Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Межсетевой экран с динамической фильтрацией пакетов

Читайте также:
  1. III — РЕЗКОСТЬ ИЗОБРАЖЕНИЙ НА ЭКРАНЕ ИЛИ ПЛАСТИНЕ
  2. Анализ динамической модели системы
  3. Выпуск N 77. Экранизация Трансерфинга
  4. Выпуск N 78. Ваши идеи по экранизации Трансерфинга
  5. Его позвоночник с Динамической гимнастикой Напряженности.
  6. ЗВУКОПОГЛОЩАЮЩИЕ КОНСТРУКЦИИ, ЭКРАНЫ, ВЫГОРОДКИ
  7. Изменяет размер рисунка на экране;

Данные межсетевые экраны позволяют осуществлять правил «на лету» (on fly).

Реализуется для протокола UDP. В этом случае межсетевым экраном осуществляется ассоциация всех UDP-пакетов, которые пересекают периметр безопасности, через виртуальное соединение.

Если генерируется пакет ответа и предается источнику запроса, то устанавливается виртуальное соединение и пакету разрешается пересечь сервер МЭ.

Информация, ассоциированная с виртуальным состоянием, запоминается на краткий промежуток времени, поэтому, если пакет ответа не получен, то соединение считается закрытым.

1 – Домены аутентификации

2 – Обработка пакетов, связанных с аутентификацией

3 – Строки состояния на каждое установленное соединение

4 – Сетевой стек

5 – Динамические правила

6 – Фильтр пакетов

7 – Отфильтрованные пакеты

Главной особенностью данной схемы является наличие двух групп правил: одна статическая, другая – динамическая, изменяемая в ходе работы межсетевого экрана.

Достоинства:

1. Не позволяет непрошеным пакетам UDP войти во внутреннюю сеть.

2. Если запрос пакета UDP приходит из внутренней сети и направлен на недоверенный хост, то сервер межсетевого экрана позволяет появление ответного пакета, доставляемого хосту инициатора запроса. При этом пакет ответа должен содержать IP и номер порта, а также иметь соответствующий тип протокола транспортного уровня.

3. Динамический фильтр может использоваться для поддержки ограниченного множества команд ICMP.

Недостатки:

1. Не понимает прикладные протоколы.

2. Не может ограничить доступ к подмножеству протоколов, даже для основных служб.

3. Не отслеживает соединение.

4. Слабые возможности обработки информации внутри пакетов.

5. Не может ограничить информацию с внутренних компьютеров к службам межсетевого экрана сервера.

6. Практически не имеет аудита.

7. Трудно тестировать правила.


Дата добавления: 2015-08-09; просмотров: 278 | Нарушение авторских прав


Читайте в этой же книге: Компьютерные системы ЗИ | Идентификация и аутентификация пользователей | Ограничение доступа на вход в систему | Разграничение доступа | Криптография существует уже несколько тысячелетий (тайнопись). | Управление политикой безопасности | Уничтожение остаточной информации | Защита программ от несанкционированного копирования | Межсетевые экраны уровня соединения |
<== предыдущая страница | следующая страница ==>
Межсетевые экраны прикладного уровня.| Межсетевые экраны и инспекции состояния

mybiblioteka.su - 2015-2024 год. (0.005 сек.)