 |
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция
Основные типы межсетевых экранов
Все МЭ можно разделить на три типа:
- фильтрующие маршрутизаторы или пакетные фильтры (packet filter);
- серверы прикладного уровня (application gateways);
- серверы уровня соединения (circuit gateways).
Все типы могут одновременно встретиться в одном МЭ.
10.2.1 Пакетные фильтры
МЭ с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.
Для описания правил прохождения пакетов составляются таблицы типа:
| Действие | Тип пакета | Адрес источника | Порт источника | Адрес назначения | Порт назначения | Флаги |
Поле «Действие» может принимать значения «пропустить» или «отбросить».
«Тип пакета» - TCP, UDP или ICMP.
«Флаги» - флаги из заголовка IP-пакета.
Поля "Порт источника" и "Порт назначения" имеют смысл только для TCP и UDP пакетов.
10.2.2 Серверы прикладного уровня
МЭ с серверами прикладного уровня используют серверы конкретных сервисов (proxy server) - TELNET, FTP и т.д., запускаемые на МЭ и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до МЭ и от МЭ до места назначения.
Полный набор поддерживаемых серверов различается для каждого конкретного МЭ, однако чаще всего встречаются серверы для следующих сервисов:
- терминалы (Telnet, Rlogin);
- передача файлов (Ftp);
- электронная почта (SMTP, POP3);
- WWW (HTTP);
- Gopher;
- Wais;
- X Window System (X11);
- сетевая печать (LP);
- удаленное выполнение задач (Rsh);
- Finger;
- новости Usenet (NNTP);
- Whois;
- RealAudio.
Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (напоминаю, что аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает).
При описании правил доступа используются такие параметры, как:
- название сервиса,
- имя пользователя,
- допустимый временной диапазон использования сервиса,
- компьютеры, с которых можно пользоваться сервисом,
- схемы аутентификации.
Серверы прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, т.к. взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.
10.2.3 Серверы уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на МЭ, после чего последний производит соединение с местом назначения по другую сторону от МЭ. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод. Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.
Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.
10.2.4 Сравнительные характеристики пакетных фильтров и серверов
прикладного уровня
Ниже приведены основные достоинства и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга.
Достоинства пакетных фильтров:
- относительно невысокая стоимость;
- гибкость в определении правил фильтрации;
- небольшая задержка при прохождении пакетов.
Недостатки пакетных фильтров:
- локальная сеть видна (маршрутизируется) из INTERNET;
- правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP;
- при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными;
- аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес);
- отсутствует аутентификация на пользовательском уровне.
Достоинства серверов прикладного уровня:
- локальная сеть невидима из Интернета;
- при нарушении работоспособности МЭ пакеты перестают проходить через МЭ, тем самым не возникает угрозы для защищаемых им машин;
- защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;
- аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.
Недостатки серверов прикладного уровня:
- более высокая, чем для пакетных фильтров стоимость;
- невозможность использовании протоколов RPC и UDP;
- производительность ниже, чем для пакетных фильтров.
Поиск по сайту: