Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Шлюзы прикладного и сетевого уровня.

Вводная часть. | Основные подходы по применению межсетевых экранов (firewall) для защиты вычислительных сетей. | Сетевая политика безопасности. | Усиленная аутентификация. | Требования руководящих документов по построению межсетевых экранов. | Требования к пятому классу защищенности МЭ. | Требования к первому классу защищенности МЭ. |


Читайте также:
  1. Анализ и оптимизация сетевого графика
  2. Гипотезы-следствия первого уровня.
  3. Истинное желание—это когда желания одного уровня гармонируют с желаниями другого уровня.
  4. ИСТОКИ И РАЗВИТИЕ ПРИКЛАДНОГО ИСКУССТВА ДРЕВНЕЙ РУСИ
  5. конкурса декоративно-прикладного творчества
  6. Методика построения сетевого графика
  7. Модель сетевого графика (дорожной карты) по формированию необходимой системы условий реализации основной образовательной программы основного общего образования

Для устранения некоторых недостатков, присущих фильтрующим маршрутизаторам, Firewall должны использовать дополнительное программное обеспечение для фильтрации сообщений в службах типа TELNET и FTP. Такие приложения называются полномочными службами, а хост, на котором они выполняются - шлюзом прикладного уровня. Шлюзы прикладного уровня и фильтрующие маршрутизаторы можно объединять в одном хосте, чтобы обеспечить более высокий уровень безопасности и гибкости, чем при использовании каждого из них в отдельности.

В качестве примера рассмотрим сеть, блокирующую доступ извне через TELNET и FTP с помощью фильтрующего маршрутизатора. Маршрутизатор допускает прохождение пакетов TELNET и FTP только к одному хосту, а именно, к шлюзу прикладного уровня TELNET/FTP. Пользователь, который хочет соединиться с сетью, должен сначала соединиться со шлюзом прикладного уровня, а затем с портом приемника. Это происходит следующим образом:

- пользователь осуществляет соединение со шлюзом прикладного уровня с помощью протокола TELNET и запрашивает интересующий его внутренний хост;

- шлюз проверяет IP адрес источника и принимает или отвергает его в соответствии с используемой политикой доступа;

- пользователю может потребоваться аутентифицировать себя;

- полномочная служба устанавливает соединение TELNET между шлюзом и внутренним хостом;

- в ходе всего сеанса передача информации ведётся через полномочную службу, шлюз прикладного уровня регистрирует соединение.

Этот пример демонстрирует преимущества использования полномочных служб.

Во-первых, полномочные службы пропускают только определенные службы: если шлюз прикладного уровня обладает полномочиями для реализации FTP и TELNET, то в защищенной подсети допускаются только FTP и TELNET, а все другие службы полностью блокируются. Для некоторых сетей такой уровень безопасности имеет большое значение, поскольку он гарантирует, что через Firewall проходят только те службы, которые считаются надежными. Он также предотвращает реализацию других ненадежных служб без ведома администратора Firewall.

Во-вторых, преимуществом использования полномочных служб является возможность фильтрации протокола. Например, некоторые Firewall способны фильтровать соединения FTP и запрещать использование команды FTP put, чтобы пользователи не смогли поместить информацию в сервер FTP.

Шлюзы прикладного уровня обладают рядом общих преимуществ по сравнению с методом разрешения передачи прикладного трафика непосредственно к внутренним хостам. Среди них:

- скрытие информации: имена внутренних систем не обязательно сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хостом, доступным извне;

- отказоустойчивые аутентификация и регистрирование: можно выполнить предварительную аутентификацию прикладного трафика, прежде чем он достигнет внутренних хостов, и он может регистрироваться более эффективно, чем с помощью стандартной регистрации;

- низкие затраты: поскольку программное или аппаратное обеспечение аутентификации или регистрирования необходимо размещать только на шлюзе прикладного уровня;

- несложные правила фильтрации: правила, которым подчиняется фильтрующий маршрутизатор, являются менее сложными, чем, если бы маршрутизатор фильтровал прикладной трафик и направлял его целому ряду систем. Маршрутизатор должен разрешать прикладной трафик, предназначенный только для шлюза прикладного уровня, и запрещать все остальные.

Недостатком шлюзов прикладного уровня является то, что в случае реализации протоколов типа клиент-сервер для входных и выходных соединений требуются два этапа.

Еще один компонент Firewall - шлюз сетевого уровня. Шлюз сетевого уровня передает сообщения TCP, но не осуществляет дополнительной обработки или фильтрации протоколов, например, рассмотренный выше пример шлюза прикладного уровня TELNET может быть примером шлюза сетевого уровня, поскольку, как только связь между источником и приемником установлена, Firewall просто передает информацию между системами. Другой пример шлюза сетевого уровня касается NNTP, когда сервер NNTP соединяется с Firewall, а затем с последним соединяются клиенты NNTP внутренней системы. Firewall в этом случае также просто передает информацию.

 

 

Дата добавления: 2015-07-19; просмотров: 194 | Нарушение авторских прав

<== предыдущая страница | следующая страница ==>
Фильтрация пакетов.| Основные схемы защиты на основе Firewall.
mybiblioteka.su - 2015-2024 год. (0.007 сек.)