Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Брандмауэры с фильтрацией пакетов

Пакетная фильтрация одно из самых старых и распространенных средств управления доступом к сети. Все без исключения брандмауэры умеют фильтровать трафик. Идея: установить, разрешено ли данному пакету входить в сеть или выходить из нее.

Брандмауэр с фильтрацией пакетов представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Брандмауэр пропускает или отбраковывает пакеты в соответствии с информацией, содержащейся в IP-заголовках пакетов. Например, большинство брандмауэров с фильтрацией пакетов может пропускать или отбраковывать пакеты на основе информации, позволяющей ассоциировать данный пакет с конкретными отправителем и получателем (полной ассоциации), которая состоит из следующих элементов:

- адреса отправителя;
- адреса получателя;
- информации о приложении или протоколе;
- номера порта источника;
- номера порта получателя.

Все маршрутизаторы (даже те, которые не сконфигурированы для фильтрации пакетов), обычно проверяют полную ассоциацию пакета, чтобы определить, куда его нужно направить. Брандмауэр с фильтрацией пакетов, кроме того, перед отправкой пакета получателю сравнивает его полную ассоциацию с таблицей правил, в соответствии, с которыми он должен пропустить или отбраковать данный пакет. Брандмауэр продолжает проверку до тех пор, пока не найдет правила, с которым согласуется полная ассоциация пакета.

Если брандмауэр получил пакет, не соответствующий ни одному из табличных правил, он применяет правило, заданное по умолчанию, которое также должно быть четко определено в таблице брандмауэра. Из соображений безопасности это правило обычно указывает на необходимость отбраковки всех пакетов, не удовлетворяющих ни одному из других правил.

Пакетная фильтрация как средство управления доступом к сети

Можно задать правила фильтрации пакетов, которые будут «указывать» брандмауэру, какие пакеты должны быть пропущены, а какие отбракованы. Например, можно определить правила таким образом, чтобы брандмауэр отбраковывал пакеты, поступающие от внешних серверов (их обычно называют Internet-хостами - razgovorodele.ru), IP-адреса которых указаны в таблице. Можно также задать правило, в соответствии с которым будет разрешено пропускать только входящие сообщения электронной почты, адресованные почтовому серверу, или правило блокировки всех почтовых сообщений, поступающих от внешнего хоста, который когда-то «наводнил» вашу сеть гигабайтами ненужных данных.

Кроме того, можно сконфигурировать брандмауэр для фильтрации пакетов на основе номеров портов, задаваемых в заголовках пакетов TCP и UDP (User Datagram Protocol). В этом случае можно будет пропускать отдельные виды пакетов (например, Telnet или FTP), только если они направляются к определенным серверам (соответственно к Telnet или FTP). Однако успешное выполнение подобного правила зависит от того, какие соглашения приняты в сети, функционирующей па основе TCP/IP: для работы приложений TCP/IP серверы и клиенты обычно используют конкретные порты (которые часто называют известными, т.е. заранее определенными), однако это не является обязательным условием.

Например, приложение Telnet на серверах сети с TCP/IP обычно работает через порт 23. Чтобы разрешить сеансы Telnet только с определенным сервером, необходимо задать правила, одно из которых «заставит» брандмауэр пропускать все пакеты, запрашивающие порт 23 по адресу 123.45.6.7 (IP-адрес сервера Telnet - razgovorodele.ru), а другое - отбраковывать входящие пакеты, запрашивающие этот порт по другим адресам. Конечно, реальные правила создавать намного сложнее, чем описано выше. Более сложные примеры можно найти, например, в правилах конфигурирования марпфутизаторов компании «Cisco», которые доступны в Internet.

Преимущества брандмауэров с фильтрацией пакетов:

- относительно невысокая стоимость;
- небольшая задержка при прохождении пакетов.

Недостатки брандмауэров с фильтрацией пакетов:

- локальная сеть видна (маршрутизируется) из Интернет;
- правила фильтрации довольно трудны в описании, поэтому требуются очень хорошие знания технологий TCP и UDP;
- отсутствует аутентификация на пользовательском уровне;
- аутентификацию с использованием IP-адреса можно обмануть при помощи IP-спуфинга, когда атакующая система выдает себя за другую, используя ее IP-адрес.


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна