Читайте также:
|
Данные межсетевые экраны позволяют осуществлять правил «на лету» (on fly).
Реализуется для протокола UDP. В этом случае межсетевым экраном осуществляется ассоциация всех UDP-пакетов, которые пересекают периметр безопасности, через виртуальное соединение.
Если генерируется пакет ответа и предается источнику запроса, то устанавливается виртуальное соединение и пакету разрешается пересечь сервер МЭ.
Информация, ассоциированная с виртуальным состоянием, запоминается на краткий промежуток времени, поэтому, если пакет ответа не получен, то соединение считается закрытым.
1 – Домены аутентификации
2 – Обработка пакетов, связанных с аутентификацией
3 – Строки состояния на каждое установленное соединение
4 – Сетевой стек
5 – Динамические правила
6 – Фильтр пакетов
7 – Отфильтрованные пакеты
Главной особенностью данной схемы является наличие двух групп правил: одна статическая, другая – динамическая, изменяемая в ходе работы межсетевого экрана.
Достоинства:
1. Не позволяет непрошеным пакетам UDP войти во внутреннюю сеть.
2. Если запрос пакета UDP приходит из внутренней сети и направлен на недоверенный хост, то сервер межсетевого экрана позволяет появление ответного пакета, доставляемого хосту инициатора запроса. При этом пакет ответа должен содержать IP и номер порта, а также иметь соответствующий тип протокола транспортного уровня.
3. Динамический фильтр может использоваться для поддержки ограниченного множества команд ICMP.
Недостатки:
1. Не понимает прикладные протоколы.
2. Не может ограничить доступ к подмножеству протоколов, даже для основных служб.
3. Не отслеживает соединение.
4. Слабые возможности обработки информации внутри пакетов.
5. Не может ограничить информацию с внутренних компьютеров к службам межсетевого экрана сервера.
6. Практически не имеет аудита.
7. Трудно тестировать правила.
Дата добавления: 2015-08-09; просмотров: 278 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Межсетевые экраны прикладного уровня. | | | Межсетевые экраны и инспекции состояния |