Теоретичні відомості

date image 2015-08-21
views image 837
Поделись с друзьями: 
1234567
Система Firewall на основі екранованого шлюзу Firewall на основі екранованого шлюзу є більш гнучким рішенням, ніж просто шлюз, однак ця гнучкість досягається за рахунок деякого пониження рівня безпеки. Firewall на основі екранованого шлюзу об'єднує фільтруючий маршрутизатор і прикладний шлюз, розміщений зі сторонни підмережі, що знаходиться під захистом. Прикладний шлюз можна також розмістити до маршрутизатора зі сторони Internet без шкоди для безпеки. Розміщення прикладного шлюзу з зовнішнього боку сприятиме тому, що саме він буде зазнавати атак в якості помилкової цілі для зловмисника.Для прикладного шлюзу необхідний тільки один мережний інтерфейс. Cлужби прикладного шлюзу мають забезпечувати сервіс TELNET, FTP та іншs служби для систем мережі, що знаходиться під захистом. Маршрутизатор фільтрує інші протоколи, не дозволяючи їм досягнути прикладного шлюзу і систем мережі. Він забороняє (або дозволяє) трафік за такими правилами: трафік з Internet до прикладного шлюзу дозволений, весь інший трафік з Internet заборонений, маршрутизатор забороняє будь-який трафік з мережі, крім того, що надходить від прикладного шлюзу.При використанні firewall з екранованим шлюзом виникають дві проблеми. По-перше, тепер є дві системи - маршрутизатор і прикладний шлюз, які треба ретельно конфігурувати. Друга проблема полягає в тому, що гнучкість конфігурації допускає можливість порушення політики безпеки. Система Firewall на основі екранованої підмережі Схема firewall, яка складається з екранованої підмережі, становить собою різновид firewall з екранованим хостом. Її можна використати для розміщення кожного компонента firewall у окремій системі, що дозволить збільшити пропускну здатність і гнучкість за рахунок деякого ускладнення архітектури. Кожна система, що входить у цей firewall, потрібна тільки для виконання конкретного завдання.Для створення внутрішньої, екранованої підмережі викоритстовуєтьсяпідмережа "DMZ", яка містить прикладний шлюз, однак вона може також включати в себе інформаційні сервери й інші системи. Зовнішній маршрутизатор забороняє доступ з Internet до систем екранованої підмережі та блокує всі трафіки до Internet, що йдуть відсистем. Маршрутизатор можна використати і для блокування будь-яких інших протоколів, які не повинні передаватися хостам екранованоюпідмережею або від них.Внутрішній маршрутизатор здійснює трафік до систем екранованої підмережі та від них за такими правилами:трафік від прикладного шлюзу до систем мережі дозволений;трафік електронної пошти від серверу електронної пошти до системмережі дозволений;прикладний трафік від систем мережі до прикладного шлюзу дозволений;трафік електронної пошти від систем мережі до серверу електронноїпошти дозволений;трафік ftp дозволений;весь інший трафік заборонений.Таким чином, усі системи мережі є недосяжними безпосередньо з Internet і навпаки. Головною відмінністю є те, що маршрутизатори використовуються для направлення трафіка до конкретних систем, що виключає необхідність для прикладного шлюзу виконувати роль маршрутизатора. Це дозволяє досягнути більшої пропускної здатності. Отже, firewall з екранованою підмережею найбільше підходить для мереж з великими обсягами трафіку або з дуже високою швидкістю обміну. Наявність двох маршрутизаторів є доцільним, оскільки для того, щобпроникнути безпосередньо в систему мережі, злочинець має подолати обидва маршрутизатори. Прикладний шлюз, сервер електронної пошти та інформаційний сервер мають бути настроєні так, щоб тільки вони були доступні з Internet. У базі даних DNS, досяжній для зовнішніх систем, не повинні використовуватися імена інших систем. Прикладний шлюз може містити програми посиленої аутентифікації. Очевидно, він вимагає складного конфігурування, однак використання для прикладних шлюзів і фільтрів окремих систем спрощує конфігурування й управління. Firewall з екранованою підмережею, як і firewall з екранованим шлюзом, можна зробити більш гнучким, допускаючи трафік між Internet і системами мережі для деяких перевірених служб. Однак така гнучкість може призвести до необхідності зробити деякі виключення з політики безпеки, що ослабить ефективність firewall.

