А взглянуть под капотом на Firewalling продукции

Share

|

В эзотерической смысле компонентов брандмауэр существуют в сознании лица их строительства. Экран, в момент ее создания, является концепцией, а не товар; Это идея, связанных с механизмом контроля доступа, что позволяет трафик, и из сети.

В более общем смысле, межсетевой экран состоит из программного и аппаратного обеспечения. Программное обеспечение может быть собственностью, shareware, или бесплатная. На оборудование может быть любое оборудование, что поддерживает программное обеспечение.

Firewall, как технологии могут быть отнесены к одной из трех категорий:

· Пакетная - фильтр на основе (как правило, маршрутизаторы Cisco IOS и т.д.)

· Stateful пакетов фильтр основе (Checkpoint FW - 1, PIX, и т.д.)

· прокси-сервера основе (ЧГП Гаунтлет, Аксент Раптор, и т.д.)

Давайте кратко рассмотреть каждый.

Фильтрация пакетов - на основе Брандмауэры

Пакетная фильтрация брандмауэры, как правило, маршрутизаторы с пакетной фильтрации - потенциал. Использование основных пакетов - фильтрацию маршрутизатора, вы можете предоставить или отказать в доступе на сайт на основе нескольких переменных, в том числе

· Источник адрес

· Адрес

· протокола

· Номер порта

Маршрутизаторы на базе брандмауэров пользуются популярностью, поскольку они легко реализованы. (Вы просто один в плагин, предоставить список контроля доступа, и вы закончите.) Кроме того, маршрутизаторы предлагают комплексное решение. Если ваша сеть постоянно подключен к Интернету, youneed маршрутизатор в любом случае. Итак, почему бы не убить двух птиц одним камнем?

С другой стороны, маршрутизатор на базе межсетевых экранов имеют ряд недостатков. Во-первых, они, как правило, не готовы для обработки определенного типа отказ в обслуживании. Многие из "отказ в обслуживании" тактики, используемой в Интернете сегодня на основе пакетной mangling, SYN наводнение, или заставить других TCP / IP на базе аномалий. Основные маршрутизаторы не предназначены для обработки этих типов нападений. Во-вторых, большинство маршрутизаторов не могут отслеживать данные сессии. Администраторы вынуждены тогда держать все порты выше 1024 открыты для обработки TCP сессий и сессию переговоров правильно. Хотя это, возможно, не огромный интерес безопасности (потому что не должно быть никакого слушать услуг, работающих на этих портов все равно), это не есть хорошая практика оставлять неиспользованные порты открыты для внешнего мира.

Наконец, используя список контроля доступа (списки контроля доступа) на высоком конце маршрутизаторы, которые поддерживают весьма напряженным сетей могут способствовать снижению производительности CPU и выше нагрузки. Однако для наиболее низкой скорости соединения (например, T1 замыкания) на нижнем конце маршрутизаторов (например, Cisco 2500 серии маршрутизаторов), нормальной пакетной фильтрации не будет налоговых маршрутизатора, к любой значительной степени.

Примечание

На протяжении длительного времени считалось, что введение списков контроля доступа (ACL) на маршрутизаторах значительно ухудшать их деятельности. Хотя остается один 100 правило ACL на Cisco 7000 поддерживает более десятка банкоматов соединения может быть не все идеи, ставя основной список контроля доступа на маршрутизаторах поддержки низкой скорости (10Mbps или ниже) соединений, как правило, не ухудшать их эффективность заметно. Два члена метро, rfp и NightAxis, опубликовали некоторые основные выводы по этому вопросу, что можно найти на http://www.wiretrip.net/rfp/. С тех пор, другие исследования также проводились (Ваш пробег может варьироваться). Помните, даже нижнего уровня Cisco 2500 серии маршрутизаторов были основаны на Motorola 68030 и 68040 фишек, и Поздние используют более расширенный RISC на основе чипов. Маршрутизаторы являются более мощными тогда многие люди им кредитов. Экспериментируйте себе - посмотреть, что вы найдете.

Подсказка

Многие администраторы сети будет использовать список контроля доступа по периметру своих маршрутизаторов в сочетании с более продвинутый брандмауэр создать multitier подход к сети контроля доступа.

Соединения, фильтр пакетов на основе брандмауэров

Соединения пакетной фильтрации основывается на концепции пакетной фильтрации и принимает его на несколько шагов дальше. Брандмауэры построен по этой модели отслеживания сессий и соединений внутренних состояние таблицы, и поэтому может отреагировать соответствующим образом. Из-за этого, пакетов - фильтрация на базе продуктов являются более гибкими, чем их чисто фильтрации пакетов коллегами. Кроме того, большинство пакетов - фильтрация на базе продуктов призваны защитить от некоторых типов DoS нападения, и добавить защиту SMTP на базе почты и ассортимент других безопасности особенностей.

