Классификация межсетевых экранов
1. По способу реализации:
- программные
- программно-аппаратные
Преимущества программных межсетевых экранов:
- возможность интеграции с другими программными продуктами
- простота наращивания мощности аппаратного обеспечения
- возможность быстрых обновлений
Недостатки:
- уязвимость ОС на которой базируется межсетевой экран может стать причиной нарушения политики безопасности
- администратор должен досконально знать принцип взаимодействия экрана и ОС
Преимущества программно-аппаратных межсетевых экранов:
- простота эксплуатации
- высокая производительность
Недостатки:
- невозможность интеграции с другим ПО
- сложность обновления
- сложность наращивания аппаратных мощностей
2. По типам защищаемых объектов:
Встраиваемые межсетевые экраны используются, когда существует необходимость в усилении защиты прикладных сервисов, реализуемые одним или несколькими серверами.
3. Классификация по уровня модели OSI
Технология VLAN
Технология VLAN позволяет сознать группы узлов сети трафик которых полностью изолирован друг от друга.
Различают следующие способы построения VLAN:
- использование номеров подсетей
- группировка портов
- группировка по МАС адресам
- добавление к кадрам канального уровня меток виртуальных сетей
Способы группировки по портам и МАС адресам поддерживаются всеми производителями сетевого оборудования, группировка по подсетям и меткам в зависимости от производителя.
Недостатки управляемых коммутаторов:
- отсутствие или ограничение возможностей фильтрации трафика на сетевом и более высоких уровнях модели OSI
- отсутствие в свитчах второго уровня механизма аутентификации
- сложность управления и определения правил фильтрации
Фильтры пакетов
Статистические фильтры пакетов – первое поколение технологий межсетевого экранирования, которая анализирует трафик на сетевом и транспортных уровнях формирования пакетов по уровням модели OSI. Каждый IP-пакет проверяется на соответствие набору правил, определяющих разрешенные потоки данных.
Фильтры пакетов позволяют контролировать следующие поля сетевых пакетов.
- IP адрес источника и назначения
- Тип транспортного протокола
- Поля служебных заголовков IP, TCP
- Порт источника и назначения транспортного уровня
Действия над поступающим сетевой интерфейс или исходящим из него пакетом принимает два значения: allow или denied(разрешить или запретить).
Запрет может быть выполнен в трёх вариантах:
- пакет отбрасывается без каких либо других дополнительных действий.
- пакет отбрасывается и отправителю посылается ответный пакет с флагом сброс соединения - reject
- пакет отбрасывается и отправителю посылается ICMP-сообщение: «хост недостижим или недоступен».
Фильтры пакетов обычно оперируют набором команд контролирующих ІР-адреса, номера портов источника и назначения TCP/UDP
Достоинства статических пакетных фильтров:
- Быстрота работы
- Не требует специальной конфигурации клиентских ПК
- В сочетании с сетевой трансляцией адресов можно скрыть топологию сети
Недостатки:
- Фильтры пакетов не интерпретируют прикладной уровень модели OSI то есть не отслеживают текущие сессии
- Имеют ограниченные системы аудита и оповещений либо же они вообще отсутствуют
- Из-за сложности реализации сервисов возникают сложности определения списков правил.
Дата добавления: 2017-11-04; просмотров: 597;