Перераховані функції властиві всі інтелектуальним мостам і маршрутизаторам. частина з них (наприклад, Prism System фірми Gandalf), крім того, мають наступними важливі розширені можливості:

Пріоритети протоколів. По окремих протоколах мережного рівня деякі концентратори працюють як маршрутизатори. У цьому випадку може підтримуватися установка пріоритетів одних протоколів над іншими. Наприклад можна установити пріоритет TCP/IP над всіма іншими протоколами. Це означає, що пакети TCP/IP будуть передаватися в першу чергу (це буває корисно у випадку недостатньої смуги пропущення кабельної системи).

Захист від "штормів широкомовних пакетів" (broadcast storm). Одна з
характерних несправностей мережного устаткування і помилок у програмному
забезпеченні - мимовільна генерація з високою інтенсивністю broadcast-пакетів,
тобто пакетів, адресованих всім іншим підключеним до мережі пристроям.
Мережна адреса вузла призначення такого пакета складається з одних одиниць.
Одержавши такий пакет на один зі своїх портів, міст повинний адресувати його
на всі інші порти, включаючи і FDDI порт. У нормальному режимі такі пакети
використовуються операційними системами для службових цілей, наприклад,
для розсилання повідомлень про появу в мережі нового сервера. Однак при
високій інтенсивності їхньої генерації, вони відразу займуть усю смугу
пропущення. Міст забезпечує захист мережі від перевантаження, включаючи
фільтр на тім порту, з якого надходять такі пакети. Фільтр не пропускає
broadcast-пакети й інші ЛВС, охороняючи тим самим іншу мережу від
перевантаження і зберігаючи її працездатність.

Збір статистики в режимі "Що, якщо?" Ця опція дозволяє віртуально
установлювати фільтри на порти моста. У цьому режимі фізично фільтрація не
проводиться, але ведеться збір статистики про пакети, що були б відфільтровані
при реальному включенні фільтрів. Це дозволяє адміністратору попередньо
оцінити наслідку включення фільтра, знижуючи тим самим імовірність помилок при неправильно встановлених умовах фільтрації і не приводячи до збоїв у роботі підключеного устаткування.

2.2 Коди, що самосинхронізуються

При передачі цифрових сигналів по аналогових лініях зв'язку передавальне і приймаюча станції повинні бути синхронізовані між собою по частоті передачі біт у каналі. У противному випадку неминучі помилки при прийомі. У випадку, якщо приймач і передавач розташовані близько друг від друга, то для синхронізації можна використовувати окремий чи канал лінію. Якщо ж станції рознесені на великі відстані, то стає вигідніше вмонтувати можливість частотного настроювання в сам сигнал. Для цього застосовуються коди, що самосинхронізуються. Ідея полягає в тому, щоб переданий сигнал часто змінював свій стан (з 0 на 1 і навпаки) навіть у випадку, якщо передаються довгі послідовності даних, що складаються тільки з одних 0 чи тільки з одних 1.

Манчестерське кодування - один зі способів побудови коду, що сам-синхронізується. Цей код забезпечує зміну стану сигналу при представленні кожного біта. Манчестерське кодування вимагає подвоєної швидкості передачі сигналу в бодах щодо переданих даних.

Застосований у FDDI код, що сам-синхронізується, 5В/4В є однієї з можливих альтернатив для манчестерського кодування. У таблиці представлений спосіб кодування чотирьох інформаційних біт п'ятьма сигнальними бітами коду 5В/4В. Коди перетворення підібрані таким чином, щоб забезпечити можливо більш часта зміна сигналу, незалежно від виду переданих даних.

3 МЕТОДИ ЗАХИСТУ ЛОКАЛЬНИХ КОМП'ЮТЕРНИХ МЕРЕЖ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ ЗОВНІ

3.1 Програмно-апаратні методи захисту по мережі INTERNET

До програмно-апаратних засобів забезпечення інформаційної безпеки засобів зв'язку в обчислювальних мережах відносяться:

- апаратні шифратори мережного графіка;

- методика Firewall, реалізована на базі програмно-апаратних засобів;

- захищені мережні криптопротоколи;

- програмно-апаратні аналізатори мережного графіка;

- захищені мережні системи.

Опишемо дані засоби захисту, що застосовуються в мережі Internet. По-перше, звернемо увагу на помилкову точку зору стосовно думки про "абсолютний захист", що нібито забезпечують системи Firewall, по-друге, порівняємо існуючі версії криптопротоколів, застосовуваних у Internet, і дамо оцінку, критичному положенню в цій області; і, по-третє, ознайомимося з можливістю захисту за допомогою мережного монітора безпеки, призначеного для здійснення динамічного контролю за виникаючими ситуаціями в сегменті ІР-мережі, який захищається, що свідчать про здійснення на даний сегмент однієї з вилучених атак.

3.2 Основна методика програмно-апаратного засобу безпеки у виділеному сегменті мережі-INTERNET

У загальному випадку методика Firewall реалізує наступні основні три функції:

1) Багаторівнева фільтрація мережного трафіка.

Фільтрація звичайно здійснюється на трьох рівнях OSI:*

мережному (IP); *

транспортному (TCP, UDP); *

прикладному (FTP, TELNET, HTTP, SMTP і т.д.).

Фільтрація мережного трафіка є основною функцією систем Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережну політику безпеки у виділеному сегменті IP-мережі, тобто, настроївши відповідним чином Firewall, можна дозволити чи заборонити користувачам як доступ із зовнішньої мережі до відповідного службам хостів чи до хостів, що знаходяться в сегменті, що захищається, так і доступ користувачів із внутрішньої мережі до відповідного ресурсам зовнішньої мережі. Можна провести аналогію з адміністратором локальної ОС, що для здійснення політики безпеки в системі призначає необхідним образом відповідні відносини між суб'єктами (користувачами) і об'єктами системи (файлами, наприклад), що дозволяє розмежувати доступ суб'єктів системи до її об'єктів відповідно до заданого адміністратором правами доступу. Ті ж міркування застосовні до Firewall-фільтрації: як суб'єктів взаємодії будуть виступати IP-адреси хостів користувачів, а як об'єкти, доступ до яких необхідно розмежувати, - ІР-адреск хостів, використовувані транспортні протоколи і служби надання вилученого доступу.

2) Proxy-схема з додатковою ідентифікацією й аутентифікацією користувачів на Firewall - хості.

Proxy-схема дозволяє, по-перше, при доступі до захищеного Firewall сегменту мережі здійснити на ньому додаткову ідентифікацію й аутентифікацію