АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Основные типы межсетевых экранов

Читайте также:
  1. I. ОСНОВНЫЕ ПОНЯТИЯ (ТЕРМИНЫ) ЭКОЛОГИИ. ЕЕ СИСТЕМНОСТЬ
  2. I.3. Основные этапы исторического развития римского права
  3. II Съезд Советов, его основные решения. Первые шаги новой государственной власти в России (октябрь 1917 - первая половина 1918 гг.)
  4. II. Основные задачи и функции
  5. II. Основные показатели деятельности лечебно-профилактических учреждений
  6. II. Основные проблемы, вызовы и риски. SWOT-анализ Республики Карелия
  7. IV. Механизмы и основные меры реализации государственной политики в области развития инновационной системы
  8. VI.3. Наследственное право: основные институты
  9. А) возникновение и основные черты
  10. А) ОСНОВНЫЕ УСЛОВИЯ ВЕРНОЙ ПЕРЕДАЧИ СЛОВ, ОБОЗНАЧАЮЩИХ НАЦИОНАЛЬНО-СПЕЦИФИЧЕСКИЕ РЕАЛИИ
  11. АДАПТАЦИЯ И ОСНОВНЫЕ СПОСОБЫ ПРИСПОСОБЛЕНИЯ ЖИВЫХ ОРГАНИЗМОВ К ЭКСТРЕМАЛЬНЫМ УСЛОВИЯМ СРЕДЫ
  12. Акмеизм как литературная школа. Основные этапы. Эстетика, философские источники. Манифесты.

Все МЭ можно разделить на три типа:

- фильтрующие маршрутизаторы или пакетные фильтры (packet filter);

- серверы прикладного уровня (application gateways);

- серверы уровня соединения (circuit gateways).

Все типы могут одновременно встретиться в одном МЭ.

10.2.1 Пакетные фильтры

МЭ с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Для описания правил прохождения пакетов составляются таблицы типа:

Действие Тип пакета Адрес источника Порт источника Адрес назначения Порт назначения Флаги

 

Поле «Действие» может принимать значения «пропустить» или «отбросить».

«Тип пакета» - TCP, UDP или ICMP.

«Флаги» - флаги из заголовка IP-пакета.

Поля "Порт источника" и "Порт назначения" имеют смысл только для TCP и UDP пакетов.

10.2.2 Серверы прикладного уровня

МЭ с серверами прикладного уровня используют серверы конкретных сервисов (proxy server) - TELNET, FTP и т.д., запускаемые на МЭ и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до МЭ и от МЭ до места назначения.

Полный набор поддерживаемых серверов различается для каждого конкретного МЭ, однако чаще всего встречаются серверы для следующих сервисов:

- терминалы (Telnet, Rlogin);

- передача файлов (Ftp);

- электронная почта (SMTP, POP3);

- WWW (HTTP);

- Gopher;

- Wais;

- X Window System (X11);

- сетевая печать (LP);

- удаленное выполнение задач (Rsh);

- Finger;

- новости Usenet (NNTP);

- Whois;

- RealAudio.

Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (напоминаю, что аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает).

При описании правил доступа используются такие параметры, как:

- название сервиса,

- имя пользователя,

- допустимый временной диапазон использования сервиса,

- компьютеры, с которых можно пользоваться сервисом,

- схемы аутентификации.

Серверы прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, т.к. взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

10.2.3 Серверы уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на МЭ, после чего последний производит соединение с местом назначения по другую сторону от МЭ. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод. Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.

Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

10.2.4 Сравнительные характеристики пакетных фильтров и серверов

прикладного уровня

Ниже приведены основные достоинства и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга.

Достоинства пакетных фильтров:

- относительно невысокая стоимость;

- гибкость в определении правил фильтрации;

- небольшая задержка при прохождении пакетов.

Недостатки пакетных фильтров:

- локальная сеть видна (маршрутизируется) из INTERNET;

- правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP;

- при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными;

- аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес);

- отсутствует аутентификация на пользовательском уровне.

Достоинства серверов прикладного уровня:

- локальная сеть невидима из Интернета;

- при нарушении работоспособности МЭ пакеты перестают проходить через МЭ, тем самым не возникает угрозы для защищаемых им машин;

- защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;

- аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

Недостатки серверов прикладного уровня:

- более высокая, чем для пакетных фильтров стоимость;

- невозможность использовании протоколов RPC и UDP;

- производительность ниже, чем для пакетных фильтров.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.005 сек.)