Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

S.5. Межсетевые экраны

Межсетевой экран (firewall) -это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключени­ем разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.

Существует мнение, что маршрутизатор также может играть роль межсетевого экрана. Однако между этими устройствами существует одно принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсете­вой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку опре­деленного трафика.

Кроме того, межсетевые экраны, как правило, обладают большим набором настроек. Прохождение трафика на межсетевом экране мож­но настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсете­вые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настро­ить разрешенный входящий трафик для всех внутренних систем орга­низации. Это не устраняет потребность в обновлении и настройке сис­тем, но позволяет снизить вероятность неправильного конфигурирова­ния одной или нескольких систем, в результате которого эти системы могут подвергнуться атакам на некорректно настроенную службу.

Существуют два основных типа межсетевых экранов: межсете­вые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией.

В их основе лежат различные принципы работы, но при правиль­ной настройке оба типа устройств обеспечивают правильное выпол­нение функций безопасности, заключающихся в блокировке запре­щенного трафика.

Межсетевые экраны прикладного уровня. Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой про­граммные пакеты, базирующиеся на операционных системах общего назначения.

При использовании межсетевого экрана прикладного уровня все соединения проходят через него (рис. 30). Как показано на рисунке, соединение начинается на системе-клиенте и поступает на внутрен­ний интерфейс межсетевого экрана. Межсетевой экран принимает со­единение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам полигики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой- сервером.

Межсетевые экраны прикладного уровня используют модули дос­тупа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед от­правкой трафика получателю. Таким образом, межсетевой экран защи­щает системы от атак, выполняемых посредством приложений.


 


Межсетевой экран декодирует пакет и анализирует протокол на соответствие правилам политики.

Если трафик разрешен, межсетевой экран инициирует новое соединение с сервером под видом клиента.


 


Системасервер ►

  Межсетевой экран прикладного уровня
Система клиент Клиент передает запрос на соединение межсетевому экрану

Межсетевой экран иниции рует новое соединение с сервером


 


Рис. 30. Соединения модуля доступа межсетевого экрана прикладного уровня

Межсетевой экран также скрывает адреса систем, расположенных по другую сторону от него. Так как все соединения инициируются и завершаются на межсетевом экране, внутренние системы сети не видны напрямую извне, что позволяет скрыть схему внутренней ад­ресации сети.

Межсетевые экраны с пакетной фильтрацией. Межсетевые эк­раны с пакетной фильтрацией могут также быть программными паке­тами, базирующимися на операционных системах общего назначения.

Аналогично межсетевым экранам прикладного уровня, доставка трафика из одной сети в другую определяется набором правил поли­тики. Если правило не разрешает явным образом определенный тра­фик, то соответствующие пакеты будут отклонены или аннулированы межсетевым экраном.

Правила политики усиливаются посредством использования фильтр-пакетов. Фильтры изучают пакеты и определяют, является ли трафик разрешенным, согласно правилам политики и состоянию про­токола (проверка с учетом состояния).

При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на межсетевом экране (рис. 31), а на­правляются непосредственно к конечной системе. При поступлении пакетов межсетевой экран выясняет, разрешен ли данный пакет и со­стояние соединения правилами политики. Если это так, пакет переда­ется по своему маршруту. В противном случае пакет отклоняется или аннулируется.

Сетевой экран анализирует пакет и состояние соединения на соответствие правилам политики. Если пакет разрешен, он передается напрямую серверу.   Клиент передает на сервер запрос на соединение Рис. 31. Передача трафика через межсетевой экран с фильтрацией пакетов

 

Гибридные межсетевые экраны. Как и многие другие устройст­ва, межсетевые экраны изменяются и совершенствуются с течением времени, т. е. эволюционируют. Производители межсетевых экранов прикладного уровня в определенный момент пришли к выводу, что необходимо разработать метод поддержки протоколов, для которых не существует определенных модулей доступа.

Вследствие этого увидела свет технология модуля доступа Generic Services Proxy (GSP). GSP разработана для поддержки модулями дос­тупа прикладного уровня других протоколов, необходимых системе безопасности и при работе сетевых администраторов. В действитель­ности GSP обеспечивает работу межсетевых экранов прикладного уровня в качестве экранов с пакетной фильтрацией.

Производители межсетевых экранов с пакетной фильтрацией также добавили некоторые модули доступа в свои продукты для обеспечения более высокого уровня безопасности некоторых широко распространен­ных протоколов. На сегодняшний день многие межсетевые экраны с па- кегной фильтрацией поставляются с модулем доступа SMTP.

В то время как базовая функциональность межсетевых экранов обоих типов осталась прежней (что является причиной большинства «слабых мест» этих устройств), сегодня на рынке присутствуют гиб­ридные межсетевые экраны. Практически невозможно найти межсе­тевой экран, функционирование которого построено исключительно на прикладном уровне или фильтрации пакетов. Это обстоятельство отнюдь не является недостатком, так как оно позволяет администра­торам, отвечающим за безопасность, настраивать устройство для ра­боты в конкретных условиях.

<== предыдущая лекция | следующая лекция ==>
Периодическая оценка проектов и оценка новых проектов | Системы обнаружения вторжений
Поделиться с друзьями:


Дата добавления: 2014-01-03; Просмотров: 1364; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.01 сек.