Определение сетевой инфраструктуры и безопасности

к Интернету, используют пакет протоколов TCP/IP.
Интернет содержит огромный объем информации,

множество ресурсов и служб:
Серверы всемирной сети (World Wide Web, WWW) с размещенным контентом.
Инфраструктура, поддерживающая работу электронной почты.
Средства подключения одноранговых сетей.

Интернет

Интернет

к которым осуществляется с помощью веб-браузера.
Взаимосвязанные гипертекстовые документы могут содержать

текст, графические материалы и видео.
Современная всемирная сеть вступила в новую фазу развития и получила название Web 2.0 .
Web 2.0 обеспечивает интерактивное взаимодействие в Интернете (в отличие от предыдущей версии 1.0).

Всемирная сеть

для совместного использования данных сотрудниками из разных стран.
Для получения

доступа к информации в интрасети пользователь должен пройти проверку подлинности.
В идеальном случае такие меры безопасности позволяют не допускать обычных пользователей из Интернета в интрасеть.

Интрасеть

что экстрасеть предназначена для пользователей, находящихся за пределами компании, для

дочерних предприятий или отдельных организаций.
Для получения доступа к информации в интрасети пользователь также должен пройти проверку подлинности. Обычные пользователи из Интернета не имеют доступа к экстрасети.

Экстрасеть

для внутренних сотрудников.
Экстрасеть — для партнеров.
Веб-сервер — для обычных пользователей из Интернета.

двумя или несколькими компьютерами (или устройствами), находящимися в разных частных

сетях.
Инкапсуляция и шифрование данных позволяют предоставлять доступ к устройству VPN только авторизованным пользователям или сеансам.
Через используемые локальные и глобальные сети создается «туннель».

VPN

Интернет/ поставщик услуг Интернета

IP-датаграммы для передачи по IP-сети (по умолчанию данные не шифруются).
Протокол

L2TP с протоколом IPsec (L2TP/IPSec) — это комбинация протоколов PPTP и пересылки по уровню 2 (L2F), технологии компании Cisco Systems, Inc. Протокол IPSec используется для шифрования сообщений.

Популярные VPN-протоколы

в IP-заголовок для отправки через IP-сеть или общедоступную IP-сеть.
Протокол PPTP

может использоваться для удаленного доступа и VPN-подключений типа «сеть-сеть».
Протокол PPTP инкапсулирует PPP-кадры в IP-датаграммы для их передачи по сети.
Протокол PPTP использует ТCP-подключение для управления туннелем, а измененную версию протокола универсальной инкапсуляции маршрутов (GRE) — для инкапсуляции PPP-кадров.
Полезная нагрузка инкапсулированного PPP-кадра может быть зашифрована и сжата.

Протокол PPTP

Зашифрованный

PPP-кадр

с помощью любого средства, которое поддерживает доставку датаграммы в режиме

«точка-точка».
L2TP использует IPSec в транспортном режиме для поддержки служб шифрования.
Инкапсуляция пакетов L2TP/IPSec состоит из двух уровней:
Инкапсуляция L2TP: PPP-кадр упаковывается при помощи заголовка L2TP и UDP.
Инкапсуляция IPSec: сообщение L2TP упаковывается при помощи заголовка IPSec Encapsulating Security Payload (ESP) и индекса завершения, а также индекса завершения проверки подлинности IPSec.

L2TP с IPSec

Зашифровано с помощью IPSec

один из самых распространенных типов устройств, обеспечивающих безопасность в сети

периметра организации.

Брандмауэры

локальных, глобальных, интрасетей и экстрасетей.
Сети периметра предоставляют доступ к определенным

корпоративным ресурсам конкретным пользователям или обычным пользователям из Интернета. При этом доступ к остальной части корпоративной информации не предоставляется.

Устройства и зоны безопасности

брандмауэр, и принимает или отклоняет их на основе набора правил.
При

проверке пакетов с неизменным состоянием сведения о пакетах, прошедших через брандмауэр, не сохраняются.
Функция проверки пакетов с отслеживанием состояния (Stateful Packet Inspection, SPI) обрабатывает контекст активных сеансов.

Фильтрация пакетов

выполняет фильтрацию трафика в соответствии с портами (TCP или UDP).
Существует

три способа фильтрации:
Использование базовых возможностей подключения конечных точек.
Сопоставление входящего трафика с соответствующим подключением исходящего IP-адреса.
Сопоставление входящего трафика с соответствующим IP-адресом и портом.

Фильтрация NAT

порта, а также проверяет, разрешен ли тип трафика приложения.
Этот шлюз

позволяет повысить уровень безопасности, однако требует дополнительных ресурсов.

