Читайте также:
|
|
Брандмауэром называют специальный программно-аппаратный комплекс, обеспечивающий защиту локальной сети от вторжений из глобальной сети в точке их соединения. Брандмауэры – это важный компонент системы безопасности локальных сетей или локальных ПК, подсоединенным к глобальной сети. Брандмауэры позволяют пропускать через сетевое подсоединение только авторизированный трафик, контролируя тем самым сетевое взаимодействие между ПК ГВС и ЛВС.
Например, брандмауэры позволяют управлять доступом сетевых пользователей к различным сетевым службам. Эта задача, решается конфигурированием брандмауэра, при которoм можно разрешать или блокировать доступ к отдельной службе локальной сети с помощью списков контроля доступа (ACL – Access Control List). Списки ACL предоставляют гибкие возможности управления доступом, посколько с их помощью можно разрешать или запрещать доступ к отдельным службам, или, альтернативно, базировать доступ к отдельным службам и разрешать доступ ко всем остальным службам. Администратор сети сам может выбирать наиболее удобную конфигурацию.
Брандмауэры позволяют маскировать IP-адреса компьютеров локальной сети с помощью операции называемой трансляцией сетевых адресов (NAT – Network Adress Translation). Маскированные IP-адреса становятся невидимыми для внешних пользователей, которые например, для отправки почтового сообщения внутреннему пользователю направляют его на почтовый шлюз, к-й перенаправляет его адресату.
Брандмауэры позволяют управлять сетевым трафиком внутри ЛВС.С их помощью можно разделить локальную сеть на домены безопасности- группы ПК с одним уровнем безопасности.
Брандмауэры состоят из следующего набора аппаратных и программных компонентов:
- бастионный хост, представляющий собой ПК подключенный как к ЛВС так и к ГВС. На нем устанавливаются все прочие компоненты. Пример, ПК с двумя сетевыми платами, подключенными к разным сетям.
- маршрутизатор с фильтрацией пакетов. Такие маршрутизаторы контролируют IP-адреса источника и получателя пакета. Используемые протоколы, службы, порты и прочую информацию, указанную в списка ACL.
- шлюзы приложений (иногда называемые прикладными шлюзами), которые исполняются на бастионном хосте и ограничивают подсоединения у главным приложениям. Для этой цели используются службы посредники, которые устанавливаются на шлюзе, отдельно для каждого приложения, работающем через брандмауэр. Только те сетевым службы, для которых установлены посредники могут работать с трафиком через шлюз приложений., причем службы посредники моно настроить на доступ к определенному, ограниченному набору средств приложения, что значительно увеличивает возможности политики безопасности. Примером такого шлюза является прокси-сервер, управляющий сетевым трафиком и выполняющий аутентификацию пользователей.
- канальные шлюзы, связывающие ПК с портами TCP/IP бастионного хоста. Такие шлюзы не проверяют трафик и используются для передачи сообщений от доверенных внутренних пользователей. При этом для входящих сообщений используются шлюзы приложений.
Наиболее распространенным типом брандмауэра является маршрутизатор с фильтрацией пакетов.
Фильтрация выполняется путем проверки заголовков входящих пакетов на предмет их удовлетворения определенным критериям, устанавливаемым с помощью правил фильтрации пакетов. Фильтруются пакеты, поступающие как изнутри. Как и извне локальной сети, причем фильтр работает ассиметрично, различным образом обрабатывая входящие и исходящие пакеты. Т.о. для фильтрации входящего и исходящего трафика можно использовать различные правила фильтрации. Эти правила применяются в том порядке в которoм они сохранены в списке ACL брандмауэра. При применении правил учитываются следующие принципы:
1. Если при просмотре списка ACL будет найдено правило, разрешающее прохождений пакета, он немедленно направляется по назначению.
2. Если будет найдено правило запрещающее прохождение пакет а, то он отбрасывается.
3. Если при просмотре списка ACL окажется, что для данного пакета отсутствуют правила, разрешающие его прохождение, то он отбрасывается.
Чтобы создать правило фильтрации следует:
- указать действие, выполняемое при совпадении критериев правила с параметрами пакета;
- указать протокол обработки пакета;
-указать номер порта для приемки пакета.
Главное на что надо обратить внимание при создании правил фильтрации пакетов – это порядок их записи в список ACLбрандмауэра. Некорректный порядок записи правил может привести к полному блокированию межсетевого соединения.
Контрольные вопросы
1. Перечислить технические средства объединения больших сетей;
2. Что такое широковещательная передача?
3. В чем отличие моста от репитера?
4. Что может и что не может делать техническое устройство объединения больших сетей в зависимости от уровня?
5. Перечислить разновидности мостов;
6. Что такое прозрачный мост?
7. Таблица прозрачного моста?
8. Мосты с маршрутизацией от источника?
9. Перечислить виды коммутаторов;
10. Разница между портовым и сегментным коммутатором?
11. Разница между сквозным и коммутатором с «буферизацией»?
12. Разница между статическим и динамическим коммутатором?
13. Отличие таблицы прозрачного моста от таблицы коммутатора?
14. В чем отличие статического и динамического маршрутизаторов?
15. Что такое мост-маршрутизатор?
16. Разница между мостом и маршрутизатором?
17. Два вида понятия «шлюз»?
18. Что такое шлюз?
19. Что такое трансляция адресов?
20. Как транслируются адреса?
21. Что такое прокси-сервер?
22. Принцип действия прокси-сервера?
23. Что такое брандмауэр?
24. Что такое список контроля доступа
25. Какие воэможности предоставляют администратору списки ACL?
26. Что входитв в компоненты брандмауэра?
27. Что такое бастионный хост?
28. Что такое шлюз приложений?
29. Что такое маршрутизатор с фильтрацией пакетов?
30. Что такое службы-посредники?
31. Что такое канальный шлюз;
32. Каковы правила фильтрации пакетов?
33. Как происходит фильтрация пакетов согласно спискам ACL?
Дата добавления: 2015-07-14; просмотров: 462 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Сравнительный анализ мостов и маршрутизаторов | | | Маршрутизация |