|
|
Система сетевой защиты (Firewall)
Система сетевой защиты (firewall) – программа или аппаратное устройство, которое защищает вашу сеть, фильтруя входящие пакеты из Интернета вашей защищенной сетью или компьютерной системой. Она может использоваться в качестве рентабельного метода для защиты домашнего компьютера или организации. Использование firewall для защиты частной сети подобно использованию ворот и охраны для защиты собственности. Оно обеспечивает границу между вашей защищенной системой и Интернетом. Система сетевой защиты является одним из первых препятствий против несанкционированного доступа к компьютерным системам и данным. Она служит цензором в вашей компьютерной системе. Обычно она устанавливается между внутренней сетью и Интернетом, чтобы гарантировать прохождение входного и выходного трафика только через защищенную сеть. Если входящий трафик не распознается firewall как допустимый, то он не пропускается. Firewall также важен, так как он обеспечивает единую “точку заслона”, где может быть осуществлена политика безопасности и выполнен контроль. Системы сетевой защиты часто обеспечивают отчеты администратору о видах прошедших данных, количестве трафика и числе попыток взломать защищенную систему. Рисунок внизу показывает firewall в виде фильтра входящего в защищенную систему трафика.
Рисунок 1. Firewall и защищенная сеть Шлюз приложения Существует два типа firewall . Первый тип – шлюз приложения (application gateway). Вместо разрешения корпоративным узлам связываться непосредственно с внешними узлами, коммуникации идут через приложение, называемое прокси (proxy), запускаемое или непосредственно находящееся за firewall. Например, когда корпоративный узел пытается читать веб-страницу, он устанавливает связь с Веб-прокси, работающем на firewall вместо фактического сервера. Прокси будет принимать запросы и, если они одобрены, то происходит обращение к странице фактического сервера. Как только страница получена, прокси, в соответствии с настройками, проверяет ее и затем пересылает запрашивающему узлу. Подобные прокси программы могут быть для электронной почты и других приложений. Фильтр пакетов Второй тип firewall – это фильтр пакетов (packet filter). Он использует информации из заголовка пакета для определения, можно ли пропустить пакет через firewall. Возвращает адрес отправителя пакета, адрес получателя и данные. Если источник доставки или точка назначения недопустимы, пакет блокируется, и запись в протоколе может быть проверена сетевым менеджером. Фильтры пакета осуществляют только грубый контроль доступа. Причина в том, что им придется принять решения о фильтрации, основанные исключительно на соответствии полей заголовка (например, номера портов или адреса IP) с определенными известными значениями. Например, можно ограничить приложения, которые могут посылать данные через систему сетевой защиты, основываясь на номерах портов. Поскольку электронная почта обычно использует порт 25, законный почтовый трафик посылается на 25-й порт, чтобы он прошел через систему сетевой защиты. Также можно ввести ограничения, основанные на IP- адресах, с которыми могут связаться хосты или корпоративные сетевые системы. Например, фильтр пакета может предотвратить связь со специфическими веб-узлами. Однако если веб-сервер использует нестандартные имена портов или, если прокси использует маски IP-адресов, то фильтр пакета может и не задержать все пакеты, нарушающие корпоративную политику. Более современный метод фильтрации пакетов сравнивает подлинные части ключей пакета. Firewall проверяет пакеты и отслеживает их состояния от пакета к пакету. Также он отслеживает связь между пакетами для обеспечения возврата запрошенных данных изнутри firewall. Шлюз приложения в сравнении с фильтром пакетов По сравнению с пакетными фильтрами прокси-приложения могут обеспечить более скрупулезный контроль доступа, и они также имеют преимущества в том, что проверяют содержимое. Например, прокси-приложения могут скрыть email с привилегированной информацией. Дополнительно, они могут отклонять данные необычного формата или привести данные к корректной форме. Однако, они медленнее, чем пакетные фильтры. Более того, прокси должны быть созданы для каждого приложения. Отметим, что если корпоративная сеть подключена к Интернету через