- Дипломы
- Курсовые
- Рефераты
- Отчеты по практике
- Диссертации
Защита корпоративной сети с использованием аппаратного межсетевого экрана cisco asa
| Код работы: | W011002 |
| Тема: | Защита корпоративной сети с использованием аппаратного межсетевого экрана cisco asa |
Содержание
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ ЛУГАНСКОЙ НАРОДНОЙ РЕСПУБЛИКИ «ЛУГАНСКИЙ НАЦИОНАЛЬНЫЙ УНИВЕРСИТЕТ ИМЕНИ ВЛАДИМИРА ДАЛЯ»
Факультет компьютерных систем и информационных технологий
Кафедра компьютерных систем и сетей
Направление подготовки: 09.03.01 - Информатика и вычислительная техника
Профиль подготовки: Вычислительные машины, комплексы, системы и сети
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
к выпускной квалификационной работе бакалавра на тему « Защита корпоративной сети с использованием аппаратного
межсетевогоэкранаCiscoASA
_________________________________________________
_________________________________________________
_________________________________________________»
Дипломник_______________________ ______________
Зав.кафедрой доц. Попов С.В. ______________
Руководитель____________________ ______________
г. Луганск
2018 г.
Форма № 5.07.2
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ ЛУГАНСКОЙ НАРОДНОЙ РЕСПУБЛИКИ
" ЛУГАНСКИЙ НАЦИОНАЛЬНЫЙ УНИВЕРСИТЕТ ИМЕНИ ВЛАДИМИРА ДАЛЯ "
Факультет компьютерных систем и информационных технологий
Кафедра компьютерных систем и сетей
Образовательно-квалификационный уровень: Бакалавр
Направление подготовки: 09.03.01- Информатика и вычислительная техника
Профиль подготовки: Вычислительные машины, комплексы, системы и сети
"УТВЕРЖДАЮ"
Зав. кафедрой .......................... доц. Попов С.В.
____.____.2018 г.
ЗАДАНИЕ НА ВЫПУСКНУЮ КВАЛИФИКАЦИОННУЮ РАБОТУ БАКАЛАВРА
1.
Студент
Быков А. Р.
2.
Группа
ИТ - 442
3. Тема работы: Защита корпоративной сети с использованием аппаратного межсетевого экрана Cisco ASA
Утверждено приказом по университету № 102-04 от 06.04. 2018 г.
4. Срок сдачи студентом законченной работы
5. Исходные данные к работе:
…………………………………………………………………………………
6. Содержание пояснительной записки к работе:
…………………………………………………………………………………
7. Календарный план выполнения работы
Название этапа
Срок исполн.
Примечание
Студент ......................................
(подпись)
Научный руководитель работы
...................................
____________________
(подпись)
Ф.И.О.
Консультант работы ………………………. ____________________(если есть!)
(подпись)
Ф.И.О.
Нормоконтроль
……………………….
____________________
(подпись)
Ф.И.О.
Дата выдачи задания «___»______________ 2018 г.
Аннотация
Данная дипломная работа заключается в разработке корпоративной сети компании ОАО «Рога и Копыта», а также решения для обеспечения сетевой безопасности с использованием аппаратного межсетевого экрана Cisco ASA.
1200 знаков (но не более одной страницы формата А4)
Содержание
Введение 6
Основная часть: Ошибка! Закладка не определена.
Глава 1. Исследовательская (теоретическая) часть. 7
Глава 2. Аналитическая часть. 25
Теоретическая часть 36
Глава 3. Проектная часть 37
Заключение (более двух страниц) 51
Список использованных источников. 52
50-80 страниц + 5-6 плакатов
Изм.Лист
№ докум.
ПодпДата
Разраб.
Быков
Лит.
Лист
Листов
Провер.
5
87
Реценз.
ЛНУ им. В Даля
Н. контр.
ИТ-442
Утверд.
Введение
Актуальность темы дипломной работы определяется стремительным темпом роста численности компаний имеющих сложную информационную
структуру, многообразием и повсеместным распространением информационно-управляющих систем, а также многообразием видов угроз и возникновением новых возможных каналов несанкционированного доступа к корпоративным данным. Защита корпоративной информации позволяет избежать экономического ущерба при утрате данных, сохранить репутацию компании, а также возможность привлечения новых клиентов.
Целью данной работы является разработка системы организации корпоративной сети для предотвращения утечки данных и хищения информации, предотвращения несанкционированных действий направленных на уничтожение, модификацию и хищение данных. Защиту законных прав граждан на сохранение конфиденциальной информации и персональных данных имеющихся в информационной системе.
При разработке корпоративной сети были решены задачи по защите информации от несанкционированного доступа со стороны внешней сети интернет одним из способов организации доступа к сервисам корпоративной сети, а именно созданием демилитаризованной зоны (DMZ). DMZ организуется с помощью межсетевых экранов, отделяющих ее от Интернет и от внутренней сети.
Схема организации защиты корпоративной сети, разработанная на страницах данного диплома, имеет большую практическую значимость. Данная схема позволяет защитить важные корпоративные данных от несанкционированного доступа.
ДП. ИТ – 442.16196. ПЗ
Изм. Лист
№ докум.
Подпись Дата
Разраб.
Быков А.Р.
Лит.
Лист
Листов
Провер.
4
29
Реценз.
Н. Контр.
Кафедра КСС
Утверд.
Глава 1. Исследовательская (теоретическая) часть.
1.? Понятие информационной безопасности
Информационная безопасность представляет собой набор стратегий для управления процессами, инструментами и политиками, необходимыми для предотвращения, обнаружения, документирования и противодействия угрозам цифровой и не цифровой информации. Обязанности информационной безопасности включают в себя создание комплекса бизнес-процессов, которые будут защищать информационные ресурсы независимо от того, как форматируется информация или находится ли она в пути, обрабатывается или находится в состоянии покоя на хранении.
Программы информационной безопасности основаны на трех основных задачах: поддержание конфиденциальности, целостности и доступности ИТ-систем и бизнес-данных. Эти цели гарантируют, что конфиденциальная
информация раскрывается только уполномоченным сторонам
(конфиденциальность), предотвращает несанкционированное изменение данных (целостность) и гарантирует, что данные могут быть предоставлены уполномоченными сторонами по запросу (доступности).
Многие крупные предприятия используют специальные отделы безопасности для внедрения и поддержки информационной программы организации. Как правило, этот отдел возглавляет главный сотрудник по информационной безопасности. Группа безопасности, как правило, несет ответственность за управление рисками, процесс, посредством которого постоянно оцениваются уязвимости и угрозы для информационных активов, и принимаются и применяются соответствующие меры контроля. Ценность организации заключается в ее информации - ее безопасность имеет решающее значение для деловых операций, а также сохраняет репутацию фирмы и доверие
клиентов.
Угрозы
частной
информации могут КРбыть.ИТ –представлены442.16196.ПЗво
многих
Изм. Лист№ докум.
Подпись
Дата
Разразличныхаб.
формах, таких как вредоносное ПО и фишинг-атаки, кража личных
Б ков А.Р.
Лит.Лист
Листов
Провер.
4
29
Реценз.
Н. Контр.
Кафедра КСС
Утверд.
данных и вымогательство. Чтобы сдерживать атакующих и устранять уязвимости в разных узлах необходимо реализовать систему из несколько элементов управления безопасностью которые реализуются и координируются как часть стратегии многоуровневой защиты. Это должно минимизировать влияние атаки. Чтобы подготовиться к нарушениям безопасности, группы безопасности должны иметь план реагирования на угрозы безопасности. Это должно позволить им содержать и ограничивать ущерб, устранять причину и применять обновленные средства защиты.
1.? Угрозы информационной безопасности
Угрозы информационной (компьютерной) безопасности – это различные действия, которые могут привести к нарушениям информационной
безопасности. Другими словами, это потенциально возможные события/процессы или действия, которые могут нанести ущерб информационным и компьютерным системам.
Угрозы ИБ можно разделить на два типа: естественные и искусственные. К естественным относятся природные явления, которые не зависят от человека, например, ураганы, наводнения, пожары и т.д. Искусственные угрозы зависят непосредственно от человека и могут быть преднамеренные и
непреднамеренные. Непреднамеренные угрозы возникают из-за неосторожности, невнимательности и незнания. Примером таких угроз может быть установка программ, которые не входят в число необходимых для работы,
в дальнейшем нарушающих работу системы, что и приводит к потере информации. Преднамеренные угрозы, в отличие от предыдущих, создаются специально. К ним можно отнести атаки злоумышленников как извне, так и изнутри компании. Результат этого вида угроз – огромные потери компанией денежных средств и интеллектуальной собственности.
1.1 Межсетевой экран
Межсетевой экран - это устройств или программная предназначенное для отделения сетей друг от друга. Другое межсетевого экрана: брандмауэр или firewall.
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
система, название
Лист
8
Межсетевые экраны используются для защиты сетей от проникновения злоумышленников.
Межсетевые экраны перехватывают все пакеты, которые поступают в сети, и проверяют их на соответствие политике безопасности по таблице правил. Межсетевые экраны работают на сетевом и транспортном уровне, они анализируют заголовки пакетов протоколов этих уровней. Чаще всего используются IP-адреса, порты транспортного уровня, флаги, а также состояние соединение.
Таблица правил выглядит следующим образом. Здесь показаны наиболее важные для понимания логики работы межсетевого экрана столбцы. В реальных межсетевых экранах таблицы могут отличаться.
Таблица 1.1. – Пример таблицы правил межсетевого экрана
IP отправителя
Порт
IP получателя
Порт
Протокол
Действие
отправителя
получателя
220.10.1.0/24
>1024
Вне
80
TCP
Разрешить
220.10.1.0/24
Вне
80
220.10.1.0/24
>1024
TCP
Разрешить
220.10.1.0/24
Любой
Любой
Любой
Любой
Любой
Запретить
Основные поля в таблице - это IP-адреса и порты отправителя и получателя. Также есть поле протокол, в котором указывается используемый протокол транспортного или сетевого уровня, например, TCP, UDP или ICMP. Последнее после таблицы - действие. В нем прописывается, что межсетевой экран должен сделать с пакетом: разрешить его прохождение или запретить.
Преимуществом использования межсетевых экранов является увеличение безопасности.
Недостатки межсетевых экранов:
- Неправильная конфигурация может привести к неработоспособности
сети.
- Возможно снижение производительности сети.
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
9
1.2 Выбор Устройства
Устройства адаптивной защиты Cisco ASA Series представляют собой многозадачный сервис. В первую очередь, это возможности файервола. Новая версия файервола обеспечивает пропускную способность 40 Гбит / с, это очень мощный защитник. Второе, что обеспечивает ASA – это VPN с поддержкой SSL
и IPSec. Все устройства ASA обладают возможностью создания VPN. К такой сети можно подключить 2000 пользователей. Третья составляющая – это поддержка IPS, то есть ASA содержит модуль защиты от несанкционированного доступа. Разработанные в качестве основного компонента самозащищающейся сети Cisco, устройства Cisco ASA Series предоставляют интеллектуальную защиту от угроз и услуги безопасных коммуникаций, которые останавливают распространение атак прежде, чем они смогут оказать негативное влияние на целостность бизнеса. Устройства Cisco ASA Series предназначены для защиты сетей всех масштабов и позволяют организациям сократить общие расходы на развертывание и эксплуатацию, одновременно обеспечивая комплексную многоуровневую безопасность.
Рисунок 2.1 - Устройство защиты Cisco ASA Series
В техническом плане система ASA Series опирается на мощные средства безопасности, присутствующие в таких семействах продуктов Cisco, как PIX 500 Firewall, IDS 4200 Sensor и VPN 3000 Concentrator.
ТАБЛИЦА 93 – Характеристики Cisco ASA 5510 Security Plus
Характеристика
Cisco ASA 5510; Security Plus
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
10
Пропускная способность при динамической
До 300 Мбит/с
проверке пакетов (макс.)
Пропускная способность
До 150 Мбит/с для AIPSSM-10;
Пропускная
способность
VPN
с
До 170 Мбит/с
шифрованием 3DES/AES5
Пользователи/узлы
Неограниченно
Кол-во туннелей IPsec
250
Пользователи Cisco Cloud Web Security
75
Кол-во туннелей Premium AnyConnect VPN
2/250
(включенные в состав/макс. кол-во)
Количество одновременных подключений
50,000; 130,000*
Количество новых подключений в секунду
9000
Виртуальные интерфейсы (VLAN)
50; 100
Контексты безопасности (включенные в
0,0; 2,5
состав/макс. кол-во)
Высокая доступность
Не поддерживается; режимы «активный/
активный» и «активный/ резервный»
Слот расширения
1 SSM
Слот доступной для пользователя флэш-
1
памяти
Порты USB 2.0
2
Интегрированный ввод-вывод
5 портов Fast Ethernet/2 порта GE (медный
кабель), 3 порта Fast Ethernet
Порты расширения ввода- вывода
4 порта GE (медный кабель) или 4 порта GE
SFP
Последовательные порты
2 RJ-45, консольный и вспомогательный
Память
1 Гб
Минимальный объем системной флэш-
256 Мб
памяти
Системная шина
Многошинная архитектура
Cisco ASA Series предоставляет развитые механизмы адаптивной защиты от угроз, известные под общим названием Adaptive Threat Defense. Сюда входят средства защиты от неизвестных угроз (Anti-X), методы защиты бизнес-приложений (Application Security) и технологии контроля и защиты сети
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
11
(Network Containment and Control), которые гарантируют унифицированную и полную защиту всех важных ресурсов предприятия от широкого спектра несанкционированных действий. В одном устройстве, которое включает в себя встроенную подсистему корреляции событий безопасности, заказчики получают средства защиты сети от многих неизвестных угроз (для борьбы с компьютерными червями и вирусами) и от шпионского и рекламного ПО, инструменты анализа трафика, выявления активности хакеров и предотвращения вторжений, а также средства предупреждения атак типа "отказ в обслуживании" (DoS).
1.3 Сравнение с Аналогами
Сравним ряд моделей межсетевых экранов Cisco с аналогами изделий от Check Point и Fortinet. Для обеспечения корректного сравнения устройства будут сравниваться по их сходству в целевом назначении. Модель ASA 5515-X сравним с Check Point 4210, ASA 5525-X — с FortiGate 310B, а ASA 5555-X — с устройствами Check Point 4807.
Для определения реальной производительности устройств по протоколам TCP и UDP, а также для оценки их возможностей с использованием IP-протокола следующего поколения (IPv6) и системы предотвращения вторжений (IPS) был изучен ряд вариантов использования.
(EMIX), Мбит/с Производительность
1400
1200
1230
1000
1152
800
600
624
400
200
331
210
91
0
ASA 5515-X в
ASA 5515-X в
ASA 5515-X в
сравнении с CP 4210
сравнении с CP 4210
сравнении с CP 4210
Название оси
Cisco Check Point Fortinet
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
12
Рисунок 1111 - Тестирование в условиях реального смешанного трафика с
включенными межсетевым экраном и системой IPS Регистрировался ряд параметров, включая использование ЦП и
выделенной памяти, число соединений в секунду, одновременные соединения, реальная производительность по протоколам HTTP и TCP EMIX, для определения реальных возможностей каждого устройства.
