Файл: Учебнометодическое пособие по дисциплине Информационная безопасность Классы 1011 Курск 2023 Настоящее.docx

если никакое правило соответствия не найдено, то удалить пакет из сети;
если соответствующее правило найдено в списке разрешений, то пропустить пакет;
если соответствующее правило найдено в списке отрицаний, то удалить пакет из сети.

В дополнение к этому firewall, основанный на фильтрации пакетов, может изменять адреса источников пакетов, выходящих наружу, чтобы скрыть тем самым топологию сети (метод address translation), плюс осуществляет условное и безусловное перенаправление пакетов на другие хосты. Отметим преимущества firewall, основанного на фильтрации пакетов:

фильтрация пакетов работает быстрее других firewall-технологий, потому что используется меньшее количество проверок;
этот метод легко реализуем аппаратно;
одно-единственное правило может стать ключевым при защите всей сети;
фильтры не требуют специальной конфигурации компьютера;
метод address translation позволяет скрыть реальные адреса компьютеров в сети.

Однако имеются и недостатки:

нет проверки содержимого пакетов, что не дает возможности, например, контролировать, что передается по FTP. В этом смысле application layer и circuit level firewall гораздо практичнее;
нет информации о том, какой процесс или программа работали с этим пакетом, и сведений о сессии работы;
работа ведется с ограниченной информацией пакета;
в силу «низкоуровневости» метода не учитывается особенность передаваемых данных;
слабо защищен сам компьютер, на котором запущен firewall, то есть предметом атаки может стать сам этот компьютер;
нет возможности сигнализировать о внештатных ситуациях или выполнять при их возникновении какие-либо действия;
возможно, что большой объем правил будет тормозить проверку.

Firewall цепного уровня (circuit level firewalls)

Поскольку при передаче большой порции информации она разбивается на маленькие пакеты, целый фрагмент состоит из нескольких пакетов (из цепи пакетов). Firewall цепного уровня проверяет целостность всей цепи, а также то, что она вся идет от одного источника к одному получателю, и информация о цепи внутри пакетов (а она там есть при использовании TCP) совпадает с реально проходящими пакетами. Причем цепь вначале собирается на компьютере, где установлен firewall, а затем отправляется получателю. Поскольку первый пакет цепи содержит информацию о всей цепи, то при попадании первого пакета создается таблица, которая удаляется лишь после полного прохождения цепи. Содержание таблицы следующее:

уникальный идентификатор сессии передачи, который используется для контроля;
состояние сессии передачи: установлено, передано или закрыто;
информация о последовательности пакетов;
адрес источника цепи;
адрес получателя цепи;
физический интерфейс, используемый для получения цепи;
физический интерфейс, используемый для отправления цепи.

Эта информация применяется для проверки допустимости передачи цепи. Правила проверки, как и в случае фильтрации пакетов, задаются в виде таблиц в ядре. Основные преимущества firewall цепного уровня:

firewall цепного уровня быстрее программного, так как производит меньше проверок;
firewall цепного уровня позволяет легко защитить сеть, запрещая соединения между определенными адресами внешней и внутренней сети;
возможно скрытие внутренней топологии сети. Недостатки firewall цепного уровня:
нет проверки пакетов на программном уровне;
слабые возможности записи информации о нештатных ситуациях, кроме информации о сессии передачи;
нет проверки передаваемых данных;
трудно проверить разрешение или отрицание передачи пакетов.

Firewall программного уровня

Помимо целостности цепей, правильности адресов и портов, проверяются также сами данные, передаваемые в пакетах. Это позволяет проверять целостность данных и отслеживать передачу таких сведений, как пароли. Вместе с firewall программного уровня используется proxy-сервис, который кэширует информацию для более быстрой ее обработки. При этом возникают такие новые возможности, как, например, фильтрация URL и установление подлинности пользователей. Все соединения внутренней сети с внешним миром происходят через proxy, который является шлюзом. У proxy две части: сервер и клиент. Сервер принимает запросы, например на telnet-соединение из внутренней сети с внешней, обрабатывает их, то есть проверяет на допустимость передачи данных, а клиент работает с внешним компьютером от имени реального клиента. Естественно, вначале все пакеты проходят проверку на нижних уровнях. Достоинства proxy:

понимает и обрабатывает протоколы высокого уровня типа HTTP и FTP;
сохраняет полную информацию о сессии передачи данных как низкого, так и высокого уровня;
возможен запрет доступа к некоторым сетевым сервисам;
есть возможность управления пакетами данных;
есть сокрытие внутренних адресов и топологии сети, так как proxy является фильтром;
остается видимость прямого соединения сетей;
proxy может перенаправлять запросы сетевых сервисов на другие компьютеры;
есть возможность кэширования http-объектов, фильтрации URL и установления подлинности пользователей;
возможно создание подробных отчетных записей для администратора. Недостатки proxy:
требует изменения сетевого стека на машине, где стоит firewall;
нельзя напрямую запустить сетевые сервисы на машине, где стоит firewall, так как proxy перехватывает работу портов;
неминуемо замедляет работу, потому все данные обрабатываются дважды:

«родной» программой и собственно proxy;

так как proxy должен уметь работать с данными какой-либо программы, то для каждой программы нужен свой proxy;
нет proxy для UDPи RPC;
иногда необходима специальная настройка клиента для работы с proxy;
proxy не защищен от ошибок в самой системе, а его работа сильно зависит от наличия последних;
корректность работы proxy напрямую связана с правильностью обработки сетевого стека;
использование proxy может требовать дополнительных паролей, что неудобно для пользователей.

Смотрите также файлы

Самая критическая проблема наших ВооруженныхСил в сво связь июня 2023.pdf

2 Верно Баллов 1,00 из 1,00 Отметить вопрос Текст вопроса к субъектам маркетинга относятся Выберите один или несколько ответов a товар b потребитель c посредники d макросреда Вопрос 3.docx

Для получения пакета инвентаря для реализации Критерии выбора школ.docx

1 День знаний (Учрежден в 1984 г.).docx

Архитектурное проектирование.doc

Файл: Учебнометодическое пособие по дисциплине Информационная безопасность Классы 1011 Курск 2023 Настоящее.docx

Firewall цепного уровня (circuit level firewalls)

Firewall программного уровня

Смотрите также файлы

Информация

Списки файлов

Дополнительно