tűzfalak

A tűzfal vagy tűzfal (ez brandmauer angol tűzfal orosz határon tűz .....) - a rendszer vagy rendszerek kombinációja, amely lehet osztani egy hálózatot két vagy több részre, és megvalósítsa a szabályokat, amelyek meghatározzák azokat a feltételeket áthaladását csomagok egy részéből a másikba (lásd. 1. ábra). Leggyakrabban ez határt húzni a vállalati LAN és internet. bár lehet végezni a helyi hálózaton belül. Tűzfal, így átmegy magát az összes forgalmat. Minden továbbított csomag tűzfal úgy dönt, hogy adja át, vagy elvetéséhez. Ahhoz, hogy a tűzfal, hogy ezeket a döntéseket, meg kell határozni a szabályokat. További információ arról, hogy ezek a szabályok le, és mi paraméterek leírására használják őket, később tárgyaljuk.
1. ábra

Jellemzően a tűzfal funkció minden UNIX platformon - gyakrabban BSDI, SunOS, AIX, IRIX, stb kevesebb - DOS, VMS, WNT, Windows NT. Hardver platformok felel INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, a család RISC processzorok R4400-R5000. Amellett, hogy az Ethernet, sok tűzfal támogatja FDDI, Token Ring, 100Base-T, 100VG-ANYLAN, a különböző soros eszközök. Követelmények a memória és a merevlemez térfogata függ a gépek száma a védett hálózati szegmensben.

Tipikusan az operációs rendszer, amely alatt a tűzfal művek módosított, melynek célja - védelmének javítására a tűzfalat. Ezek a változások érintik a kernel és a megfelelő konfigurációs fájlokat. Tény, hogy a tűzfal nem megengedett, hogy egy felhasználói fiókot (és így a lehetséges lyukak), csak egy adminisztrátor. Egyes tűzfalak csak akkor működik a single player módban. A legtöbb tűzfal ellenőrzi a sértetlenségét a programkód rendszert. Ebben az esetben a kontrollösszegekre programkód tárolása egy védett helyen, és összehasonlítjuk a kezdete a programot annak érdekében, hogy elkerüljék a helyettesítés szoftver.

Minden típus felel meg ugyanabban az időben ugyanazon a tűzfalon.

csomagszűrőkből

Leírni szabályok halad a csomag a tábla típusa:

Az „akció” lehet beállítani, hogy kihagyja, vagy csökken.
Csomag típusa - TCP, UDP vagy ICMP.
Flags - zászlók a fejléc az IP-csomag.
Fields „forrás port” és a „rendeltetési kikötő” is jelenti, hogy csak a TCP és UDP csomagokat.

Szerver alkalmazás réteg

Alkalmazási réteg tűzfalak szerverek alkalmazásával szolgáltatás-specifikus szerver (proxy szerver) - TELNET, FTP stb által kiváltott tűzfal és átmennek minden közlekedéssel kapcsolatos, hogy ezt a szolgáltatást. Így a két vegyület keletkezik a kliens és a szerver a kliens a tűzfal, és a tűzfal a cél.

Segítségével az alkalmazás szintű szerver képes megoldani a fontos feladata -, hogy elrejtse a külső felhasználók a hálózat szerkezetét, beleértve a fejléc az e-mail csomagok, vagy Domain Name System (DNS). Egy másik pozitív tulajdonsága az a képesség, a hitelesítés felhasználói szinten (ne feledjük, hogy a hitelesítés - a folyamat azonosítása terén valamit, ebben az esetben az ellenőrzési folyamatot, hogy a felhasználó valóban az a személy, akit állítása szerint).

Ezeket a paramétereket leírásához használt hozzáférési szabályok
• a szolgáltató neve,
• felhasználónév
• megengedett időtartományához a szolgáltatás igénybevételét,
• számítógépek használhatja a szolgáltatást,
• hitelesítési rendszerek.

alkalmazás szintű szerver lehetővé teszi a legmagasabb szintű védelmet, mert interakció a külső világban valósul kisszámú alkalmazási programokat, teljes mértékben ellenőrizni az összes bejövő és kimenő forgalmat.

Szerver kapcsolat réteg

Link szintű szerver egy fordító TCP kapcsolatot. Felhasználói képez kapcsolatot egy adott portot a tűzfalon, majd az utóbbi termel egy kapcsolat a cél a másik oldalon a tűzfal. Az edzés során a fordító példányban byte mindkét irányban, meghatalmazotti karmester.

Jellemzően a cél előre rögzítésre kerül, míg a forrás lehet egy csomó (a kapcsolat típusát egy - sok). Segítségével különböző kikötőkben, akkor létrehozhat különböző konfigurációkat.