Шлюз уровня приложения

устанавливается подключение TCP или UDP.
При фильтрации на сеансовом уровне

проверяются сеансы, а не подключения или пакеты.
После подключения пакеты могут передаваться между узлами без дальнейшей проверки.
Шлюзы сеансового уровня скрывают информацию о частной сети, но не фильтруют отдельные пакеты.

Шлюз сеансового уровня

«располагаться между»; прокси-сервер действует как посредник между частной и общедоступной

сетью.
Прокси-сервер анализирует запросы от клиентов. Если эти запросы соответствуют определенным критериям, прокси-сервер пересылает их соответствующему серверу.

Прокси-сервер

серверу.
Существуют FTP и SMTP прокси-серверы. Однако чаще всего используется кэширующий

прокси-сервер HTTP, известный также как веб-прокси. Он кэширует веб-страницы, получаемые от серверов в Интернете. Копии страниц хранятся в кэше заданное время.
Кэширование экономит полосу пропускания корпоративного канала подключения к Интернету и ускоряет обработку запросов клиента.

Кэширующий прокси-сервер

с помощью NAT.


IP-прокси

программным обеспечением на уровне приложения. Фильтруются различные типы действий в

Интернете: доступ к конкретным веб-сайтам, электронной почте, службе мгновенных сообщений и т. д.

Фильтр интернет-контента

это тип IDS, программного обеспечения, которое обнаруживает вредоносные действия в

сети (например, сканирование портов и атаки типа «отказ в обслуживании»), используя постоянный мониторинг сетевого трафика.
При правильной настройке NIDS направляет администратору сети отчеты обо всех выявленных проблемах.
Система предупреждения вторжений в сеть (Network Intrusion Prevention System, NIPS) предназначена для проверки трафика. Эта система может не только обнаруживать вредоносный трафик, но и удалять, задерживать или перенаправлять его. Выполняемые системой действия зависят от настроек и политики безопасности.

Обнаружение вторжений в сеть и их предупреждение

сети компании и Интернета.
Она называется сетью периметра, так как обычно

располагается на границе локальной сети. Однако стандартным отраслевым термином является DMZ (демилитаризованная зона).
Сеть периметра позволяет пользователям, находящимся за пределами корпоративной локальной сети, получать доступ к конкретным службам, размещенным в DMZ.
Если сеть периметра настроена правильно, то эти пользователи не получают доступ к корпоративной локальной сети.
В сети периметра может располагаться коммутатор с подключенными к нему серверами, на которых размещены службы электронной почты, веб-сайт и другие службы.

Сети периметра

располагается между двумя брандмауэрами, которые могут быть «черными ящиками» или

серверами Microsoft Internet Security and Acceleration (ISA).
Трехступенчатая конфигурация сети периметра. В этом сценарии сеть периметра обычно соединена с корпоративным брандмауэром через отдельное подключение. Таким образом, брандмауэр имеет три подключения: первое — к корпоративной локальной сети, второе — к сети периметра и третье — к Интернету.

Конфигурации сети периметра

научились инициировать сканирование портов, позволяющее убедиться в том, что порты

закрыты.
Мы познакомились с другими устройствами и зонами периметра: прокси-серверами, фильтрами интернет-контента, NIDS, NIPS и сетью периметра.

Заключение

(Официальный академический курс Майкрософт)
Обучение под руководством инструктора
40033A «Операционная система Windows

и основы Windows Server»: сдвоенный курс для желающих сдать экзамены MTA 98-349 и MTA 98-365 (5 дней).
40 349A «Основы операционной системы Windows»: экзамен MTA 98-349 (3 дня).
40 032A «Основы построения сетей и обеспечения безопасности»: сдвоенный курс для желающих сдать экзамены MTA 98-366 и MTA 98-367 (5 дней).
40 366A «Основы построения сетей»: экзамен MTA 98-366.

Экзамены и сертификаты
Экзамен 98-366 «Основы построения сетей»

Удаленный рабочий стол (плакат)
http://www.microsoft.com/en-us/download/confirmation.aspx?id=3262

Windows Vista и другие названия продуктов являются или могут являться

зарегистрированными торговыми марками и (или) торговыми марками в США и (или) других странах.
Вся информация в данном документе предоставлена исключительно в информационных целях и отражает точку зрения корпорации Майкрософт на освещаемые в документе вопросы на дату этой презентации. Поскольку корпорация Майкрософт должна реагировать на изменяющиеся условия рынка, ничто в этом документе не может расцениваться как обязательства корпорации Майкрософт. Это означает, что корпорация Майкрософт не может гарантировать точность какой-либо информации, представленной в данном документе, после даты этой презентации. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ДАЕТ В ДАННОМ ДОКУМЕНТЕ НИКАКИХ ЯВНЫХ ИЛИ СКРЫТЫХ ГАРАНТИЙНЫХ ОБЯЗАТЕЛЬСТВ.