Розділ «10. Інформаційні технології комп'ютерних мереж»

Рівень 3 (мережний) використовує можливості, що надаються рівнем 2 для забезпечення зв'язку двох довільних точок в мережі. Маршрутизація пакетів та обробка адрес відбувається на цьому ж рівні.

Рівень 4 (транспортний) завершує організацію передачі даних - контролює правильність передачі пакетів, правильність доставки в потрібний пункт призначення, їх збереженість та послідовність надходження. Відновлює повідомлення шляхом злиття пакетів. Містить надійну схему адресації для забезпечення зв'язку через величезну кількість мереж та шлюзів.

s Шлюз - станція зв'язку із довільною мережею. Забезпечує зв'язок несумісних мереж, а також взаємодію несумісних компонентів у рамках однієї мережі

Транспортний рівень відповідає за всі деталі та проблеми передачі даних. Забезпечує взаємодію вищих рівнів моделі з інформацією незалежно від технічної реалізації самого процесу передачі.

Рівень 5 (сеансовий) координує взаємодію користувачів - встановлює зв'язок, відновлює аварійно завершені сеанси. Відповідає за картографію мережі - перетворює регіональні (доменні) комп'ютерні імена у числові адреси і навпаки. Підтримує процеси в мережі та їх взаємодію.

Рівень 6 (представлення даних) оперує синтаксисом та семантикою інформації, що передається, тобто встановлює "порозуміння" між двома комп'ютерами. Тут вирішуються задачі перекодування (всім, напевно, траплялись повідомлення у вигляді набору незрозумілих символів -наприклад, при передачі українського тексту без перетворення кодом Windows CP1251); підтримка зображень, стиск та розпакування файлів, підтримка мережних файлових систем (Network File System, NFS), тощо.

Рівень 7 (прикладний) забезпечує інтерфейс між користувачем і мережею, підтримує доступ користувача до різноманітних послуг мережі. На цьому рівні реалізуються, як мінімум, п'ять прикладних служб: передача файлів, віддалений термінальний доступ, електронна передача повідомлень, довідкова служба та управління мережею. Визначається користувачем відповідно до його потреб, можливостей та фантазії.

10.4. Призначення міжмережних екранів

В даний час питанням безпеки даних у розподілених комп'ютерних системах приділяється значна увага. Розроблено ряд засобів для забезпечення інформаційної безпеки, призначених для використання на різних комп'ютерах з різними операційними системами (ОС). У якості одного з напрямів можна виділити міжмережні екрани (firewalls), призначені контролювати доступ до інформації з боку користувачів зовнішніх мереж.

Сформулюємо проблему міжсіткового екранування. Нехай існують дві інформаційні системи чи дві множини інформаційних систем (комп'ютерних мереж). Екран тоді буде засобом розмежування доступу клієнтів з однієї множини систем до інформації, що зберігається на серверах в іншій множині. Екран виконує свої функції, контролюючи всі інформаційні потоки між цими двома множинами інформаційних систем, працюючи як своєрідна "інформаційна мембрана" (рис.10.5). У цьому сенсі екран можна уявляти собі як набір фільтрів, що аналізують інформацію, яка через них проходить, і, на основі закладених у нього алгоритмів, приймає рішення: пропустити цю інформацію, чи відмовити в її пересиланні.

Рис.10.5. Схема використання міжсіткового екрану

Крім того, така система може виконувати реєстрацію подій, пов'язаних із процесами розмежування доступу. Зокрема, фіксувати всі "сумнівні" спроби доступу до інформації і додатково сигналізувати про ситуації, що вимагають негайної реакції адміністратора.

Звичайно системи для екранування роблять несиметричними. Для екранів визначаються поняття "усередині" і "зовні", і завдання екрану полягає в захисті внутрішньої мережі від "потенційно ворожого" оточення. Найяскравішим прикладом потенційно ворожої зовнішньої мережі є Інтернет.

Розглянемо більш докладно, які проблеми виникають при побудові систем, що екранують. При цьому ми будемо розглядати не тільки проблему безпечного підключення до мережі Інтернет, але і розмежування доступу усередині корпоративної мережі організації:

1. забезпечення безпеки внутрішньої (що захищається) мережі і повний контроль над зовнішніми підключеннями і сеансами зв'язку;

2. екрануюча система повинна мати потужні і гнучкі засоби керування для простого і повного втілення в життя політики безпеки організації і, крім того, забезпечення простої реконфігурації системи при зміні структури мережі;

3. екран повинен працювати непомітно для користувачів локальної мережі і не ускладнювати виконання ними легальних дій;

4. екрануюча система повинна працювати досить ефективно і встигати обробляти весь вхідний і вихідний трафік у "пікових" режимах. Це необхідно для того, щоб екран не можна було, образно говорячи, "закидати" великою кількістю викликів, які привели би до порушення її роботи;

5. система має бути сама надійно захищена від будь-яких несанкціонованих впливів, оскільки вона є ключем до конфіденційної інформації в організації;

6. оптимально, якщо в організації є кілька зовнішніх підключень, у тому числі й у віддалених філіях, із централізованим забезпеченням проведення єдиної політики безпеки;