Система предотвращения вторжений (IPS) требует дополнительных
ресурсов. В технической документации часто не указывается производительность устройств при ее включении. Работа всех устройств
с включением системы IPS имитирует условия реальной эксплуатации
Производительностьвусловияхреального
многопротокольного смешанного трафика.
Для оценки работы каждого устройства использовался трафик с пакетами различного размера и по разным протоколам с преобладанием приложений на основе протокола TCP. Рисунок 22222. Также был рассмотрен профиль усредненного Интернет-трафика (IMIX), но мы считаем, что он не соответствует типовому корпоративному трафику, поскольку в качестве базового протокола в нем используется только UDP.
250 виртуальных узлов с тремя виртуальными серверами были размещены с каждой стороны межсетевого экрана для измерения производительности устройств в двух направлениях. Все межсетевые экраны использовали простую политику, предусматривающую разрешение всех действий. Кроме того, была включена система предотвращения вторжений (IPS) для моделирования реальной работы. Работа этой системы существенно зависит от настройки профиля сигнатур. Поэтому мы выбрали сопоставимый профиль сигнатур для устройств разных производителей, имитирующий реальные условия работы. Конечная цель состояла в измерении производительности устройств при работе межсетевого экрана вместе с системой IPS с погрешностью 5%, учитывающей неудачно выполненные операции.
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
13
Производительность устройства ASA 5515 по смешанному трафику составила 1,4 Гбит/с, что на 113% выше, чем у Check Point 4210.
Аналогичным образом, производительность у ASA 5525-X была на 99% выше, чем у FortiGate 310B, а у ASA 5555-X — на 6% выше, чем у Check Point 4807. Результаты показаны на рисунке. 1111.
FTP
8,79%
SMTP
8,79%
IMAPv4
16,48%
HTTP
43,96%
Bit Torrent
21,98%
Рисунок 2222 - Структура трафика EMIX Производительность по трафику IMIX
Для определения максимальной скорости передачи данных без потери пакетов для определенного диапазона фиксированных размеров пакетов, характерного для Интернет-трафика (IMIХ) использовался эталонный тест производительности RFC 2544. Некоторые производители межсетевых экранов публикуют только данные о производительности для пакетов UDP фиксированного размера, что, по нашему мнению, не соответствует реальным условиям. Производительность по протоколу UDP лучше отображается трафиком IMIX с пакетами разных размеров.
Данные в двух направлениях передавались 250 виртуальными узлами, разделенными межсетевым экраном. Также была измерена производительность для профиля трафика IMIX по 4 точкам с произвольным распределением пакетов
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
14
по размерам (у исходного профиля такое распределение фиксированное). Рисунок 333222
Производительность (Мбит/с)
2000
2500
1800
1600
2000
1400
1810
1200
1500
1810
1000
1539
1366
1933
1649
1677
800
1000
1933
1382
600
1317
1161
1104
400
500
200
0
0
ASA5515-X
CP4210
ASA5525-X
FG310B
ASA5555-X
CP4807
Межсетевой экран
Исходный трафик IMIX, Cisco
Трафик IMIX, 4
точки, Cisco
Исходный трафик IMIX, Check Point
Трафик IMIX, 4
точки, Check Point
Исходный трафик IMIX, Fortinet
Трафик IMIX, 4
точки, Fortinet
Рисунок – 333222 Производительность устройств серии по трафику IMIX (протокол IPv4 UDP)
Производительность (Мбит/с)
2000
960
1800
958
1600
956
1400
954
1200
1580
1849
1822
952
1000
1692
959
1692
950
800
1381
1266
948
600
999
1181
946
400
948
944
200
410
0
942
ASA5515-X
CP4210
ASA5525-X
FG310B
ASA5555-X
CP4807
Межсетевой экран
Исходный трафик IMIX, Cisco
Трафик IMIX, 4
точки, Cisco
Исходный трафик IMIX, Check Point
Трафик IMIX, 4
точки, Check Point
Исходный трафик IMIX, Fortinet
Трафик IMIX, 4
точки, Fortinet
Рисунок 56 - Производительность устройств трафику IMIX (протокол IPv6 UDP)
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
15
Проверка проводилась в течение 60 секунд с регистрацией результатов при отсутствии разрыва соединений. При потере данных она запускалась
с начала с более низкими входными характеристиками и двоичным алгоритмом поиска для определения максимальной производительности каждого межсетевого экрана, при которой отсутствует разрыв соединения. Все показанные результаты характеризуются полным отсутствием потери пакетов и высочайшим уровнем облуживания для каждого проверяемого устройства.
