Фильтрация исходящего трафика

В сетях компьютерных выходная фильтрация — это практика мониторинга и потенциального ограничения потока информации, исходящей из одной сети в другую. информация из частной компьютерной сети TCP/IP в Интернет Обычно контролируется .

Пакеты TCP/IP, отправляемые из внутренней сети, проверяются через маршрутизатор , межсетевой экран или подобное периферийное устройство . Пакетам, которые не соответствуют политикам безопасности, не разрешается отправляться – им запрещен «выход». ^{[ 1 ]}

Фильтрация исходящего трафика помогает гарантировать, что несанкционированный или вредоносный трафик никогда не покинет внутреннюю сеть.

В корпоративной сети типичные рекомендации заключаются в том, что весь трафик, за исключением трафика, исходящего от избранного набора серверов, будет запрещен на выходе. ^{[ 2 ]}^{[ 3 ]}^{[ 4 ]}^{[ 5 ]} Кроме того, можно установить ограничения, только выбранные протоколы, такие как HTTP , электронная почта и DNS разрешающие использовать . Затем пользовательские рабочие станции необходимо будет настроить либо вручную, либо с помощью автоматической настройки прокси-сервера для использования одного из разрешенных серверов в качестве прокси-сервера .

ограниченное количество внутренних блоков адресов Корпоративные сети также обычно используют . Граничное устройство на границе между внутренней корпоративной сетью и внешними сетями (например, Интернетом) используется для выполнения исходящих проверок пакетов, покидающих внутреннюю сеть, проверяя, находится ли исходный IP-адрес во всех исходящих пакетах в пределах выделенного внутреннего диапазона. адресные блоки.

Фильтрация исходящего трафика может потребовать изменения политики и административной работы всякий раз, когда новому приложению требуется доступ к внешней сети. По этой причине фильтрация исходящего трафика является редкой функцией в потребительских сетях и сетях малого бизнеса. PCI DSS требует наличия исходящей фильтрации на любом сервере в среде держателя карты. Это описано в PCI-DSS v3.0, требование 1.3.3.

См. также

Ссылки

^ Роберт Гезельтер (1995) Безопасность в Интернете, глава 23 в Хатте, Босворте и Хойтте (1995) «Справочник по компьютерной безопасности, третье издание», Wiley, раздел 23.6 (b), стр. 23-12 и далее.
^ «Угрозы вредоносного ПО и стратегии смягчения их последствий» (PDF) . Us-cert.gov . Проверено 20 июня 2015 г.
^ «Целостный взгляд на безопасность сетей промышленных систем управления на базе IP» (PDF) . ics-cert.us-cert.gov. Архивировано из оригинала (PDF) 23 января 2014 г. Проверено 20 июня 2015 г.
^ «Митигационный понедельник №2» (PDF) . Nsa.gov. Архивировано из оригинала (PDF) 19 июня 2015 г. Проверено 20 июня 2015 г.
^ «Контроль исходящего доступа к DNS» . Группа готовности США к компьютерным чрезвычайным ситуациям . СЕРТ США. 29 сентября 2016 г.

Внешние ссылки

Эта о компьютерных сетях статья незавершена . Вы можете помочь Википедии, расширив ее .

[1] Роберт Гезельтер (1995) Безопасность в Интернете, глава 23 в Хатте, Босворте и Хойтте (1995) «Справочник по компьютерной безопасности, третье издание», Wiley, раздел 23.6 (b), стр. 23-12 и далее.

[2] «Угрозы вредоносного ПО и стратегии смягчения их последствий» (PDF) . Us-cert.gov . Проверено 20 июня 2015 г.

[3] «Целостный взгляд на безопасность сетей промышленных систем управления на базе IP» (PDF) . ics-cert.us-cert.gov. Архивировано из оригинала (PDF) 23 января 2014 г. Проверено 20 июня 2015 г.

[4] «Митигационный понедельник №2» (PDF) . Nsa.gov. Архивировано из оригинала (PDF) 19 июня 2015 г. Проверено 20 июня 2015 г.

[5] «Контроль исходящего доступа к DNS» . Группа готовности США к компьютерным чрезвычайным ситуациям . СЕРТ США. 29 сентября 2016 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]