пластове защита

Военна история учи, че човек никога не трябва да разчитат на една единна линия на защита или на един метод за защита. Ние също сочи към невалиден доверие само система за пълно проникване откриване. Ако филтрите не се "задейства", е необходимо да се определи защо това се е случило и какви събития го предхожда в мрежата. Трябва да бъде в състояние да декодира независимо подозрителни пакети. Това е само един малък пример на защита в дълбочина.

Защитната стена служи като ефективно средство за отстраняване на излишните пакети атаки и блок много вход WLAN. В рамките на местното рутера на мрежата (или превключвател), може да бъде конфигуриран да търси признаци на напукване. При идентифициране на значими събития от ключа може или да блокира заседание на нападателя със страната-домакин, или да изпратите съобщението за опасност. Този модел може да се подобри чрез добавяне на защита на ниво хост. По този начин, ще бъде възможно да се идентифицира опити за незаконен достъп до файлове на местните потребители, които имат законен потребителско име (другите си или потребители) на други хора. Добавянето на повече системи за откриване на проникване на мрежата, включително и някои скрити, ние ще се свържем с архитектурата, достатъчно противодействие на нарастващите заплахи. За съжаление, тази архитектура не е възможно в реалния живот. И така, как е възможно днес и в близко бъдеще да организира защита в дълбочина?

В наше време, трябва да се използва от следните пет правила за защита на организацията на местно периметъра на мрежата. Не бива да мислим, че защитата трябва да бъде само по линиите на връзка към Интернет и на други места. Всички пет от тези правила се разкриват на страниците на глави и приложения на тази книга. Тъй като това е последната глава, ние ще се опитаме да се направят някои изводи.

# 9632; Блокиране на всички изходящи ICMP-недостъпни съобщения. Можете също да блокирате други изходящо съобщение ICMP-грешка. Това ще предпазите апарата от провеждането на разузнавателни операции.

# 9632; Ограничаване на база данни DNS-сървъра на базата данни. Това правило може да се формулира по различен начин, но идеята е много проста. Достъпни в интернет, DNS-сървър трябва да има информация само за броя на хостовете в локалната мрежа, включително имейл сървър, уеб-cepBep и така нататък. В противен случай, DNS-сървър може да се използва от хакер да получи интелигентност.

# 9632; Използвайте максимален брой от прокси-системи. не трябва да се ограничава rgohu сървъри на защитни стени, те трябва да бъдат добавени между точката на свързване към интернет устройства и филтриране на входящия трафик.

Разбира се, пластове защита не трябва да се ограничава само до периметъра на мрежата. Тя включва: работата на администрацията на компютри, използването на лични защитни стени, антивирусни програми, сканира съдържанието на входящите и изходящите пакети, инсталиране лепенки за операционни системи, и с помощта на търсене на софтуерни уязвимости.