Построение безопасных и производительных корпоративных сетей

Во избежание утечки информации (промышленный шпионаж), кражи электронных подписей и конфиденциальной информации, нарушения функционирования производственного процесса следует обеспечить безопасное функционирование корпоративной сети.

В ядре крупной корпоративной сети авторы предлагают использовать флагманское решение в области маршрутизации трафика, обладающее производительностью, достаточной для маршрутизации трафика полного канала E3 с физическим быстродействием линии. Порты Fast Ethernet и встраиваемый конвертер медь/оптоволокно позволят подключиться к основному поставщику услуг по городской сети Fast Ethernet, либо создавать в центральном офисе две изолированные физические сети (например, внутреннюю локальную сеть и отдельную сеть для размещения общедоступных Web-ресурсов).

При построении крупной безопасной корпоративной сети мы считаем уместным использовать следующие решения:
1) виртуальные частные сети (VPN) [4];
2) виртуальные локальные сети (VLAN) 802.1q;
3) механизмы обеспечения качества услуг (QoS) ToS/DiffServ, traffic shaping, traffic policing;
4) многоканальные IP-соединения;
5) режим моста Ethernet-over-Frame Relay, реализованного в виде Cisco-совместимых bridge groups;
6) сбор статистики в формате NetFlow;
7) расширенный набор протоколов динамической маршрутиза-ции: RIP, RIP2, OSPF, BGP;
8) безопасный удаленный доступ на основе SSH/SSL;
9) программно и аппаратно реализованные брандмауэры.

Кроме того, авторы считают целесообразным использовать мо-демные модули SHDSL-bis, SHDSL, SDSL, IDSL [3], а также традиционные внешние модемы с последовательными интерфейсами (V.35 и др.). Предлагаем использовать современные технологии широкополосного местного доступа, например, модемы xDSL различных производителей, мосты радио-Ethernet, кабельные модемы и другое оборудование, оснащенное интерфейсами Ethernet. В качестве транспортной среды также допускаем использовать каналы Е1. Встраиваемые модемы GSM/GPRS и CDMA обеспечивают резервное, а при отсутствии проводных альтернатив и основное соединение с Интернет или корпоративной сетью по сотовой сети.

К одному из портов (как правило, встроенному Fast Ethernet) под-ключается локальная сеть офиса, закрытая для доступа извне; к другому – канал от поставщика услуг Интернет; к третьему – так называемая «демилитаризованная зона», т.е. изолированная физическая сеть, в которой размещаются общедоступные Web-ресурсы: серверы HTTP, FTP, электронной почты и т.п.

Классическая схема построения корпоративных сетей подразумевает объединение локальных сетей офисов (2-го уровня) на третьем уровне – уровне межсетевого взаимодействия, что и отражено в его названии: internetworking layer. Именно эта задача решается с помощью маршрутизаторов. Однако по мере распространения широкополосных каналов связи растет популярность альтернативного решения – прозрачного объединения локальных сетей при помощи мостов второго уровня.

Выбор сводится к сопоставлению затрат на более «интеллектуальное» оборудование (разовые расходы) и более квалифицированного сетевого администратора (регулярные расходы), с одной стороны, и ре-гулярных расходов на аренду или владение высокоскоростными кана-лами связи, в другом. С одной стороны, технологии второго уровня привлекают пользователей простотой конфигурации и возможностью прозрачной работы сетевых приложений в пределах всей «растянутой» сети без дополнительной настройки. С другой стороны, узкополосные каналы WAN могут быть с большой вероятностью перегружены широковещательным трафиком LAN до такой степени, что прохождение полезного трафика станет невозможным [6].

Причинами снижения производительности или полной неработо-способности приложений LAN в глобальных сетях являются: большое время обращения пакетов, увеличенный процент ошибок и потерянных пакетов и т.п. Использовать технологии LAN для объединения сетей возможно исключительно тогда, когда характеристики каналов WAN приближаются к характеристикам локальной сети [7].

Литература:
1. Платонов В.В.. Программно-аппаратные средства обеспече-ния информационной безопасности вычислительных сетей. – К: Академия, 2006. – 194 с.
2. Гринфилд Д.. Оптические сети. – К: Диасофт, 2002. –115 с.
3. Бакланов И.Г.. Технологии ADSL / ADSL2 +. Теория и практика применения. – К: Метротек, 2007. – 204 с.
4. Кульгин М.В.. Компьютерные сети. Практика построения. Для профессионалов. 2-е изд. – К.: Питер, 2003. – 390 с.
5. Архипкин В.Я. Bluetooth. Технические требования. Практическая реализация. Приложения / В. Я. Архипкин, А. В Архипкин. – К: Мобильные коммуникации, 2004. – 132 с.
6. Конахович Г.Ф. Сети передачи пакетных данных / Г.Ф. Конахо-вич, В. М. Чуприн. – К: МК-Пресс, 2006. – 260 с.
7. Дж. Ирвин. Передача данных в сетях: инженерный подход / Дж. Ирвин, Д. Харль. – К: BHV, 2003. – 410 с.
8. Naoki Wakamiya, Marcin Solarski, James Sterbenz. Active Net-works / Naoki Wakamiya, Marcin Solarski, James Sterbenz – К: IWAN, 2004. – 157 с.