Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Міжмережні екрані з пакетною фільтрацією.
Міжмережеві екрани з пакетною фільтрацією можуть також бути програмними пакетами, що базуються на операційних системах загального призначення (таких як Windows NT і Unix) або на апаратних платформах міжмережевих екранів. Міжмережевий екран має декілька інтерфейсів, по одному на кожну з мереж, до яких підключений екран. Аналогічно міжмережевих екранів прикладного рівня, доставка трафіку з однієї мережі в іншу визначається набором правил політики. Якщо правило не дозволяє явним чином певний трафік, то відповідні пакети будуть відхилені або анульовані міжмережевим екраном. Правила політики посилюються за допомогою використання фільтрів пакетів. Фільтри вивчають пакети і визначають, чи є трафік дозволеним, згідно з правилами політики і станом протоколу (перевірка з урахуванням стану). Якщо протокол додатка функціонує через TCP, визначити стан відносно просто, так як TCP сам по собі підтримує стан. Це означає, що коли протокол знаходиться в певному стані, дозволена передача тільки певних пакетів. Міжмережеві екрани з фільтрацією пакетів не використовують модулі доступу для кожного протоколу і тому можуть використовуватися з будь-яким протоколом, працюючим через IP. Деякі протоколи вимагають розпізнавання міжмережевим екраном виконуваних ним дій. Як правило, міжмережеві екрани з фільтрацією пакетів мають можливість підтримки більшого обсягу трафіку, тому в них відсутнє навантаження, створювана додатковими процедурами налаштування та обчислення, що мають місце в програмних модулях доступу. Різні виробники міжмережевих екранів зіставляють їх продуктивність різними способами. Історично склалося так, що міжмережеві екрани з пакетною фільтрацією мають можливість обробки більшого обсягу трафіку, ніж міжмережеві екрани прикладного рівня, на платформі одного і того ж типу. Це порівняння показує різні результати в залежності від типу трафіку і числа сполук, що мають місце в процесі тестування. Міжмережеві екрани, що працюють тільки за допомогою фільтрації пакетів, не використовують модулі доступу, і тому трафік передається від клієнта безпосередньо на сервер. Якщо сервер буде атакований через відкриту службу, дозволену правилами політики міжмережевого екрану, міжмережевий екран ніяк не відреагує на атаку. Міжмережеві екрани з пакетною фільтрацією також дозволяють бачити ззовні внутрішню структуру адресації. Внутрішні адреси приховувати не потрібно, так як сполуки не перериваються на міжмережевим екрані.
|