Изменения
→Межсетевой экран
}}
=== Цели:===
# Предоставить людям из организации доступ к интернету так, чтобы лишние люди не могли получить доступ к внутренней информации компании.
# Чтобы воздвигнуть барьер между ненадежным программным обеспечением, общественными веб-серверами Вашей организации и конфиденциальной информацией, которая находится в частной сети.
Основные идеи:
Межсетевые экраны не защищают от атак, которым удалось проникнуть за "стену", от передачи инсайдерской информации, например недобросовестными сотрудниками и от передачи во внутреннюю сеть файлов или программ, содержащих вирусы.
===Типы межсетевых экранов:===* ==== Пакетные фильтры.====[[Файл:packet_filtering.gif|thumb|upright=2|"left|Пакетный фильтр."]]
Пакетный фильтр работает исходя из ограничений, определяя может или не может данный пакет пройти сквозь "стену". Фильтр основывается на данных,содержащихся в пакетах: источнике, адресе назначения, порте, транспортном протоколе и интерфейсе. Межсетевой экран может иметь разные настройки по умолчанию: либо он пропускает все неотфильтрованные пакеты, либо пропускает только отфильтрованные. В коммерческом мире, простые пакетные фильтры становятся все более редкими: все основные межсетевые экраны имеют некоторую степень мониторинга состояния. Плюсом такого подхода явлется простота и быстрота. Недостатком является низкий уровень защищенности.
Данный вид межсетегого экрана работает лучше, чем обычная пакетная фильтрация, так как без без данных о состоянии соеденений межсетевой экран не может знать, является ли данное сообщение частью уже установленной сессии или является первым сообщением этой сессии. Некоторые простые пакетные фильтры могут считать, что все сообщение сообщения с проставленным ACK флагом являются частью установленной сессии, что является потенциальной уязвимостью. Также знание о состоянии соединений защищает внутреннюю сеть от сканирования(например утилитой nmap), так как межсетевой экран сразу же обнаруживает любое несоответствие с данными в таблице и блокирует подозрительный ip адрес.<br clear="both" />* ==== Инспекторы состояния.====Инспекторы состояния представляют собой пакетный фильтр с учетом состояния с некоторыми доработками на уровне приложений. Например , инспектор состояния также следит и за нагрузкой, что позволяет проверить, что инициатор соединения и вправду запрашивает HTTP сессию вместо того, чтобы а не пытается, например, добиться отказа 80ого порта, например.
Данный класс межсетевых экранов позволяет контролировать:
# каждый передаваемый пакет — на основе таблицы правил;
# каждое приложение — на основе разработанных посредников.
Осуществляя фильтрацию трафика по принципу шлюза сеансового уровня, данный класс межсетевых экранов не вмешивается в процесс установления соединения между узлами. Поэтому производительность инспектора состояний заметно выше, чем у посредника прикладного уровня и шлюза сеансового уровня, и сравнима с производительностью пакетных фильтров. Ещё одно достоинство инспекторов состояния — прозрачность для пользователя: для клиентского программного обеспечения не потребуется дополнительная настройка. Данные межсетевые экраны имеют большие возможности расширения. При появлении новой службы или нового протокола прикладного уровня для его поддержки достаточно добавить несколько шаблонов. Однако инспекторам состояний по сравнению с посредниками прикладного уровня свойственна более низкая защищённость.
<br clear="both" />