Ez a fajta szerver lehetővé teszi, hogy hozzon létre egy fordító bármely adott szolgáltatást igénybe alapuló TCP való hozzáférés szabályozására ezt a szolgáltatást, a statisztikai adatok gyűjtése annak használatát.

Összehasonlító jellemzői csomagkapcsolt szűrők és alkalmazási réteg szerver

A következő főbb előnyeit és hátrányait csomagszűrőkből és alkalmazási szintű szerverek egymáshoz képest.

Előnyei csomagszűrőkből:
• viszonylag alacsony költséggel;
• rugalmasság definíciójában szűrő szabályok;
• némi késedelmet áthaladását csomagokat.

Előnyei alkalmazás-szintű szerverek:
• LAN láthatatlan INTERNET;
• megsértve tűzfal teljesítmény csomagok megszűnnek át a tűzfalon keresztül, így nincs veszély, hogy megvédte őket gépek;
• Védelem az alkalmazás szintjén lehetővé teszi nagyszámú további ellenőrzéseket, ezáltal csökkentve annak valószínűségét, repedés segítségével lyukakat a szoftver;
• hitelesítés felhasználói szinten lehet végrehajtani a közvetlen figyelmeztető rendszer hacker kísérletért.

A hátrányok alkalmazás szintű szerverek:
• magasabb, mint a költsége egy csomagszűrő;
• Az képtelenség, hogy használja az RPC és UDP;
• kisebb teljesítményű, mint a csomagszűrő.

Virtuális hálózat

Elektromos kapcsolási rajzok tűzfalak

Különböző rendszereket arra használják, hogy csatlakoztassa a tűzfal. A tűzfal lehet használni, mint egy külső router segítségével a támogatott típusú eszközök számára kapcsolat a külső hálózat (lásd. 1. ábra). Néha használjuk a rendszert a 2. ábrán látható, de használni csak a legvégső, mert ahhoz nagyon pontos beállítása router és a kisebb hibák képezhet egy komoly biztonsági réseket.
2. ábra

A legtöbb esetben, a kapcsolat létrejön egy külső router támogatja a két Ethernet interfész (úgynevezett kettős hálózatú tűzfal) (két hálózati kártyát a számítógép, hogy az egyik) (lásd. 3. ábra).
3. ábra

Ebben az esetben a külső router és a tűzfal, csak egy utat, hogy megy az összes forgalmat. Általában a router úgy van kialakítva, oly módon, hogy a tűzfal csak akkor látható a járművön kívülről. Ez a rendszer a legelőnyösebb szempontjából biztonsága és megbízhatósága védelmet.

Egy másik áramkör a 4. ábrán látható.
4. ábra

Ebben az esetben a tűzfal védi egyetlen alhálózati több feltörekvő a router. A területen nem védett tűzfal szerverek gyakran kell kívülről látható (WWW, FTP, stb.) A legtöbb tűzfal képes befogadni ezeket kiszolgáló magát - a megoldás nem a legjobb a töltő- és a biztonságot a tűzfal.

Vannak megoldások (lásd 5. ábra), ami lehetővé teszi, hogy megszervezzék a szerverek, amelyeket meg kell kívülről látható, a harmadik hálózati; Ez lehetővé teszi a biztonságos irányítást felette az azokhoz való hozzáférést, míg ugyanabban az időben, a megfelelő szintű védelem a gépek a törzshálózat.
5. ábra

Ebben az esetben nagy figyelmet fordítanak a belső hálózat a felhasználók nem véletlenül vagy szándékosan egy lyukat a helyi hálózaton keresztül a szerverre. Hogy növelje a védelem szintjét lehet használni ugyanabban a hálózatban több tűzfalak, egymással szemben.

adminisztráció

Statisztikai rendszer gyűjtése és a megelőzés a támadás

Egy másik fontos eleme a tűzfal egy olyan rendszer, statisztikai adatok gyűjtése és figyelmeztetéseket a támadást. Információ az összes esemény - az elutasítások belépő, kilépő kapcsolatok során átvitt bájtok számát, a szolgáltatás igénybevételéhez, a kapcsolat időtartama, stb - felhalmozódik a statisztika fájlt. Sok tűzfal rugalmasságot meghatározása alá naplózás leírni a tűzfal fellépések támadások vagy próbálkozások a jogosulatlan hozzáférés - ez lehet egy üzenetet a konzol üzenetet rendszergazda, stb Az azonnali visszavonása jelentések egy kísérlet, hogy csapkod a konzol képernyőjén vagy a rendszergazda segíthet, ha a kísérlet sikeres volt, a támadó már belépett a rendszerbe. A szerkezet a sok tűzfal tartalmazza az generátorok szolgáló statisztikai feldolgozásra. Ez lehetővé teszi, hogy adatokat gyűjtsön a specifikus felhasználói erőforrások, szolgáltatások igénybevétele, hibák, forrásokat, ahonnan megkísérli a jogosulatlan hozzáférés, stb

hitelesítés

A hitelesítés az egyik legfontosabb összetevője a tűzfal. Mielőtt a felhasználó megadta a jogot, hogy bármilyen szolgáltatás van szükség, hogy megbizonyosodjon arról, hogy ő valóban az egyik, akinek vallja magát.

Általános szabály, hogy az elvet követi, az úgynevezett „tudja” - azaz, a felhasználó tudja egy titkos szót, amit küld a hitelesítő szerver válaszul a kérését.

Az egyik hitelesítési rendszerek használata a szabványos UNIX jelszavak. Ez a rendszer a leginkább veszélyeztetett a biztonság szempontjából - jelszó lehet leírni, és használ egy másik személy.

Osztályok biztonsági tűzfalak

Ami a bizalmas információk kezelésére, az automatizált rendszer (AC) lehet három csoportba sorolhatók:

1. Multiplayer AU dolgozza fel az információt a különböző szinteken a titoktartás.
2. AC multiplayer, ahol minden felhasználó egyenlő hozzáférést kell biztosítani minden olyan információt, feldolgozott, forgalomba hozott média különböző szintű titoktartás.
3. Single-AU, amely felvetette polzovatell hozzáférést biztosít az összes feldolgozott információ, helyezzük a média különböző szintű titoktartás.

Az első csoportban izoláljuk 5 osztály védett SS: 1A, 1B, 1C, 1D, 1E, második és harmadik csoportja - a védelmi osztály 2: 2A, 2B és 3A, 3B soootvetstvenno. Osztályú felel meg a maximumot, D osztályú - AU minimális biztonságot.

Tűzfal lehetővé teszi, hogy fenntartsák a biztonságot a belső szakasz, figyelmen kívül hagyva a jogosulatlan kéréseket a külső területen, azaz A vizsgálatot úgy végezzük. Ez csökkenti a biztonsági rés a belső tárgyak, mint eredetileg az elkövető, hogy úrrá a tűzfal, amikor a védelmi mechanizmusok vannak beállítva nagyon óvatosan, és szigorúan. Továbbá, az árnyékolás rendszer szemben univerzális elrendezve egyszerűbb, és ezért biztonságosabb módon. Ez tartalmazza csak azokat az alkatrészeket, amelyek elvégzéséhez szükséges szűrési funkciókat. Bemutató is lehetővé teszi, hogy ellenőrizzék az információáramlás irányul, hogy a külső, amely segít fenntartani a belső titoktartási szabályait. Amellett, hogy a hozzáférés-vezérlési funkciók, tűzfalak regisztrálnia információáramlást.

Szerint a biztonsági szintet tűzfalak vannak osztva 5 osztály. A legalacsonyabb biztonsági osztály - ötödik. Arra használják, hogy biztonságosan kommunikálni AU osztály 1E és a külső környezet, a negyedik - 1G, a harmadik -, hogy 1V, a második - 1B, a legmagasabb - az első -, hogy 1A.

Hangszóró Class 2B, 3B használnak tűzfalak nem alacsonyabbak az ötödik fokozat.

Hangszóró Class 2A, 3A, attól függően, hogy milyen fontos az információk feldolgozása tűzfalak használják a következő osztályokba:

• feldolgozása során minősített információk „titkos” - nem kevesebb, mint a harmadik osztályba;
• amikor az információ-feldolgozó minősül „szigorúan titkos” - nem éri el a második osztályba tartoznak;
• feldolgozása során minősített információk „különös jelentőséget” - csak az első osztályban.

Biztonsági mutatók 1. táblázatban foglaltuk össze.

- nincsenek követelmények ebben az osztályban;

A design (tervezési) dokumentáció

Útmutató a beszerzési tűzfal

Feltételezzük, hogy a vállalat által az alábbi űrlap kitöltésével, és küldje el a gyártó lehetővé teszi, hogy az utóbbi, hogy létrehozzák a legtöbb jó minőségű ajánlatot a vevőnek. Befejezése után a forma azonban, és anélkül, hogy küldje el senkinek, lehetővé teszi a szervezet, hogy jobban megértsük, hogy melyik megoldás is szükség van.

Kapcsolódó cikkek

• Screen ablakok

• Beállítása képernyő zár Xubuntu, ubuntu körülbelül ubuntovod

• Telepítése csúszó műanyag képernyő alatt a fürdő, mind az övé!