Типи міжмережевих екранів
Брандмауери можна розділити на дві основні категорії:
· фільтри пакетів;
· проксі-сервери.
Фільтр пакетів. Це брандмауер, що перевіряє кожен пакет відповідно до правил фільтрації й вирішує, пропустити його або блокувати. Так правила фільтрації можуть забороняти пропуск усіх запитів Telnet. На підставі цієї заборони брандмауер буде блокувати всі повідомлення, у заголовках яких номер порту дорівнює 23 (номер порту мережі Telnet по умовчанню). Правила фільтрації можна побудувати або на використанні IP-адрес джерела чи пункту призначення, або використовуючи номери їхніх портів.
Проксі-сервери. Прикладна програма, яка переадресує користувацький запит до служб, що підтримують стратегію безпеки, називається проксі-сервером. Будь-яке з'єднання між користувачем і сервером обробки запитів здійснюється через проксі-сервер. Він працює як посередник між клієнтом і сервером прикладних програм. Оскільки проксі-сервер функціонує як пункт контролю, у якому запит перевіряється на відповідність прикладній програмі, він працює дуже інтенсивно, й при великому потоці запитів не встигає їх обслуговувати.
Шлюзи
Розрізняють два класи проксі-серверів: шлюзи прикладних програм, які працюють на прикладному рівні, і шлюзи ліній зв'язку, що функціонують на транспортному рівні.
Шлюз прикладних програм. Це проксі-сервер, що забезпечує функції контролю доступу на рівні прикладних завдань. Він діє як шлюз прикладного рівня між захищеною мережею й системою, в якій не передбачено режиму безпечної роботи. Оскільки шлюз прикладних програм працює на рівні прикладних завдань, він детально досліджує трафік, забезпечуючи найкращий захист мережі. Так він може перешкоджати доступу в мережу певних прикладних програм (наприклад, FTP). З метою обліку й перевірки безпеки пристрій реєструє всі операції, пов'язані з роботою прикладних програм.
Шлюзи прикладних програм можуть закривати інформацію. Оскільки всі запити служб у захищеній мережі проходять через шлюз прикладних програм, то він перетворює мережеві IP-адреси й тим самим приховує IP-адреси локальної структури. Мережева IP-адреса кожного експортованого пакета - повідомлення, що спрямовується з локальної мережі в Інтернет, - заміняється його власною адресою IP. Перетворення мережевої адреси дозволяє вільно використовувати незареєстрованні IP-адреси у захищеній мережі, оскільки у випадку виходу локального клієнта у зовнішні структури, шлюз прикладних програм перетворить цю адресу в необхідну.
Шлюз ліній зв'язку. Це проксі-сервер, що підтверджує дозвіл на сесію TCP або UDP, перш ніж лінія зв'язку пройде через міжмережевий екран. Шлюз даного рівня приймає активну участь у формуванні каналу передачі даних і не дозволяє пакетам проходити через нього, якщо не дотримані необхідні правила доступу.
Шлюз ліній зв'язку забезпечує більш слабкий захист у порівнянні зі шлюзом прикладних програм, оскільки перший дозволяє сесію TCP або UDP без детального аналізу прикладних програм, що використовують ці транспортні служби. Більше того, після початку сесії прикладна програма, якій потрібно було транспортування, може використати будь-яку сформовану лінію зв'язку. Ця особливість знижує захищеність мережі від атак зловмисників. На відміну від шлюзу з'єднань, шлюз прикладних програм може відокремити прикладні програми, які варто блокувати, від тих, що необхідно пропустити.
Хоча шлюзи прикладних програм забезпечують найвищий ступінь безпеки серед брандмауерів, виконувана ними ретельна перевірка знижує продуктивність мережі. Шлюз, що фільтрує пакети із збереженням адрес, дозволяє забезпечити тверді вимоги по безпеці, не знижуючи продуктивності мережі. На відміну від шлюзу прикладних програм, він перевіряє пакети, які надходять на мережевому рівні, але не обробляє їх. Даний брандмауер зберігає інформацію про режим кожної сесії. Режим сесії включає фазу взаємодії й кінцевий пункт, у якому перебуває прикладна програма. Коли фільтр пакетів із збереженням адреси приймає пакет з даними, він перевіряє його вміст на відповідність режиму сесії. Якщо вміст пакета відрізняється від очікуваного режиму, шлюз блокує продовження сесії.
Дата добавления: 2015-08-11; просмотров: 1509;