Checkpoint пионером этого метода под названием "соединения, проверка" (СИ), который принимает фильтрацию пакетов на один вырезы. СИ позволяет администраторам создать правила брандмауэра для изучения фактических данных полезной нагрузки, а не только адреса и порты.

Примечание

Поскольку пакетов - фильтрация на базе брандмауэров отслеживать сессии говорится, они могут держать порты выше 1024 закрыт по умолчанию, и только открыть порты высоким по мере необходимости. Все просто, как это может показаться, именно поэтому большинство администраторов рассмотреть фильтрацию пакетов для минимальной технологии они будут выполнять их брандмауэр решения.

Прокси-сервер на базе брандмауэров

Другой вид Брандмауэр - это прокси-сервер на базе межсетевого экрана (иногда называют в качестве шлюза или применения - прокси-сервер). Когда удаленному пользователю контакты сети работает прокси на базе брандмауэра, прокси брандмауэра подключения. Что этот метод ИС пакеты не направлен непосредственно к внутренней сети. Вместо типа перевода происходит с межсетевым экраном, в качестве проводника и переводчика.

Как это отличается от фильтрацию пакетов и фильтрацию пакетов общего, спросите вы? Хороший вопрос - и один, что многие люди спрашивают. Оба пакетных фильтров и соединения изучения процессов фильтрации входящих и исходящих пакетов в сети и сессии уровнях. Они изучить ИС источника и назначения адресов с портами и состояние флагов, сравнить их с их устанавливает правила и таблица информации, а затем решить, будет ли этот пакет должен быть передан. Прокси-сервер на базе межсетевых экранов, с другой стороны, проверять трафик на уровне приложений в дополнение к более низких уровнях. А пакет поступают на брандмауэр и выдается до заявку конкретных прокси-сервер, который проверяет правильность пакетов и приложений уровня просьбе самого. Например, если запрос Web (HTTP) вступает в прокси-сервер на базе межсетевого экрана данные полезной нагрузки, содержащий HTTP запрос будет передан на HTTP прокси - процесс. В FTP запрос будет передан с прокси FTP - процесс, к Telnet Telnet прокси процесс, и так далее.

Эта концепция протокол за протоколом подход более безопасного соединения, а затем и общий фильтрацию пакетов, поскольку брандмауэр понимает применения самих протоколов (HTTP, FTP, SMTP, POP и т.д.). Это сложнее злоумышленников к sneak прошлом то, что смотрят не только порты и адреса. Однако заметили, что я употребил слово "концепция" в связи с его более безопасным. Дело в том, что в реальном мире приложений, этот подход имеет свою долю проблем.

Прокси-сервер на базе брандмауэров всегда медленнее, а затем пакетов - фильтрация на базе них. Теперь, для большинства сетей (10Mbps или медленнее), это различие является спорным. Однако для сильно перегруженной сети (T3s на 45Mbps, несколько T3s приближается 100Mbps, и т.д.), это становится гораздо более крупный вопрос. Как технология улучшает, разрыв может закрыть, но сейчас использование чисто прокси на базе технологии вызывают озабоченность по крупногабаритные сетей.

В дополнение к проблеме эффективности, прокси на базе решения также имеет некоторые проблемы адаптации. Предположим, например, что новый протокол изобрел, чтобы управлять Вашим coffeemakers дома. Для примера, мы называем это протокола Перколатион системы контроля, или PCS для краткости. Теперь давайте также предположим, что PCS использует TCP и работает над портом 666. Администраторы пакетов - фильтрация на базе межсетевых экранов будет просто построить новое правило в свои межсетевому экрану движения над TCP на порт 666, и что это сделали сделку. Администраторы прокси на базе межсетевых экранов, однако, возникла новая проблема: они не имеют прокси (пока) для PCS. Это новый протокол. Хотя некоторые прокси на базе межсетевых экранов (например, в Гаунтлет ЧГП), имеют общий прокси-сервер для таких проблем, и теперь мы обратно к базовому фильтрацию пакетов, которые поражения цели с прокси, чтобы начать с.

Однако, принимая этот пример еще один шаг вперед, скажем прокси на базе межсетевого экрана поставщиков конечном пишет PCS - прокси, и все хорошо в Coffeeville. Вскоре после некоторых злонамеренных помощи подрядчиков возродить свои старые экземпляры сети DOOM, которая также проходит на порт 666, и они пытаются начать злоупотреблять старого пристрастия. Низкий и вот, DOOM сети не будет через прокси-сервер на базе межсетевого экрана, но он будет через пакетов - фильтрация на продукты.