Главная | Поддержка | Полезные материалы | ФСТЭК: Требования к фаерволам
Новая редакция ИКС КУБ. Подробнее>>>
30.01.2018 Поделиться

ФСТЭК: Требования к фаерволам

В настоящее время к межсетевым экранам предъявляют ряд определенных требований, разработанный Федеральной службой по техническому и экспортному контролю. Все они представлены на соответствующей странице ФСТЭК.

Что должен предотвращать межсетевой экран?

Исходя из указанных требований, можно сказать, что любой МЭ должен осуществлять противодействие нескольким видам угроз. К ним относится доступ к данным, которые хранятся в информационных системах и закрыты для публичного использования. Связан он с наличием неконтролируемых сетевых соединений. По этой же причине происходят и отказы в обслуживании ИС. Выход из строя компонентов информационных систем может происходить и из-за уязвимости используемых сетевых протоколов, слабых защитных механизмов, проблем с ПО и т.д. При этом, согласно Профилю, такая угроза реализуется посредством установления новых сетевых соединений, не предусмотренных заложенной технологией, для отправки большого числа пакетов данных до превышения уровня пропускающей способности или передачи аномальных запросов с нестандартным весом и структурой. Иными словами, брандмауэр должен защищать оборудование пользователей от DDoS- атак.

Еще одной важной угрозой, предотвращать реализацию которой должен МЭ, является несанкционированная передача личных данных из баз пользователя в посторонние системы. Производится она путем установки на компьютеры вредоносного ПО. Таким образом, брандмауэр необходим для защиты информации от ее попадания на вычислительную технику злоумышленников. В случае возникновения угрозы МЭ производят ограничение трафика.

Чтобы обеспечивать заданный уровень безопасности, межсетевые экраны должны противостоять воздействию на самих себя, чтобы нарушители не могли ограничить их функционирование или преодолеть какие-либо возможности.

Функциональные требования к брандмауэрам

Обеспечение надежной работы МЭ осуществляется за счет реализации следующих функций:

  • фильтрация и постоянный контроль;
  • идентификация пользователей и проверка их подлинности;
  • регистрация событий;
  • обеспечение бесперебойной работы всех подконтрольных систем и их восстановление в случае сбоев;
  • тестирование и проверка целостности;
  • администрирование;
  • взаимодействие с другими продуктами, предназначенными для защиты информации.

Межсетевые экраны способны фильтровать весь сетевой трафик в соответствии с заданными параметрами как для отправителей, так и для получателей данных. При этом требования к ним предполагают и фильтрацию операций передачи информации к узлам ИС и в обратном направлении. Условие это весьма утопично, так как предполагает открытие всех протоколов и определение всех возможностей перемещения данных, включая DNS.

Среди признаков, по которым осуществляется фильтрация современными брандмауэрами, можно выделить:

  • IP-адрес хоста адресанта в компьютерной сети;
  • IP-адрес хоста получателя;
  • набор данных, по которым осуществляется соединение и обмен данными (сетевой протокол);
  • протокол транспортного уровня;
  • номера портов источника и получателя в рамках каждой сессии;
  • «белый список» команд, мобильных кодов и протоколов прикладного уровня.

При этом МЭ должны учитывать управляющие команды, отдаваемые другими продуктами и решениями, с которыми они взаимодействуют. Большинство брандмауэров имеет возможность идентифицировать программное обеспечение, отвечающее за соединение, и задавать для него параметры безопасности, по которым в дальнейшем будет назначаться фильтр.

Все входящие и исходящие пакеты данных проверяются по особой таблице состояний. Контроль производится до тех пор, пока не будет определено соответствие статуса или типа каждого пакета предполагаемым параметрам. Основываясь на результатах проверок, брандмауэры пропускают или останавливают потоки. Все операции по распознаванию информации сетевого трафика могут быть зарегистрированы, а каждая запись остается доступной для поиска и чтения.

Еще одной особенностью МЭ, отраженной в Профилях, является наличие режима аварийной поддержки, из которого в любой момент можно вернуться к штатному режиму функционирования или при необходимости ограничить доступ к интернету.



Возврат к списку


Скачатьпоследнюю версиюКупитьпоследнюю версию
Редакции ИКС

Тип лицензии
Модули
Антивирусы:
Категории трафика:

Количество пользователей

Аппаратная платформа

Преимущества

  • Лицензия без ограничения времени
  • Бесплатная техническая поддержка
  • Возможна установка с USB-флешки
  • Срок бесплатного тестирования — 35 дней
  • Обучающие видеоуроки
  • Отдел разработки ориентирован на клиента
  • Не требуется дополнительное программное обеспечение

Нам доверяют

Авиакомпания "East Air"

"Наша команда IT специалистов опробовала много различных решений и остановила свой выбор на системе Интернет Контроль Сервер. Данный продукт недорогой, многофункциональный и легкий в настройке, что в свою очередь позволяет быстро и без лишних проблем обеспечить доступ небольшого офиса в интернет, развернуть электронную почту и обеспечить сотрудникам удаленный доступ к ресурсам компании."

Еще
Все отзывы
01/03/2018 Вебинар

"IP-телефония: офисная АТС на базе ИКС"

Демо Онлайн

логин: root
пароль: 00000

Онлайн-расчет

стоимости ИКС и модулей

Новая версия

ИКС 5.2.2 от 04.12.17

Видеоуроки

по настройке ИКС

Презентация

возможности ИКС

Выберите свой тип покупателя
Физическое
лицо
Юридическое
лицо
X