Необхідність захисту даних. Класифікація видалених атак на розподілені обчислювальні системи. Характеристика і механізми реалізації типових видалених атак. Принципи створення захищених систем зв'язку в розподілених обчислювальних системах, страница 31

Аутентифікація на security сервері і безпека змісту

FireWall-1 дозволяє адміністратору визначати політику безпеки для кожного користувача, де не тільки джерело з'єднання, призначення і сервіс перевіряються, але і кожен користувач повинен бути аутентіфіцирован. Більш того, з'єднання можуть бути дозволені або заборонені виходячи з їх змісту. Наприклад, пошта для або від певних адрес може бути заборонена або перенаправлена, доступ може бути заборонений до заданих URL’s, і включена анті-вірусная перевірка над передаваними файлами.

Аутентифікація і перевірка вмісту забезпечуються набором серверів безпеки FireWall-1, працюючих на рівні додатку (Мал. 10).

Мал. 10. Соєдненіє через сервер безпеки FireWall-1

Коли працює сервер безпеки FireWall-1, модуль перевірки перенаправляє всі пакети з'єднання до серверу безпеки, який виконує необхідну аутентифікацію и/или перевірку вмісту.

Існують п'ять серверів безпеки FireWall-1, як показано в Таблиці 4.

Розподіл навантаження

FireWall-1 дозволяє розподілити обчислювальне навантаження на будь-яке число серверів. Мал. 11 показує конфігурацію, в якій сервіси FTP і HTTP обслуговуються декількома серверами.

Мал. 11. Розподіл навантаження по декількох серверах

Всі HTTP сервери здатні дати клієнту однакові сервіси (проте не всі HTTP сервери позаду захищеного моста). Таким же чином, всі FTP сервери забезпечують клієнтів однаковим сервісом.

Системному адміністратору важливо, щоб завантаження по обслуговуванню було розподілене між серверами. Клієнт не підозрюватиме про наявність декількох різних серверів. З погляду клієнта, є тільки один HTTP і один FTP сервер. Коли запит на обслуговування досягає FireWall, FireWall-1 визначає який з серверів обслуговуватиме даний запит, грунтуючись на алгоритмі балансування завантаження, заданому системним адміністратором.

Алгоритм розподілу навантаження

Доступні наступні алгоритми розподілу :

1. По завантаженню серверу. FireWall-1 запрошує сервери щоб визначити, який з них краще всього здатний обслужити нове з'єднання.
2. За часом відповіді на ping (round trip). FireWall-1 використовує ping для визначення часу проходження пакету між FireWall-1 і кожним з серверів і вибирає сервер з якнайменшим часом відповіді.
3. По кругу. FireWall-1 просто призначає наступний сервер в списку.
4. Випадковий. FireWall-1 призначає сервер у випадковому порядку.
5. По доменному імені. FireWall-1 призначає "найближчий" сервер, грунтуючись на доменних іменах.

Аутентифікація

FireWall-1 забезпечує наступні види аутентифікації:

1. Аутентифікація користувача, яка дозволяє адміністратору давати кожному користувачу свої привілеї доступу. Аутентифікація користувача включає сервер безпеки HTTP FireWall-1, який надає механізм для аутентифікації користувачів сервісу HTTP, як що входить так і витікаючого.
2. Аутентифікація клієнтів дає механізм для аутентифікації користувача будь-якого додатку, стандартного або власної розробки.
3. Аутентифікація сесій, що дає прозору аутентифікацію кожної сесії, що може бути інтегроване з будь-яким додатком.

Таблиця 5 порівнює властивості трьох типів аутентифікації FireWall-1.

Зверніть увагу: аутентифікація клієнта і сесії забезпечуються не серверами безпеки, а іншими механізмами, описаними в "Аутентифікація клієнта" і "Аутентифікація сесії".

FireWall-1 підтримує наступні схеми аутентифікації для кожного користувача:

1. S/Key - Користувачу вимагається ввести значення S/Key для даної ітерації.
2. SecurID - Користувачу вимагається ввести номер, показаний на SecurID карті Security Dynamics.
3. По паролю - від користувача вимагають ввести його (або її) пароль OS.
4. Внутрішня - користувач повинен ввести його (або її) внутрішній пароль FireWall-1 на мосту.
5. RADIUS - користувач повинен ввести відповідь на запит серверу RADIUS.
6. AssureNet Pathways - користувач повинен ввести відповідь на запит серверу AssureNet Pathway.

Перевірка потоку даних