Кроме того, при проверке трафика по протоколу IPv6 UDP
использовалась схема маршрутизации IPv6 — IPv6 (6 — 6) рисунок 56. Производительность устройств Cisco ASA 5500-X была одинаковой для протоколов IPv4 и IPv6. Но у устройств Check Point и Fortinet она была заметно ниже для протокола IPv6, чем для протокола IPv4. В частности, такое снижение у устройства Check Point 4200 составило 41%, а у устройства Fortinet — 48%. Результаты проверки числа соединений в секунду (CPS) по протоколам IPv4 и IPv6 представлены на рисунке 333222 и 56 соответственно.
Максимальная пропускная способность по протоколу HTTP
Для определения эффективности обработки межсетевым экраном трафика HTTP был создан сценарий с использованием web-трафика с пакетами разного размера. Контрольное оборудование было настроено для получения постоянной полезной нагрузки 1, 4, 11 и 16 килобайт по протоколу HTTP 1.1. Генерировался один запрос GET HTTP, и задержки генерирования отклика HTTP не происходило. Рассматривая широкое распределение полезной нагрузки, можно точно определить производительность всех устройств при обработке пакетов всех размеров и при всех распределениях полезной нагрузки. Кроме того, система IPS была включена для всех устройств, чтобы снова имитировать реальные условия работы. Фиксировалась максимальная производительность каждого устройства без потери пакетов.
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
16
У ASA 5515-X она оказалась на 87% выше, чем у FortiGate 310B, у
ASA5525-X — на 56% выше, чем у Check Point 4210, а у ASA 5555-X — на 37% выше, чем у Check Point 4807. Рисунок 333.
При максимальной загрузке процессора во время проверки производительности графический интерфейс пользователя устройства Fortinet переставал реагировать на команды, а управление устройствами Check Point и Cisco не нарушалось.
Кроме того, во время проверки с увеличенной полезной нагрузкой по протоколу HTTP наблюдалось прекращение проверки трафика системой IPS на устройствах Fortinet, когда полезная нагрузка превосходила 200 килобайт. В случае с устройствами Cisco и Check Point этого не происходило. Мы считаем, что это попытка оптимизации производительности за счет снижения уровня безопасности. К тому же соответствующая настройка была доступна только через интерфейс командной строки, а не через графический интерфейс пользователя
Производительность (Мбит/с)
3000
2500
2000
1500
1000
500
0
1 кбайт 4 кбайт 11 кбайт 16 кбайт
Полезная нагрузка GET, кбайт
ASA 5515-X FG 310B CP 4807 ASA 5525-X CP 4210 ASA 5555-X
Рисунок 333 - Максимальная производительность по протоколу HTTP — множество запросов GET
В отличие от устройств Cisco и Fortinet, при использовании устройств Check Point наблюдалось ограничение, состоявшее в том, что в устройстве
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
17
можно было использовать только один профиль защиты. Его нельзя было конфигурировать для каждой политики межсетевого экрана. Кроме того, «рекомендуемый профиль» для системы IPS в устройстве Check Point не включает сигнатуры, маркированные «средним — низким» (medium-low) уровнем уверенности или сигнатуры класса «низкий риск» (low?risk).
