ni. interfeyslar=%defaultroute, tarmoq interfeysi sifatida Internet yoki LANga ulanish uchun foydalaniladigan qurilma tanlanadi.
Plutoload=%search opsiyasi pluto demoni ishga tushganda avtomatik ravishda xotiraga yuklanadigan ulanishlarni belgilaydi. None opsiyasining standart qiymati barcha ulanishlarni yuklashni o‘chirib qo‘yadi, %search – barcha ulanishlarni auto=start yoki auto=add opsiyalari to‘plami bilan yuklaydi. Variant qiymati ulanish nomi bo'lishi mumkin, masalan, plutoload="Moskva-Fil" yoki ulanish nomlarining bo'sh joy bilan ajratilgan ro'yxati.
Plutostart=%search opsiyasi pluton demoni ishga tushirilganda avtomatik ravishda o'rnatiladigan ulanishlarni belgilaydi. None ning standart parametr qiymati barcha ulanishlarni o'rnatishni o'chiradi, %search - auto=start opsiyalari to'plami bilan barcha ulanishlarni o'rnatadi. Variant qiymati ulanish nomi bo'lishi mumkin, masalan, plutoload="Moskva-Fil" yoki ulanish nomlarining bo'sh joy bilan ajratilgan ro'yxati.
Ikkinchi bo'lim, conn Moscow- Fil, faqat ma'lum bir ulanishga tegishli bo'lgan variantlarni o'rnatadi, bizning misolimizda Moskva-Fil deb nomlangan ulanish.
Chap = 212.45.28.123 va o'ng = 212.111.80.21 variantlari mos ravishda Moskva va filialdagi shlyuzning IP manzilini belgilaydi.
Variant leftsubnet=192.168.1.0/24 Moskva va filialdagi mahalliy tarmoqlarning parametrlarini belgilaydi.
mos ravishda leftnexthop=62.117.82.145 va rightnexthop=212.111.78.1 variantlari Moskvadagi va filialdagi shlyuzlarga eng yaqin marshrutizatorlarning IP manzillari hisoblanadi.
Keygtries=0 opsiyasi ulanishni o'rnatishda kalitlarni almashish uchun maksimal urinishlar sonini belgilaydi. Variantning standart qiymati 0 dir, bu cheksiz (ijobiy natija olinmaguncha) urinishlar sonini bildiradi.
Auth=ah opsiyasi ma'lumotlarni autentifikatsiya qilish protokolini (AH yoki ESP) belgilaydi.
authby=rsasig opsiyasi RSA tugmalari yordamida ulanish autentifikatsiyasini qo'llab-quvvatlashni yoqish uchun ishlatiladi.
Auto=start opsiyasi IPSec ishga tushirilganda bajariladigan amallarni belgilaydi. Boshlash uchun sozlanganda - ulanish avtomatik ravishda o'rnatilishi kerak, ulanish parametrlarini qo'shish xotiraga yuklanishi kerak.
FreeS/WAN 256 bitgacha bo'lgan ulanishlarni autentifikatsiya qilish uchun pluto daemon tomonidan qo'llaniladigan ikkita asosiy formatni qo'llab-quvvatlaydi. Ushbu formatlarning har biri kalitlarni yaratish va FreeS/WAN konfiguratsiya fayllarini o'zgartirish uchun maxsus operatsiyalarni talab qiladi.
Agar RSA kalitlari ishlatilsa, ipsec.conf va ipsec.secrets fayllari uchun quyidagi amallar bajarilishi kerak.
Bosh ofisda 212.45.28.123 shlyuzda:
ipsec rsasigkey --verbose 1024 > /root/moscow-key
Ustida shlyuz 212.111.80.21 dyuym filiali :
ipsec rsasigkey --verbose 1024 > /root/fil-key
Keyin tahrirlash chiziq leftrsasigkey= in ipsec.conf faylini qo'shish orqali U yerda qabul qildi bizga ochiq kalit fayl /root/moscow-key, in line rightrsasigkey = kiriting qabul qildi bizga ochiq kalit fayl /root/fil-key.
IPSec-ning normal ishlashi uchun IP-manzilni buzishdan himoya qilish uchun ishlatiladigan rp_filter quyi tizimi ikkala shlyuzda ham o'chirilgan bo'lishi kerak. Buning uchun har bir shlyuzda ishga tushiring:
echo 0 > /proc/sys/net/ipv4/conf/IPSEC0/rp_filter
echo 0 > /pro C /sys/net/ipv4/conf/eth0/rp_filter