Брандмауер (файрволл)

Фаєрвол, файрвол англ. Firewall, буквально «стіна від пожежі» — пристрій або набір пристроїв, сконфігурованих щоб допускати, відмовляти, шифрувати, пропускати через проксі весь комп'ютерний трафік між областями різної безпеки згідно набору правил і інших критеріїв.Фаєрвол може бути у вигляді окремого приладу (так званий маршрутизатор або роутер), або програмного забезпечення, що встановлюється на персональний комп'ютер чи проксі-сервер. Простий та дешевий фаєрвол може не мати такої гнучкої системи налаштувань правил фільтрації пакетів та трансляції адрес вхідного та вихідного трафіку (функція редиректу).

В залежності від активних з'єднань, що відслідковуються, фаєрволи розділяють на:

  • stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад TCP), а фільтрують потік даних виключно на основі статичних правил;
  • stateful (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, що задовольняють логіці й алгоритмам роботи відповідних протоколів та програм. Такі типи фаєрволів дозволяють ефективніше боротися з різноманітними DoS-атаками та вразливістю деяких протоколів мереж.

Для того щоб задовольнити вимогам широкого кола користувачів, існує три типи фаєрволів: мережного рівня, прикладного рівня і рівня з'єднання. Кожен з цих трьох типів використовує свій, відмінний від інших підхід до захисту мережі.

  • Фаєрвол мережного рівня представлений екрануючим маршрутизатором. Він контролює лише дані мережевого і транспортного рівнів (див.Модель OSI) службової інформації пакетів. Мінусом таких маршрутизаторів є те, що ще п'ять рівнів залишаються неконтрольованими. Нарешті, адміністратори, які працюють з екрануючими маршрутизаторами, повинні пам'ятати, що у більшості приладів, що здійснюють фільтрацію пакетів, відсутні механізми аудиту та подачі сигналу тривоги. Іншими словами, маршрутизатори можуть піддаватися атакам і відбивати велику їх кількість, а адміністратори навіть не будуть проінформовані.
  • Фаєрвол прикладного рівня також відомий як проксі-сервер (сервер-посередник).Фаєрволи прикладного рівня встановлюють певний фізичний поділ між локальною мережею і Internet, тому вони відповідають найвищим вимогам безпеки. Проте, оскільки програма повинна аналізувати пакети і приймати рішення щодо контролю доступу до них, фаєрволи прикладного рівня неминуче зменшують продуктивність мережі, тому в якості сервера-посередника використовуються більш швидкі комп'ютери.
  • Фаєрвол рівня з'єднання схожий на фаєрвол прикладного рівня тим, що обидва вони являються серверами-посередниками. Відмінність полягає в тому, що фаєрволи прикладного рівня вимагають спеціального програмного забезпечення для кожної мережевої служби на зразок FTP або HTTP. Натомість, фаєрволи рівня з'єднання

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

1234567

double arrow
Сейчас читают про:

article image
Взаимодействие аллельных и неаллельных генов. Явление плейотропии
article image
Общая экономико-географическая характеристика США
article image
Внутренние и внешние функции государства
article image
Формы и методы осуществления функций государства
article image
Признаки и понятия правового государства. Понятие, признаки и пути формирования правового государства
article image
Соотношение системы права и системы законодательства
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Кто хочет разбогатеть за день, будет повешен не позже чем через год. © Леонардо да Винчи ==> читать все изречения...
like icon 7515
like icon 7295
Понравился сайт? Поделись им с друзьями: