СИСТЕМА ЗАЩИТЫ КОМПЬЮТЕРНЫХ СЕТЕЙ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

Изобретение относится к вычислительной технике и сфере обеспечения информационной безопасности и может быть использовано для управления взаимодействием двух автоматизированных систем.

Известны средства защиты периметра локальной (корпоративной) вычислительной сети, именуемые как межсетевой экран, сетевой экран, файервол, брандмауэр - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Известна система защиты сетей, содержащая две сетевые материнские платы, каждая из которых имеет сетевой интерфейсный адаптер для обмена данными с указанными сетями (RU 96118130 А).

В качестве ближайшего аналога может быть рассмотрена система защиты компьютерных сетей от несанкционированного доступа, в которой межсетевой экран содержит по меньшей мере два сетевых интерфейса для пакетной коммутации данных между сегментами вычислительной сети, выполняемой в соответствии с программой фильтрации пакетов (RU 2214623 C2).

К недостаткам известных систем можно отнести то, что они не защищают узлы сети от проникновения через разные уязвимости, не защищают от загрузки пользователями вредоносных программ, в том числе вирусов, а также не обеспечивают полную защиту от внутренних угроз, в первую очередь - утечки данных.

Задачей изобретения является создание системы защиты, основанной на анализе заголовка и информационной части сообщения. Заявленная система защиты, обладая сетевыми интерфейсами, рассматривается как адресуемый сетевой узел, то есть не использует при своем функционировании при обращении со стороны первой компьютерной сети (КС1) сетевой адрес ни одного из клиентов второй компьютерной сети (КС2).

При обращении клиента сети КС2 в сеть КС1 адрес клиента сети КС1 указывается.

Поставленная задача решается тем, что система защиты компьютерных сетей от несанкционированного доступа, представляющая собой межсетевой фильтр, включаемый между двумя компьютерными сетями таким образом, что весь обмен информацией между указанными компьютерными сетями ограничивается с помощью правил фильтрации, при этом межсетевой фильтр содержит по меньшей мере два сетевых интерфейса для обмена данными между клиентами первой компьютерной сети и второй компьютерной сети из двух вышеуказанных компьютерных сетей, отличается тем, что она дополнительно содержит узел обработки трафика, включающий устройство управления, обеспечивающее ввод правил фильтрации трафика и хранение информации о правилах фильтрации, устройство анализа трафика, обеспечивающее проверку соответствия поступающей информации правилам фильтрации, а также коммутирующее устройство, через которое указанные сетевые интерфейсы соединены между собой и которое обеспечивает прохождение разрешенной правилами фильтрации информации между сетевыми интерфейсами и блокировку неразрешенной правилами фильтрации информации.

Указанные правила фильтрации могут запрещать транзитную передачу любых пакетов между указанными сетевыми интерфейсами кроме тех, которые имеют разрешенные признаки и параметры адресации в своих заголовках, форму информационной части пакета, соответствующую шаблону, хранящемуся в памяти межсетевого фильтра, а также параметры запроса или ответа, соответствующие множеству разрешенных значений, хранящихся в памяти межсетевого фильтра, а интерфейс устройства управления узла обработки трафика защищен от несанкционированного доступа программно-аппаратными средствами.

Межсетевой фильтр (МСФ) представляет собой специализированное сетевое устройство, которое включается между двумя компьютерными сетями таким образом, что весь обмен информацией между ними ограничивается с помощью специальных правил фильтрации.

Согласно изобретению для управления процессами фильтрации трафика МСФ содержит специальный узел обработки трафика (УОТ), устройство управления которого информационно изолировано от сетевых интерфейсов, а взаимодействие с ним осуществляется через отдельный интерфейс управления.

Все изменения программы фильтрации трафика, а также управление соединениями могут быть выполнены исключительно через интерфейс устройства управления УОТ, что полностью устраняет возможность несанкционированного доступа с МСФ со стороны сетей КС1 и КС2.

Для формирования любого обращения к клиенту КС2 клиент КС1 должен обратиться по сетевому адресу МСФ с запросом, форма которого определена протоколом обмена. При поступлении запроса УОТ определяет, от какого клиента он поступил. Если приславший запрос клиент уполномочен иметь доступ к сети КС2, проверяется форма запроса и значения параметров. Если полномочия клиента, форма запроса, значения параметров не соответствуют допустимым, зафиксированным в файле конфигурации МСФ, запрос отклоняется, событие фиксируется в памяти МСФ.

При соответствии полномочий клиента КС1, формы запроса, значений параметров допустимым, УОТ на основе запроса клиента КС1 формирует запрос в формате, присущем КС2, и отправляет его на сетевой интерфейс второй сети.

Запрос поступает в КС2, подключенную ко второму интерфейсу МСФ, далее к запрашиваемому клиенту, который откликается на запрос.

Устройство УОТ принимает ответ, обрабатывает его, формирует в соответствии с установленными протоколами, ответ с адресом клиента, приславшего запрос, и направляет его на сетевой интерфейс КС1.

Схема информационного взаимодействия МСФ и КС показана на фиг. 1.

При функционировании МСФ реализуется принцип «разрешено только то, что разрешено в явном виде», относящийся к адресам клиентов, их полномочиям, формам и параметрам запросов, формам и параметрам ответов.

Применение МСФ полностью исключает несанкционированный доступ к защищенной КС2 со стороны клиентов, не имеющих соответствующих полномочий, а также проникновения через уязвимости ПО, обеспечивает полную защиту от внутренних угроз, в том числе утечки данных, защищает от загрузки клиентами КС1 вредоносных программ, в том числе вирусов, при отсутствии у клиентов информации о протоколах обмена, формах и параметрах запросов.

Средства программирования параметров фильтрации трафика обеспечивают возможность настройки МСФ для решения различных задач.