Виртуальные локальные сети
Под виртуальной локальной сетью в проекте профиля защиты [25] понимается такое логическое объединение узлов локальной сети, при котором обмен данными на канальном уровне эталонной семиуровневой модели возможен только между этими узлами.
Использование виртуальных локальных сетей позволяет:
- повысить производительность (и доступность) сети за счет локализации потоков данных;
- обеспечить защиту передаваемых данных посредством логического разделения среды передачи;
- реализовать управление доступом пользователей к сетевым ресурсам.
Разграничение потоков данных обеспечивается путем фильтрации кадров данных. Таким образом, объект оценки оказывается межсетевым экраном канального уровня.
В проекте [25] рассматриваются два способа построения виртуальных локальных сетей:
- группировка портов объекта оценки. В этом случае каждый порт поддерживает только одну виртуальную сеть;
- использование специальной метрики для определения принадлежности к конкретной виртуальной локальной сети.
Впрочем, предлагаемые в проекте требования безопасности в равной степени применимы к обоим вариантам.
От рассмотренных ранее межсетевых экранов объект оценки отличается ограниченностью ресурсов и меньшей функциональностью. В частности, вся работа с регистрационной информацией (начиная с хранения) возлагается на среду, точнее, на так называемое средство анализа событий. Это освобождает объект оценки от ряда стандартных требований протоколирования и аудита, но ведет к необходимости организации доверенного канала.
