Основы работы брандмауэров
Сенченко Т.В. (aka Boffin)
[email protected]
icq: 865491
(предыдущая страница ...)
Существует несколько различных реализаций брандмауэров:
Шлюзы с фильтрацией пакетов
Брандмауэры с фильтрацией пакетов используют маршрутизаторы с правилами фильтрации пакетов для предоставления или запрещения доступа на основе адреса отправителя, адреса получателя и порта. Они обеспечивают минимальную безопасность за низкую цену, и это может оказаться приемлемым для среды с низким риском. Они являются быстрыми, гибкими и прозрачными. Правила фильтрации часто нелегко администрировать, но имеется ряд средств для упрощения задачи создания и поддержки набора правил.
Прикладные шлюзы
Прикладной шлюз использует программы (называемые прокси-серверами), запускаемые на брандмауэре. Эти прокси-серверы принимают запросы извне, анализируют их и передают безопасные запросы внутренним хостам, которые предоставляют соответствующие услуги. Прикладные шлюзы могут обеспечивать такие функции, как аутентификация пользователей и протоколирование их действий.
Брандмауэры прикладного уровня должны настраиваться так, чтобы весь выходящий трафик казался исходящим от брандмауэра (то есть, чтобы только брандмауэр был виден внешним сетям). Таким образом будет запрещен прямой доступ во внутренние сети. Все входящие запросы для различных сетевых служб, таких как Telnet, FTP, SSH, RLOGIN, и т.д., независимо от того, какой внутренний хост запрашивается, должны проходить через соответствующий прокси-сервер на брандмауэре.
Гибридные или сложные шлюзы
Гибридные шлюзы объединяют в себе два описанных выше типа брандмауэра и реализуют их последовательно, а не параллельно. Если они соединены последовательно, то общий уровень безопасности повышается, однако при параллельном использовании общий уровень безопасности системы будет соответствовать наименее безопасному из используемых методов. В средах со средним и высоким риском, гибридные шлюзы могут оказаться идеальной реализацией брандмауэра.
Зачастую межсетевые экраны реализуются программными средствами на базе ПК общего назначения. Они устанавливаются на рабочие станции и работают под управлением большинства операционных систем. Автономные межсетевые экраны защищают только одно рабочее место, поэтому их администрированием занимается владелец этого компьютера.
Специализированные межсетевые экраны (их иногда называют аппаратными брандмауэрами) — это программно-аппаратные комплексы, работающие в точке подключения к Internet. Они выполняют функции маршрутизатора, коммутатора и межсетевого экрана. Как правило, на них не требуется устанавливать дополнительное программное обеспечение. Большинство межсетевых экранов данного типа может защищать до 250 хостов, поэтому они часто используются предприятиями для защиты соединений с небольшими удаленными офисами. Владелец такого брандмауэра может сам заниматься его администрированием, но может и доверить эту работу независимой организации, которая будет выполнять администрирование удаленно.
Межсетевые экраны на базе агентов — это программные решения, в основном подобные автономным экранам, за тем исключением, что набор правил обеспечения безопасности для них задается центральным сервером, как правило, установленным в корпоративной сети. Межсетевые экраны на базе агентов выполняют эти правила на хосте, на котором работает удаленный агент.
(... продолжение)
Обсудить статью на форуме
Дата обновления 10.01.2005
| Главная страница | Форум | Мир протоколов | RFC | Безопасность | Технологии |
| Интерфейсы | Инструменты | Библиотека | Вопросы и ответы | Авторы | Отзывы |
Copyright © 1999-2005. BiLiM Systems.
|
