ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ


             

Общие принципы функционирования комплекса


Допустим, что в общей коммуникационной сети существует фрагмент (подсеть), для которого необходимо осуществить разграничение доступа (фильтрацию) входящих и исходящих запросов на соединения. Для выполнения функции защиты компьютер, оборудованный программно-аппаратным комплексом "ФПСУ X.25", аппаратно подключается в разрыв цепи между этой подсетью и глобальной сетью X.25 (см. Рис. 3-1) парой физических линий (к защищаемой подсети - терминальная сторона, к глобальной сети - сетевая сторона) таким образом, чтобы все входящие и исходящие из подсети межсетевые потоки данных проходили через Сетевой фильтр Х.25 (СФ).

Абоненты защищённой подсети, подключенной к СФ с терминальной стороны, считаются местными абонентами, а остальные - удаленными.


Рис. 1. Функциональная схема использования комплекса

Таким образом, из глобальной сети выделяется группа абонентов (защищаемая подсеть), для которых обмен данными с абонентами глобальной сети может быть специальным образом регламентирован и проконтролирован.

Основная функция межсетевого экрана (МЭ) "ФПСУ Х.25" заключается в том, что он анализирует входящие и исходящие вызовы по совокупности критериев, осуществляет контроль доступа и определяет метод передачи данных. При этом существует различие в анализе вызовов абонентов и обращений удалённых администраторов.

На начальном этапе анализа все пакеты, в частности служебные для диагностики и управления сетевыми устройствами X.25, контролируются на предмет их корректности и соответствия протоколу ITU-T X.25 математическим обеспечением сетевых карт и СЕТЕВОГО ФИЛЬТРА X.25. При обнаружении несоответствия дальнейшее рассмотрение и распространение пакета прекращается. Если несоответствующий пакет поступил по уже установившемуся виртуальному соединению, оно будет разорвано.

Анализ входящих и исходящих вызовов абонентов, производимый МЭ "ФПСУ X.25", заключается в сопоставлении полей в пакете "Запрос Вызова" правилам и данным, установленным при конфигурировании локальным или удалённым администраторами МЭ в таблицах разрешенных соединений.


Содержание  Назад  Вперед