firewall, использующий шлюзы приложения, то хосты в этой сети не видимы в Интернете. Это означает, что их IP-адреса никогда не будут показаны в любых пакетах Интернета. Гибрид Пытаясь скомбинировать защиту шлюзами приложений, гибкость и скорость фильтрации пакетов, продавцы создали системы, которые используют оба принципа. В этих гибридных системах, новые подключения аутентифицированы и одобрены на прикладном уровне. Остальные подключения переносятся на сеансовый уровень, где пакетные фильтры гарантируют, что передаются только те пакеты, которые являются частью постоянной (уже аутентифицированной и одобренной) пересылки. Другие возможности включают использование как фильтра пакетов, так и прокси уровня приложений. Этот метод защищает компьютеры, которые обеспечивают услуги Интернета (например, общедоступный веб-сервер) и служит шлюзом уровня приложений, защищающим внутреннюю сеть. Дополнительно, этот метод обеспечивает множественные уровни защиты от вторжений нацеленных на сервисы внутренней сети. Атаки злоумышленников, предотвращаемые Firewall Firewall может защищать от попыток злоумышленников нарушить безопасность системы: Удалённый доступ – злоумышленники могут войти в вашу защищенную сеть через Telnet логин. Firewall может блокировать трафик от Telnet и других методов удаленного доступа. Лазейки (backdoors) в приложениях – Некоторые программы имеют специальные особенности, обеспечивающие самозванцам возможность вторжения. Отдельные программы могут содержать ошибки (bugs), обеспечивающие лазейки или скрытый доступ, который может дать самозванцу способность управлять программой. Система сетевой защиты может быть установлена, чтобы обеспечить прохождение трафика только через законные порты приложения. Маршрутизация от источника – В большинстве случаев, путь движения пакета через Интернет определяется маршрутизаторами. Но, отправитель пакета может произвольно определить маршрут, по которому должен проходить пакет. Хакеры иногда пользуются этим, чтобы казалось, будто информация прибыла от доверенного источника или даже изнутри сети. Большинство продуктов систем сетевой защиты по умолчанию отключают подобную маршрутизацию от источника. Вирусы – Комбинированный firewall можно использовать для исследования почтового трафика и фильтрации данных со специальными вложениями (такими как файлы с расширениями .exe and .vbs). Отказ в обслуживании – Firewall может блокировать IP-адреса нарушителей Настройка firewall Эффективность системы сетевой защиты зависит от правил, указывающих какой тип данных может пройти, а какой нет. Firewall также может быть сконфигурирован для укрепления определенной стратегии защиты, устанавливаемой вами или вашей организацией на машинах в пределах защищенной сети. Для приложений, это может служить дополнительным уровнем проверки, гарантирующим, что «лазейки» приложений недоступны для использования. Конфигурация firewall основана на уровне защиты, установленном вами или вашей организацией. Самый высокий уровень защиты может блокировать весь трафик, но он может нарушить Интернет подключение. Некоторые firewall запрещают только почтовый трафик, таким образом, защищая сеть от любых атак на почтовый сервис. Другие firewall обеспечивают низкий уровень защиты и блокируют только сервисы, известные как проблемные. В основном firewall сконфигурирован для защиты от несанкционированного удаленного доступа через Telnet. Это помогает предотвратить вхождение злоумышленников на машины вашей сети. Некоторые системы сетевой защиты могут быть сконфигурированы так, чтобы блокировать трафик снаружи внутрь, но разрешают пользователям изнутри свободно связываться с внешней частью. Однако важно гарантировать, чтобы сообщения изнутри фильтровались системой сетевой защиты. В случае вирусной инфекции, фильтрация внутренних пакетов сети, может препятствовать распространению инфекции. Общее правило установки системы сетевой защиты – блокировать все, а затем начать выбирать, какие типы трафика разрешить. Несмотря на конфигурацию firewall, он защищает нас только от неразрешенного трафика. Запрет всего трафика невозможен. Есть другие средства для укрепления защиты вашего компьютера, о которых рассказано в следующем разделе. 
Не нашли, что искали? Воспользуйтесь поиском по сайту: ©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|