Также в устройствах Cisco была реализована защита с помощью системы IPS на основе информации о репутации. Аналогичная функция отсутствует в устройствах Fortinet и Check Point.
Число соединений в секунду
Цель этого теста состоит в определении максимального количества соединений в секунду (CPS), которое межсетевой экран может обрабатывать по протоколу TCP. Каждое соединение моделировалось с использованием одного запроса GET HTTP 1.0 с полезной нагрузкой 64 байта в отклике HTTP без полезной нагрузки на стороне сервера. Соединение поддерживалось в активном состоянии в течение всего теста путем включения параметра проверки активности (Keep?Alive) HTTP.
Максимальное достижимое количество соединений в секунду измерялось путем итерационного увеличения частоты соединений до достижения состояния отсутствия разрыва соединений. Тест проводился с HTTP-трафиком по протоколам IPv4 и IPv6. Рисунок 888.
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
18
Соединений в секунду (тысяч)
60
50
51
46,65
45,02
40
40
30
26
26
20
21,7
20
22,63
17
16
15
10
0
ASA 5515-X В
ASA 5525-X В
ASA 5555-X В
ASA 5515-X В
ASA 5525-X В
ASA 5555-X В
СРАВНЕНИИ С
СРАВНЕНИИ С
СРАВНЕНИИ С
СРАВНЕНИИ С
СРАВНЕНИИ С
СРАВНЕНИИ С
CP4210 IPV4
FG310B IPV4
CP4807 IPV4
CP4210 IPV6
FG310B IPV6
CP4807 IPV6
Рисунок 8888 – Число соединений в секунду
Оказалось, что только ASA 5500-X обеспечило соответствие данным, опубликованным в информационном бюллетене. Возможная причина этого в том, что некоторые производители используют для такой проверки полезную нагрузку TCP 1 байт, при которой число соединений в секунду получается выше, хотя такая нагрузка нереальна в условиях практической эксплуатации.
При использовании протокола IPv6 число соединений в секунду у устройств Cisco, снижалось на 10%, у устройств Fortinet — на 34%. а у устройств Check Point — на 20%. Также на устройствах Check Point наблюдалось частое прерывание передачи пакета при максимальном числе соединений в секунду. На устройствах Cisco и Fortinet это не происходило
Выводы
На основе тестов многофункциональных устройств обеспечения безопасности Cisco ASA 5515-X, 5525-X и 5555-X их производительность выше, чем у их аналогов Check Point 4210, FortiGate 310B и Check Point 4807.
Производительность устройств 5515-X, 5525-X и 5555-X при одновременном включении межсетевого экрана и системы IPS с реальным трафиком была на 113%, 99% и 6% выше (соответственно), чем у их аналогов. При трафике UDP (протоколы IPv4 и IPv6), производительность межсетевого
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
19
экрана на устройствах ASA 5500-X была на 57% выше, чем у аналогов. Число соединений в секунду у устройства ASA 5500-X также было выше 10% по протоколу IPv4 и на 24% по протоколу IPv6 по сравнению с аналогами.
Устройства Cisco ASA 5515-X, 5525-X и 5555-X обеспечивают высокий
уровень безопасности, масштабирования и производительности, необходимый для корпоративных сетей, центров обработки данных и приложений Web 2.0. Рабочие и защитные функции устройств Cisco ASA 5515-X, 5525-X и 5555-X подтверждены Сертификатом проверки рабочих характеристик, выданным компанией Miercom
1.4 Разработка политики безопасности
Общие положения
Настоящая Политика разработана в соответствии законодательством Луганской Народной Республики об информации, информационных технологиях и защите информации.
Настоящая Политика является документом, доступным любому работнику предприятия и пользователю его ресурсов, и представляет собой официально утвержденную руководством предприятия концепцию точки зрения на проблему обеспечения информационной безопасности, и устанавливает принципы построения системы управления информационной безопасностью на основе систематизированного описания целей, процессов и мероприятий информационной безопасности предприятия.
Требования информационной безопасности, которые предъявляются предприятием, соответствуют интересам деятельности предприятия и предназначены для снижения рисков, связанных с информационной безопасностью, до приемлемого уровня. Факторы рисков в информационной сфере предприятия имеют отношение к его корпоративному управлению
(менеджменту), организации и реализации бизнес-процессов,
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
20
взаимоотношениям с контрагентами и клиентами, внутрихозяйственной деятельности.
Цели и задачи деятельности по обеспечению информационной безопасности
Целью деятельности по обеспечению информационной безопасности предприятия является снижение угроз информационной безопасности до приемлемого для предприятия уровня. Основные задачи деятельности по обеспечению информационной безопасности предприятия:
• выявление потенциальных угроз информационной безопасности и уязвимостей объектов защиты;
• предотвращение инцидентов информационной безопасности;
• исключение либо минимизация выявленных угроз.
Угрозы информационной безопасности
Все множество потенциальных угроз безопасности информации делится на три класса по природе их возникновения: антропогенные, техногенные и естественные
Возникновение антропогенных угроз обусловлено деятельностью человека. Среди них можно выделить угрозы, возникающие вследствие как непреднамеренных (неумышленных) действий: угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т.п., так и угрозы, возникающие в силу умышленных действий, связанные с корыстными, идейными или иными устремлениями людей.
Возникновение техногенных угроз обусловлено воздействиями на объект угрозы объективных физических процессов техногенного характера, технического состояния окружения объекта угрозы или его самого, не обусловленных напрямую деятельностью человека. К техногенным угрозам
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
21
могут быть отнесены сбои, в том числе в работе, или разрушение систем, созданных человеком.
Возникновение естественных угроз обусловлено воздействиями на объект угрозы объективных физических процессов природного характера, стихийных природных явлений, состояний физической среды, не обусловленных напрямую деятельностью человека.
К естественным угрозам относятся угрозы метеорологические,
атмосферные, геофизические, геомагнитные и пр., включая экстремальные климатические условия, метеорологические явления, стихийные бедствия.
Источники угроз по отношению к инфраструктуре предприятия могут быть как внешними, так и внутренними.
Обладателем информации может быть гражданин (физическое лицо), юридическое лицо.
Обладатель информации, если иное не предусмотрено законами Луганской Народной Республики, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
2) использовать информацию, в том числе распространять ее, по своему усмотрению;
3) передавать информацию другим лицам по договору или на ином установленном законом основании;
4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
5) осуществлять иные действия с информацией или разрешать осуществление таких действий.
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
22
Обладатель информации при осуществлении своих прав обязан:
1) соблюдать права и законные интересы иных лиц;
2) принимать меры по защите информации;
3) ограничивать доступ к информации, если такая обязанность установлена законами Луганской Народной Республики.
Ограничение доступа к информации
Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица законодательством Луганской Народной Республики возложены обязанности по соблюдению конфиденциальности такой информации.
Информационные системы
Права обладателя информации, содержащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных.
Оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы, если иное не установлено законодательством Луганской Народной Республики. В случаях и в порядке, установленных
законодательством Луганской Народной Республики, оператор информационной системы должен обеспечить возможность размещения информации в телекоммуникационной сети в форме открытых данных.
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
23
ДП. ИТ – 442.16196. ПЗ
Изм. Лист № докум. Подпись Дата
Лист
24
Глава 2. Аналитическая часть.
2.1 Варианты организации доступа к сервисам корпоративной сети
Первым и самым простым вариантом организации корпоративной сети является «Плоская сеть». В данном варианте все узлы корпоративной сети содержатся в одной, общей для всех сети («Внутренняя сеть»), в рамках которой коммуникации между ними не ограничиваются. Сеть подключена к сети Интернет через пограничный маршрутизатор или....................... |
Для получения полной версии работы нажмите на кнопку "Узнать цену"
| Узнать цену | Каталог работ |
Похожие работы:
