Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Типи міжмережевих екранів
Існують два основних типи міжмережевих екранів: міжмережеві екрани прикладного рівня і міжмережеві екрани з пакетною фільтрацією. В їх основі лежать різні принципи роботи, але при правильному налаштуванні обидва типи пристроїв забезпечують правильне виконання функцій безпеки, які полягають у блокуванні забороненого трафіку. Ступінь забезпечуваний цими пристроями захисту залежить від того, яким чином вони застосовані і налаштовані. Міжмережні екрані прикладного рівня. Міжмережеві екрани прикладного рівня, або проксі-екрани, являють собою програмні пакети, що базуються на операційних системах загального призначення (таких як Windows NT і Unix) або на аппаратній платформі міжмережевих екранів. Міжмережевий екран володіє декількома інтерфейсами, по одному на кожну з мереж, до яких він підключений. Набір правил політики визначає, яким чином трафік передається з однієї мережі в іншу. Якщо в правилі відсутній явний дозвіл на пропуск трафіку, міжмережевмй екран відхиляє або анулює пакети. Міжмережеві екрани прикладного рівня використовують модулі доступу для вхідних підключень. Модуль доступу в міжмережевому екрані приймає вхідне підключення і обробляє команди перед відправкою трафіку одержувачу. Таким чином, міжмережевий екран захищає системи від атак, виконуваних за допомогою додатків. Тут мається на увазі, що модуль доступу на міжмережевого екрану сам по собі невразливий для атаки. Якщо ж програмне забезпечення розроблене недостатньо ретельно, це може бути і помилковим твердженням. Додатковою перевагою архітектури даного типу є те, що при її використанні дуже складно, якщо не неможливо, " приховати" трафік усередині інших служб. Наприклад, деякі програми контролю над системою, такі як NetBus та Back Orifice, можуть бути налаштовані на використання будь-якого улюбленого користувачем порту. Отже, їх можна налаштувати на використання порту 80 (HTTP). Міжмережевий екран також приховує адреси систем, розташованих по інший бік від нього. Так як всі з'єднання ініціюються і завершуються на інтерфейсах міжмережевого екрану, внутрішні системи мережі не видно безпосередньо ззовні, що дозволяє приховати схему внутрішньої адресації мережі. Велика частина протоколів прикладного рівня забезпечує механізми маршрутизації до конкретних систем для трафіку, направленого через певні порти. Наприклад, якщо весь трафік, що надходить через порт 80, повинен направлятися на веб-сервер, це досягається відповідною настроюванням міжмережевого екрану.
|