|
||||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Основные типы межсетевых экрановВсе МЭ можно разделить на три типа: - фильтрующие маршрутизаторы или пакетные фильтры (packet filter); - серверы прикладного уровня (application gateways); - серверы уровня соединения (circuit gateways). Все типы могут одновременно встретиться в одном МЭ. 10.2.1 Пакетные фильтры МЭ с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта. Для описания правил прохождения пакетов составляются таблицы типа:
Поле «Действие» может принимать значения «пропустить» или «отбросить». «Тип пакета» - TCP, UDP или ICMP. «Флаги» - флаги из заголовка IP-пакета. Поля "Порт источника" и "Порт назначения" имеют смысл только для TCP и UDP пакетов. 10.2.2 Серверы прикладного уровня МЭ с серверами прикладного уровня используют серверы конкретных сервисов (proxy server) - TELNET, FTP и т.д., запускаемые на МЭ и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до МЭ и от МЭ до места назначения. Полный набор поддерживаемых серверов различается для каждого конкретного МЭ, однако чаще всего встречаются серверы для следующих сервисов: - терминалы (Telnet, Rlogin); - передача файлов (Ftp); - электронная почта (SMTP, POP3); - WWW (HTTP); - Gopher; - Wais; - X Window System (X11); - сетевая печать (LP); - удаленное выполнение задач (Rsh); - Finger; - новости Usenet (NNTP); - Whois; - RealAudio. Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (напоминаю, что аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает). При описании правил доступа используются такие параметры, как: - название сервиса, - имя пользователя, - допустимый временной диапазон использования сервиса, - компьютеры, с которых можно пользоваться сервисом, - схемы аутентификации. Серверы прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, т.к. взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик. 10.2.3 Серверы уровня соединения Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на МЭ, после чего последний производит соединение с местом назначения по другую сторону от МЭ. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод. Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации. Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию. 10.2.4 Сравнительные характеристики пакетных фильтров и серверов прикладного уровня Ниже приведены основные достоинства и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга. Достоинства пакетных фильтров: - относительно невысокая стоимость; - гибкость в определении правил фильтрации; - небольшая задержка при прохождении пакетов. Недостатки пакетных фильтров: - локальная сеть видна (маршрутизируется) из INTERNET; - правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP; - при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными; - аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес); - отсутствует аутентификация на пользовательском уровне. Достоинства серверов прикладного уровня: - локальная сеть невидима из Интернета; - при нарушении работоспособности МЭ пакеты перестают проходить через МЭ, тем самым не возникает угрозы для защищаемых им машин; - защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении; - аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома. Недостатки серверов прикладного уровня: - более высокая, чем для пакетных фильтров стоимость; - невозможность использовании протоколов RPC и UDP; - производительность ниже, чем для пакетных фильтров. Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.005 сек.) |