Межсетевой экран и его функции. Основные компоненты брандмауэра

Июль 22, 2022

Главная
Информатика
Межсетевой экран и его функции. Основные компоненты брандмауэра

Содержание

2. Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих
3. Расположение сетевого экрана (Firewall) в сети.
4. Другие названия Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в
5. Разновидности сетевых экранов Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик: обеспечивает ли
6. В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на: Традиционный сетевой (или межсетевой) экран
7. В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
8. Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана,
9. В зависимости от отслеживания активных соединений сетевые экраны бывают: Stateless (простая фильтрация), которые не отслеживают текущие
10. Пример пользовательского интерфейса на платформе Debian GUN/Linux.
11. Типичные возможности Фильтрация доступа к заведомо незащищенным службам; Препятствование получению закрытой информации из защищенной подсети, а
12. Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как TelnetВследствие защитных ограничений могут
14. Скачать презентацию

Слайд 2

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и

фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресовНекоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Слайд 3

Расположение сетевого экрана (Firewall) в сети.

Слайд 4

Другие названия
Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его

оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «Firewall».
Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall.

Слайд 5

Разновидности сетевых экранов
Сетевые экраны подразделяются на различные типы в зависимости от

следующих характеристик:
обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
на уровне каких сетевых протоколов происходит контроль потока данных;
отслеживаются ли состояния активных соединений или нет.

Слайд 6

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

Традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
Персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

Слайд 7

В зависимости от уровня, на котором происходит контроль доступа, существует разделение

на сетевые экраны, работающие на:
Сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
Сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
Уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Слайд 8

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми

возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

Слайд 9

В зависимости от отслеживания активных соединений сетевые экраны бывают:
Stateless (простая фильтрация),

которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
Stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323 (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Слайд 10

Пример пользовательского интерфейса на платформе Debian GUN/Linux.

Слайд 11

Типичные возможности
Фильтрация доступа к заведомо незащищенным службам;
Препятствование получению закрытой

информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;
Контроль доступа к узлам сети;
Может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;
Регламентирование порядка доступа к сети;
Уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;
Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как TelnetВследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTPВследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMBВследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.
Также следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.

Слайд 12

Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие

как TelnetВследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTPВследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMBВследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.
Также следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.