- Главная
- Информатика
- Межсетевой экран и его функции. Основные компоненты брандмауэра
Содержание
- 2. Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих
- 3. Расположение сетевого экрана (Firewall) в сети.
- 4. Другие названия Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в
- 5. Разновидности сетевых экранов Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик: обеспечивает ли
- 6. В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на: Традиционный сетевой (или межсетевой) экран
- 7. В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
- 8. Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана,
- 9. В зависимости от отслеживания активных соединений сетевые экраны бывают: Stateless (простая фильтрация), которые не отслеживают текущие
- 10. Пример пользовательского интерфейса на платформе Debian GUN/Linux.
- 11. Типичные возможности Фильтрация доступа к заведомо незащищенным службам; Препятствование получению закрытой информации из защищенной подсети, а
- 12. Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как TelnetВследствие защитных ограничений могут
- 14. Скачать презентацию
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресовНекоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.
Расположение сетевого экрана (Firewall) в сети.
Расположение сетевого экрана (Firewall) в сети.
Другие названия
Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его
Другие названия
Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его
Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall.
Разновидности сетевых экранов
Сетевые экраны подразделяются на различные типы в зависимости от
Разновидности сетевых экранов
Сетевые экраны подразделяются на различные типы в зависимости от
обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
на уровне каких сетевых протоколов происходит контроль потока данных;
отслеживаются ли состояния активных соединений или нет.
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
Персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.
В зависимости от уровня, на котором происходит контроль доступа, существует разделение
В зависимости от уровня, на котором происходит контроль доступа, существует разделение
Сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
Сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
Уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.
Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми
Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми
В зависимости от отслеживания активных соединений сетевые экраны бывают:
Stateless (простая фильтрация),
В зависимости от отслеживания активных соединений сетевые экраны бывают:
Stateless (простая фильтрация),
Stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323 (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.
Пример пользовательского интерфейса на платформе Debian GUN/Linux.
Пример пользовательского интерфейса на платформе Debian GUN/Linux.
Типичные возможности
Фильтрация доступа к заведомо незащищенным службам;
Препятствование получению закрытой
Типичные возможности
Фильтрация доступа к заведомо незащищенным службам;
Препятствование получению закрытой
Контроль доступа к узлам сети;
Может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;
Регламентирование порядка доступа к сети;
Уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;
Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как TelnetВследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTPВследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMBВследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.
Также следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.
Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие
Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие
Также следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.