Главная страница
Навигация по странице:

  • Другие названия: Брандмауэр(нем), Файрволл(англ).

  • Классификация

  • 1. Управляемые коммутаторы

  • 3. Межсетевой экран сеансового уровня

  • Достоинствами данных решений являются

  • 2. Простота управления

  • 4. Отказоустойчивость и высокая доступность

    		•

    Межсетевые экраны. Клименко С. (Межсетевые экраны). Межсетевые экраны Назначение, классификация и реализация


    Скачать 1.18 Mb.
    НазваниеМежсетевые экраны Назначение, классификация и реализация
    АнкорМежсетевые экраны
    Дата22.06.2022
    Размер1.18 Mb.
    Формат файлаpptx
    Имя файлаКлименко С. (Межсетевые экраны).pptx
    ТипДокументы
    #609448

    Межсетевые экраны

    Назначение, классификация и реализация.

    • Межсетевой экран или сетевой экран — программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.
    • Другие названия: Брандмауэр(нем), Файрволл(англ).

    Назначение

    Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами.

    Классификация

    Основной характеристикой межсетевых экранов является сетевая модель OSI.

    Они подразделены на 5 классов:

    1. Управляемые коммутаторы.

    2. Пакетные фильтры.

    3. Шлюзы сеансового уровня.

    4. Посредники прикладного уровня.

    5. Инспекторы состояния.

    1. Управляемые коммутаторы иногда причисляют к классу межсетевых экранов, так как они осуществляют фильтрацию трафика между сетями или узлами сети. Однако они работают на канальном уровне и разделяют трафик в рамках локальной сети, а значит не могут быть использованы для обработки трафика из внешних сетей (например, из Интернета) 2. Пакетные фильтры функционируют на сетевом уровне и контролируют прохождение трафика на основе информации, содержащейся в заголовке пакетов. Многие межсетевые экраны данного типа могут оперировать заголовками протоколов и более высокого, транспортного, уровня (например, TCP или UDP). 3. Межсетевой экран сеансового уровня исключает прямое взаимодействие внешних хостов с узлом, расположенным в локальной сети, выступая в качестве посредника, который реагирует на все входящие пакеты и проверяет их допустимость на основании текущей фазы соединения, также шлюз сеансового уровня является единственным связующим элементом между внешней сетью и внутренними ресурсами. 4. Межсетевые экраны прикладного уровня, к которым, в частности, относится файрволл веб-приложений, как и шлюзы сеансового уровня, исключают прямое взаимодействие двух узлов. Однако, функционируя на прикладном уровне, они способны «понимать» контекст передаваемого трафика. Такой межсетевой экран способен выявлять в передаваемых сообщениях и блокировать несуществующие или нежелательные последовательности команд, что зачастую означает DoS-атаку, либо запрещать использование некоторых команд (например, FTP PUT, которая даёт возможность пользователю записывать информацию на FTP сервер).

    Недостатками данного типа межсетевых экранов являются большие затраты времени и ресурсов на анализ каждого пакета.

    По этой причине они обычно не подходят для приложений реального времени.

    Другим недостатком является невозможность автоматического подключения поддержки новых сетевых приложений и протоколов, так как для каждого из них необходим свой агент.

    5. Каждый из вышеперечисленных типов межсетевых экранов используется для защиты корпоративных сетей и обладает рядом преимуществ. Однако, куда эффективней было бы собрать все эти преимущества в одном устройстве и получить межсетевой экран, осуществляющий фильтрацию трафика с сетевого по прикладной уровень. Осуществляя фильтрацию трафика по принципу шлюза сеансового уровня, данный класс межсетевых экранов не вмешивается в процесс установления соединения между узлами. Поэтому производительность инспектора состояний заметно выше, чем у посредника прикладного уровня и шлюза сеансового уровня, и сравнима с производительностью пакетных фильтров.

    Реализация

    Существует два варианта исполнения межсетевых экранов — программный и программно-аппаратный.

    Программно-аппаратный вариант имеет две разновидности — в виде отдельного модуля в коммутаторе или маршрутизаторе и в виде специализированного устройства.

    Специализированные программно-аппаратные комплексы, называемые security appliance, на основе, как правило, FreeBSD или Linux, «урезанные» для выполнения только необходимых функций.

    Достоинствами данных решений являются:

    1. Простота внедрения: данные устройства имеют предустановленную и настроенную операционную систему и требуют минимум настроек после внедрения в сеть.

    2. Простота управления: данными устройствами можно управлять откуда угодно по стандартным протоколам, таким как SNMP или Telnet, либо посредством защищённых протоколов, таких как SSH или SSL.

    3. Производительность: данные устройства работают более эффективно, так как из их операционной системы исключены все неиспользуемые сервисы.

    4. Отказоустойчивость и высокая доступность: данные устройства созданы выполнять конкретные задачи с высокой доступностью.

    написать администратору сайта