Firewall’ы(F) управляют потоком сетевого трафика между сетями с различными требованиями к безопасности. Корпоративные сети предприятия ставят F для ограничения соединений из и во внутренние сети, обрабатывающие информацию разного уровня безопасности. Предотвращают неавторизованный доступ к ресурсам внутри областей
F классифицируются по уровням OSI, которые F может анализировать. OSI является абстракцией сетевого взаимодействия между КС и сетевыми устройствами
| Таблица 1.1. Стек протоколов модели OSI | |
| Уровень 7 | Application |
| Уровень 6 | Presentation |
| Уровень 5 | Session |
| Уровень 4 | Transport |
| Уровень 3 | Network |
| Уровень 2 | Data Link |
| Уровень 1 | Physical |
1) Аппаратура физич соединения и среда, Ethernet
2) сетевой трафик передается по локальной сети LAN. можно идентифицировать отдельную машину. МАС –адреса, назначаемые на сетевые интерфейсы
3) отвечает за доставку сетевого трафика по WAN. Адреса уровня 3 – IP-адр
4) идентифицирует конкретное сетевое приложение и коммуникационную сессию в дополнение к сетевым адресам;
5) 5,6,7 - представляют приложения и системы конечного пользователя.
Стек протоколов TCP/IP соотносится с уровнями модели OSI следующим образом:
| Таблица 1.2. Взаимосвязь уровней стека протоколов TCP/IP и OSI | ||
| Уровень 7 | Application | Почтовые клиенты, web-браузеры |
| Уровень 4 | Transport | ТСР-сессии |
| Уровень 3 | Network | IP-адресация |
| Уровень 2 | Data Link | Ethernet-адресация |
Современные F функционируют на любом из перечисленных уровней. Возможность анализировать более высокие уровни позволяет F предоставлять сервисы, ориентированные на пользователя, - аутентификация. F, который функционирует на уровнях 2, 3 и 4, не имеет дело с подобной аутентификацией.
Независимо от архитектуры Fможет иметь дополнительные сервисы: Трансляцию сетевых адресов (NAT), поддержку протокола динамической конфигурации хоста (DHCP) и функции шифрования, являясь конечной точкой VPN-шлюза, и фильтрацию на уровне содержимого приложения. Могут функционировать как VPN-шлюзы. Организация посылает незашифрованный сетевой трафик от системы, расположенной позади F, к удаленной системе, расположенной позади корпоративного VPN-шлюза; F зашифрует трафик и перенаправит его на удаленный VPN-шлюз, который расшифрует его и передаст целевой системе.
Многие F также включают различные технологии фильтрации активного содержимого. Фильтрация прикладных данные на уровне 7 - скан на вирусы в файлах, присоединенных к почтовому сообщению; опасных технологий активного содержимого в web(Java, ActiveX); содержимого с целью ограничения доступа к неподходящим сайтам или доменам. Тем не менее, помимо фильтрации, встроенной в F, необходимо применять аналогичные фильтры при сжатии, шифровании..
41 Пакетные фильтры
- первоначально разработанный тип F. ПФ - часть устройств роутинга, которые могут управлять доступом на уровне системных адресов и коммуникационных сессий. ПФ анализируют информацию, содержащуюся в заголовках пакетов 3-го и 4-го уровней:
- Адрес источника пакета,(IP-адрес, такой как 192.168.1.1).
- Адрес назначения пакета, (например, 192.168.1.2).
- Тип коммуникационной сессии, т.е. конкретный сетевой протокол, используемый для взаимодействия между системами или устройствами источника и назначения (например, ТСР, UDP или ICMP).
- характеристики коммуникационных сессий уровня 4, порты источника и назначения сессий (ТСР:80 для порта назначения,, ТСР:1320 для порта источника).
Иногда:
- инфа, относящаяся к интерфейсу роутера,
- инфа, характеризующая направление, в котором пакет пересекает интерфейс, т.е. входящий или исходящий пакет для данного интерфейса.
- свойства, относящиеся к созданию логов для данного пакета.
ПФ могут быть реализованы в компонентах сетевой инфраструктуры: пограничные роутеры(осуществляет проверку списка контроля доступа для управления сетевым трафиком); ОС; персональные F
“+” - скорость, тк функционируют на 3 уровне OSI, на границе сети(dmz(промежуточная сеть между пограничным роутером и внутреннем) и Inet).
ПФ прозрачен для клиентов и серверов, так как не разрывает ТСР-соединение.
“-” - не анализируют данные более высоких уровней; атаки со стороны приложений - ПФ не может блокировать конкретные команды приложения, если фильтр разрешил трафик
Логи ПФ содержат инфу, которая использовалась при принятии решения о возможности доступа (адрес источника, адрес назначения, тип трафика
Нет аутентификации пользователя
подделка (spoofing) сетевого адреса. ПФ трудно конфигурировать
ПФ подходят, когда создание logов и аутентификация не важны.
ПФ высокопроизводительны и реализуются в устройствах, обеспечивающих высокую доступность и надежность