Межсетевые экраны
Это комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.
Принцип работы:
Существует два основных способа создания наборов правил межсетевого экрана: включающий и исключающий. Исключающий позволяет прохождение всего трафика, за исключением соответствующего набору правил. Включающий же действует противоположным сопособом. Он пропускает только тот трафик, который соответствует правилам и блокирует все остальные.
Включающий межсетевой экран обеспечивает гораздо большую степень контроля исходящего трафика. Поэтому он является лучшим выбором для систем, предоставляющим сервисы в сети интернет. Также он контролирует трафик, порождаемый вне локальной сети и направляющийся в нее. Трафик, не попавший в правила блокируется и в логах делается запись об этом.
Безопасность может быть дополнительно повышена с использованием «межсетевого экрана с сохранением состояния». Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений. Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро. Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что позволяет создавать оптимальную конфигурацию для каждой конкретной системы.
Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящее и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP - и IP - заголовках пакетов .
Фильтрующие маршрутизаторы обычно может фильтровать IP -пакет на основе группы следующих полей заголовка пакета:
• IP - адрес отправителя (адрес системы, которая послала пакет);
• IP -адрес получателя (адрес системы которая принимает пакет);
• Порт отправителя (порт соединения в системе отправителя );
• Порт получателя (порт соединения в системе получателя );
К положительным качествам фильтрующих маршрутизаторов следует отнести:
• сравнительно невысокую стоимость;
• гибкость в определении правил фильтрации;
• небольшую задержку при прохождении пакетов.
Недостатками фильтрующих маршрутизаторов являются:
• внутренняя сеть видна (маршрутизируется) из сети Internet ;
• правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP ;
• при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
• аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса (атакующая система выдает себя за другую, используя ее IP-адрес);
• отсутствует аутентификация на пользовательском уровне.
Шлюз сеансового уровня следит за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках IP-пакетов сеансового уровня протокола TCP, т.е. функционирует на два уровня выше, чем брандмауэр с фильтрацией пакетов.
Чтобы определить, является ли запрос на сеанс связи допустимым, шлюз сеансового уровня выполняет примерно следующую процедуру. Когда авторизованный клиент запрашивает некоторую услугу, шлюз принимает этот запрос, проверяя, удовлетворяет ли клиент базовым критериям фильтрации (например, может ли DNS-сервер определить IP-адрес клиента и ассоциированное с ним имя). Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хостом и следит за выполнением процедуры квитирования связи по протоколу TCP.
Шлюз прикладного уровня исключает прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне . Связанные с приложением серверы – посредники перенаправляют через шлюз информацию, генерируемую конкретными серверами.
Для устранения ряда недостатков, присущих фильтрующим маршрутизаторам, межсетевые экраны должны использовать дополнительные программные средства для фильтрации сообщений сервисов типа TELNET и FTP. Такие программные средства называются полномочными серверами (серверами-посредниками), а хост-компьютер, на котором они выполняются, - шлюзом прикладного уровня.
Для достижения более высокого уровня безопасности и гибкости шлюзы прикладного уровня и фильтрующие маршрутизаторы могут быть объединены в одном межсетевом экране. В качестве примера рассмотрю сеть, в которой с помощью фильтрующего маршрутизатора блокируются входящие соединения TELNET и FTP. Этот маршрутизатор допускает прохождение пакетов TELNET или FTP только к одному хост-компьютеру - шлюзу прикладного уровня TELNET/FTP. Внешний пользователь, который хочет соединиться с некоторой системой в сети, должен сначала соединиться со шлюзом прикладного уровня, а затем уже с нужным внутренним хост-компьютером. Это осуществляется следующим образом:
1) сначала внешний пользователь устанавливает TELNET-соединение со шлюзом прикладного уровня с помощью протокола TELNET и вводит имя интересующего его внутреннего хост-компьютера;
2) шлюз проверяет IP – адрес отправителя и разрешает или запрещает соединение в соответствии с тем или иным критерием доступа
3) пользователю может потребоваться аутентификация (возможно, с помощью одноразовых паролей);
4) сервер-посредник устанавливает TELNET-соединение между шлюзом и внутренним хост-компьютером;
5)сервер посредник осуществляет передачу информации между этими двумя соединениями;
6) шлюз прикладного уровня регистрирует соединение.
- Классификация сетей, серверов и сетевых сервисов
- Архитектура клиент-сервер
- Методы доступа и их использование в сетевых архитектурах
- Архитектура Ethernet
- Структурированные кабельные системы (скс)
- Архитектура коммутируемого Ethernet
- Виртуальные локальные сети (vlan)
- Технология atm
- Сетевые протоколы. Модель osi
- Сетевые протоколы. Модель tcp/ip
- Кадры канального уровня
- Структура ip сетей и адресация в них
- Маршрутизация в ip сетях
- Протоколы транспортного уровня
- Стек протоколов spx/ipx
- Устройства для соединения сетей. Классификация.
- Повторители и мосты.
- Маршрутизаторы
- Протоколы динамической маршрутизации. Классификация.
- Протокол rip
- Межсетевые экраны
- Модемы и их протоколы
- Сети sdh и sonet
- Управление вычислительными сетями. Модели и стандарты.
- Протокол snmp и его использование
- Средства обеспечения требуемого качества обслуживания в сетях