2.4 Korxona axborot tizimini himoya qilishni tashkil etish

2.4.1 Xavfsizlik siyosati

Microsoft AD katalogi bilan ishlaydigan tashkilotlarda Guruh siyosatini boshqarish, birinchi qarashda, mutlaqo oddiy narsa. U ma'murlarga markaziy konsoldan AD maydonidagi barcha foydalanuvchilar va kompyuterlar uchun o'zgarishlar va turli xil sozlamalarni boshqarish imkonini beradi. Guruh siyosati funksiyasi Windows 2000-dan beri Windows operatsion tizimining ajralmas qismi bo'lgan bo'lsa-da, unda hali ham tizim administratori hayotini jiddiy ravishda buzishi mumkin bo'lgan kamchiliklar mavjud. Misol uchun, bir nechta ma'murlar tomonidan boshqariladigan yirik domenlarda ikkinchisi ayniqsa ehtiyot bo'lishi kerak, chunki AD Group Policy vositalari juda kuchli va real vaqtda real vaqtda har bir kompyuter va domendagi har bir foydalanuvchiga ta'sir qiladigan sozlamalarni o'zgartiradi.
Guruh siyosatining asosi foydalanuvchilar uchun kirish cheklovlaridan foydalanishdir. Nima ruxsat beradi:

Kompyuter operatsion tizimini foydalanuvchi harakatlaridan himoya qiling
O kompyuter operatsion tizimini viruslardan himoya qiladi, chunki viruslar asosan tizim fayllarini zararlash uchun foydalanuvchi huquqlaridan foydalanadi.
Tarmoq resurslariga kirishni cheklash.
Muayyan kompyuterga foydalanuvchi tayinlang.

2.4.2 Proksi -serverdan foydalanish

Proksi-server (inglizcha proksi-serverdan - "vakil, vakolatli") bu kompyuter tarmoqlaridagi xizmat bo'lib, mijozlarga boshqa tarmoq xizmatlariga bilvosita so'rovlar qilish imkonini beradi. Birinchidan, mijoz proksi-serverga ulanadi va boshqa serverda joylashgan ba'zi manbalarni (masalan, elektron pochta) so'raydi. Keyin proksi-server ko'rsatilgan serverga ulanadi va undan resurs oladi yoki resursni o'z keshidan qaytaradi (proksi-serverning o'z keshi bo'lgan hollarda). Ba'zi hollarda, mijoz so'rovi yoki server javobi ma'lum maqsadlar uchun proksi-server tomonidan o'zgartirilishi mumkin. Shuningdek, proksi-server mijoz kompyuterini ba'zi tarmoq hujumlaridan himoya qilish imkonini beradi.
Proksi-serverlardan quyidagi maqsadlarda foydalaniladi:

Mahalliy tarmoq kompyuterlaridan Internetga kirishni ta'minlash.
Ma'lumotlarni keshlash: agar bir xil tashqi resurslarga tez-tez kirish mumkin bo'lsa, siz ularning nusxasini proksi-serverda saqlashingiz va ularni so'rov bo'yicha chiqarishingiz mumkin, shu bilan tashqi tarmoqqa kanal yukini kamaytiradi va mijozning so'ralganni olishini tezlashtiradi. ma `lumot.
Ma'lumotlarni siqish: proksi-server ma'lumotni Internetdan yuklab oladi va ma'lumotni oxirgi foydalanuvchiga siqilgan shaklda uzatadi. Bunday proksi-serverlar asosan tashqi trafikni saqlash uchun ishlatiladi.
Mahalliy tarmoqni tashqi kirishdan himoya qilish: masalan, siz proksi-serverni sozlashingiz mumkin, shunda mahalliy kompyuterlar tashqi resurslarga faqat u orqali kirishadi va tashqi kompyuterlar mahalliylarga umuman kira olmaydi (ular faqat proksi-serverni "ko'radi" server).
Mahalliy tarmoqdan tashqi tarmoqqa kirishni cheklash: masalan, siz ma'lum veb-saytlarga kirishni bloklashingiz, ba'zi mahalliy foydalanuvchilar uchun Internetdan foydalanishni cheklashingiz, trafik yoki tarmoqli kengligi kvotalari o'rnatishingiz, reklama va viruslarni filtrlashingiz mumkin.
Turli manbalarga kirishni anonimlashtirish. Proksi-server so'rov manbai yoki foydalanuvchi haqidagi ma'lumotlarni yashirishi mumkin. Bunday holda, maqsadli server faqat IP-manzil kabi proksi-server haqidagi ma'lumotlarni ko'radi, lekin so'rovning haqiqiy manbasini aniqlay olmaydi. Haqiqiy foydalanuvchi haqidagi noto'g'ri ma'lumotlarni maqsadli serverga uzatuvchi proksi -serverlar ham mavjud .

DA sifat proksi Trend Micro InterScan Web Security Suite- dan foydalanadi . Boshqaruv uchun HTTP va FTP protokollari orqali foydalanuvchi kirishini boshqarish uchun ko'plab vositalar to'plamiga ega WEB interfeysi qo'llaniladi . Shuningdek, tez-tez tashrif buyuriladigan saytlar, "ushlangan" viruslar soni va boshqalar kabi statistik ma'lumotlarni ko'rish mumkin.

Guruch. 7 proksi -serverning WEB konsoli .

HTTP yorlig'i saytga kirish qoidalarini yaratish, filtrlash va foydalanuvchi avtorizatsiya usulini tanlash uchun javobgardir.

FTP yorlig'i FTP protokoli orqali uzatiladigan fayllarni skanerlash qoidalarini , shuningdek, FTP resurslariga kirish cheklovlarini yaratadi.
Hisobotlar va Jurnallar yorliqlari faqat ma'lumot olish uchun mo'ljallangan, lekin haftaning kuni bo'yicha hisobotlarni yaratish va ularni administrator pochtasiga yuborish kabi ba'zi sozlamalarni o'z ichiga oladi.
2. 4.3 Antiviruslardan foydalanish
Virusga qarshi himoyani amalga oshirishdagi g'oyalardan biri "mintaqaviy" antiviruslardan foydalanish edi, ya'ni. turli mamlakatlardan mahsulotlardan foydalanish, tk. mantiqan, mamlakatda virus dunyoga qaraganda ancha tez rivojlanadi. Shunga ko'ra, "davo" tezroq topiladi.
Mahalliy mashinalar uchun Symantec AntiVirus Corporate Edition ishlatiladi.

Guruch. 8 Antivirusning mijoz qismi

Ushbu mahsulot ish stantsiyalari va tarmoq serverlarini viruslar va josuslarga qarshi dasturlardan himoya qilish uchun ishlab chiqilgan bo'lib, kompaniya bo'ylab maksimal tizim xavfsizligini ta'minlaydi.

Guruch. 9 Antivirusning server qismi

Mijoz-server asosida ishlagan holda, u ma'murlarga tarmoq xavfsizligini boshqarish va virus hujumlari uchun zaif xostlarni aniqlash imkonini beradigan viruslar va josuslik dasturlarini markazlashtirilgan konfiguratsiya, joylashtirish, ogohlantirish va jurnalga yozishni ta'minlaydi. Kengaytirilgan xatti-harakatni bloklash mijozlarni elektron pochta orqali qurtlar kabi zararli dasturlarni yuborish uchun tizimlaridan foydalanishdan himoya qiladi. Administrator mobil va masofaviy tizimlarning virtual xususiy tarmoqlarda mavjud bo'lgan korporativ resurslarga ulanishi xavfsizlik siyosatiga mos kelishini ta'minlashi mumkin. Kengaytirilgan o'zgartirishdan himoya qilish ruxsatsiz kirish va hujumlarning oldini oladi, xavfsizlik funksiyalaringizni o'chirib qo'yishga urinadigan viruslardan himoya qiladi va bitta boshqaruv konsolida mavjud. Ushbu mahsulot mijozlar uchun josuslik dasturlari va reklama dasturlaridan ilg'or himoyani ta'minlaydi, jumladan: tizimga kirib kelishi mumkin bo'lgan josuslik dasturlari xavfini kamaytirish uchun real vaqt rejimida himoya qilish, xavfsizlik xatarlarini osongina bartaraf etish uchun avtomatik o'chirish, ro'yxatga olish kitobi yozuvlarini, fayllarni tiklash va tozalash qobiliyati bilan. josuslarga qarshi dastur hujumidan keyin brauzer sozlamalari. Symantec Security Response-ning LiveUpdate texnologiyasi bir qadamda korxonangizni viruslar, zararli dasturlar va josuslarga qarshi dasturlardan himoyalashni yangilash imkonini beradi va potentsial virus tahdidlari avtomatik ravishda tuzatish va javob mazmunini ta'minlovchi Symantec Security Response xizmatiga tahlil qilish uchun yuboriladi.

Trend Micro InterScan Web Security Suite asosidagi proksi-server "birinchi mudofaa chizig'ini" ifodalaydi. viruslar, josuslik dasturlari va kulrang dasturlardan, fishingdan himoya qiladi, shuningdek, zararli mobil kod bilan kurashish va Internetdagi xodimlarning ishini boshqarish uchun qo'shimcha modullarni ulash imkonini beradi. Faqat kiruvchi tahdidlarni emas, balki maxfiy ma'lumotlarning o'g'irlanishiga olib keladigan fishing sayt manzillariga chiquvchi ma'lumotlarni uzatishni ham bloklaydi. Applet va ActiveX Control xavfsizlik kengaytmasi Java kodini, imzolarni va ActiveX boshqaruvlari va Java appletlarining sertifikatlarini tekshirish orqali veb-sahifalarni zararli mobil kodni tekshiradi. Appletlarni tahlil qilib, noma'lum tizim zaifliklariga asoslangan nol kunlik hujumlardan himoya qiladi.
Pochta serverlari pochta tizimlari uchun antivirusning ruscha versiyasidan, Kasperskiy Anti-Virusidan foydalanadi. Ta'minlash:

zararli va potentsial xavfli dasturlardan himoya qilish;
spamni filtrlash;
kiruvchi va chiquvchi pochta xabarlari va qo'shimchalarini tekshirish;
Microsoft Exchange serveridagi barcha xabarlarni, shu jumladan umumiy papkalarni virusga qarshi skanerlash;
xabarlarni biriktirma turlari bo'yicha filtrlash;
infektsiyalangan va shubhali narsalarni izolyatsiya qilish;
bildirishnomalar yordamida himoya tizimining holatini kuzatish;
ilovalar haqida hisobot berish tizimi;

2.4.4 Terminal server ilovasi

Terminal serveri VPN kanali orqali Moskva idorasi bilan o'zaro aloqa qilish uchun ishlatiladi. Terminal mijozi terminal serveri bilan ulanishni o'rnatgandan so'ng, kiritilgan ma'lumotlarni (klavishlarni bosish, sichqoncha harakati) ikkinchisiga yo'naltiradi va, ehtimol, mahalliy resurslarga (masalan, printer, disk resurslari, smart-kartani o'quvchi, mahalliy) kirishni ta'minlaydi. portlar (COM / LPT) ). Terminal serveri foydalanuvchi ilovalari bajariladigan ish muhitini (terminal seansi) ta'minlaydi. Server ishining natijasi mijozga uzatiladi, qoida tariqasida, bu monitor va ovoz (agar mavjud bo'lsa) uchun tasvirdir.Terminal serveridan foydalangan holda sxemaning afzalliklari aniqroq.

Aloqa kanalidagi yukni kamaytirish
Xavfsizlikni oshirish
Kamroq xavfli ma'lumotlar VPN kanali orqali uzatiladi.

3. Ekologik qism va hayot xavfsizligi

3.1 Kompyuterlar bilan ishlashda yuzaga kelishi mumkin bo'lgan xavfli va zararli omillarni va ularning foydalanuvchilarga ta'sirini o'rganish

3.1.1 Kompyuterlar bilan ishlashda xavfli va zararli omillarni o'rganish

Dissertatsiyani bajarishda kompyuter texnologiyalarining quyidagi elementlari qo'llaniladi:
shaxsiy kompyuter IBM PC Intel CoreDuo - 2800 MGts , 1024Ram, 120Gb HDD, FDD, maksimal anod kuchlanishi 27kV bo'lgan Panasonic PF70 monitor, Hewlett Packard Laser Jet 1100 lazer printeri.

Xavfli omil - elektr toki urishi - shaxsiy kompyuterning o'zgaruvchan tokning 220V kuchlanishi va 50 Gts chastotasi bilan quvvatlanishi va bu odamlar uchun xavfsiz bo'lgan 40 V darajasidan oshib ketishi sababli paydo bo'ladi.Shuning uchun xavfli omil paydo bo'ladi. - elektr toki urishi.
Rentgen nurlanishining paydo bo'lishi katod-nurli trubaning anodida 300 kV gacha kuchlanishli displey mavjudligi (va 3-500 kV kuchlanishda, turli xil "qattiqlik" rentgen nurlanishining mavjudligi bilan bog'liq. mavjud). Foydalanuvchi "yumshoq" rentgen nurlanishi zonasiga kiradi. Zararli omil mavjud - rentgen nurlari.
Displey ekrani orqasida ishlaganda foydalanuvchi to'lqin uzunligi < 320 nm bo'lgan ultrabinafsha nurlanish (UVR) va chastotasi 400 kHz gacha bo'lgan elektromagnit maydonlarning nurlanishiga ta'sir qiladi. Monitor tomonidan chiqarilgan UV, floresan lampalar chiqaradigan UV va deraza teshiklari orqali uzatiladigan UV bilan birgalikda belgilangan UV zichligini oshirishi mumkin (10 Vt / m2). Zararli omil mavjud - ultrabinafsha nurlanish.
Shaxsiy kompyuterda (shuningdek, printer va boshqa periferik qurilmalarda) ishlayotganda va odamlar harakatlanayotganda statik elektr paydo bo'ladi, agar 15 kV / m nominal qiymatdan oshib ketgan bo'lsa, zararli omilga aylanadi.

5. Monitor ekranining orqasida ishlaganda, odam mos ravishda chastotalar bilan vertikal va gorizontal skanerlashning elektromagnit maydonlariga ta'sir qiladi: fframe = 65 Hz; fstr = 10 kHz. Zararli omil paydo bo'ladi - past chastotali elektromagnit maydonlarning nurlanishi.
Kompyuterda ishlaganda ma'lumotni qog'ozda ko'rsatish uchun printerdan foydalaniladi, bu esa foydalanuvchiga shovqin ta'sirini keltirib chiqaradi. Taraqqiyot bilan bu zararli omil jimroq texnologiyalar va bosib chiqarish uchun zarur bo'lgan vaqtni qisqartirish tufayli kamroq va ahamiyatsiz bo'lib qoladi. Uning ishlashi davomida smenada 45 dB shovqin ta'sirining normalangan qiymati oshmaydi va u odamga zararli shovqin ta'siriga ega emas.

Download 0,61 Mb.

Do'stlaringiz bilan baham:

1 ... 4 5 6 7 8 9 10 11 ... 16