4Й уровень транспортный
TCP и UDP протоколы, работающие на данном уровне.
( порт отправителя (местный); порт получателя (удаленный порт или порт назначения); N пакета; квитанция о получении
( ip отправителя; ip получателя; N пакета IP)
Назначение транспортного уровня:
1) организация сессий;
Сессия - все действия, которые производятся для передачи одного сообщения в одном направлении.
2) нумерация пакетов;
3) организация связи между приложениями;
4) обеспечение надежности доставки.
UDP не организует сессии и не проверяет факт доставки пакета.
TCP надежней, но медленнее. UDP быстрее, но менее надежней.
Сеансовый уровень. Сеансовый уровень обеспечивает управление диалогом для того, чтобы фиксировать, какая из сторон является активной в настоящий момент, а также предоставляет средства синхронизации. Последние позволяют вставлять контрольные точки в длинные передачи, чтобы в случае отказа можно было вернуться назад к последней контрольной точке, вместо того, чтобы начинать все с начала. На практике немногие приложения используют сеансовый уровень, и он редко реализуется.
Уровень представления. Этот уровень обеспечивает гарантию того, что информация, передаваемая прикладным уровнем, будет понятна прикладному уровню в другой системе. При необходимости уровень представления выполняет преобразование форматов данных в некоторый общий формат представления, а на приеме, соответственно, выполняет обратное преобразование. Таким образом, прикладные уровни могут преодолеть, например, синтаксические различия в представлении данных. На этом уровне может выполняться шифрование и дешифрование данных, благодаря которому секретность обмена данными обеспечивается сразу для всех прикладных сервисов. Примером протокола, работающего на уровне представления, является протокол Secure Socket Layer (SSL), который обеспечивает секретный обмен сообщениями для протоколов прикладного уровня стека TCP/IP.
__________________________________--
7Й уровень - прикладной
Предназначен для передачи данных между приложениями
Сетевые службы:
DNS
Служба DNS предназначена для разрешения доменных имен в IP-адресах.
DNS сервер имеет список доменных имен и соответствующих им IP-адресов. По запросы от рабочей станции DNS-сервер возвращает необходимые параметры.
DHCP
Служба DHCP предназначена для передачи в аренду ресурсов вычислительной сети (ip-адреса, адреса шлюзов, адреса DNS-серверов, proxy-server, процессорное время, дисковое пространство и т.д.)
Фаерволл (МСЭ – межсетевой экран)
Proxy
HTTP-server
.HTTP-server, или WEB-server предназначен для храенния и организации доступа к web страницам.
Архитектура брандмауэр систем
Алгоритм работы фаервола (firewall)
Понятие межсетевого экрана (МСЭ)
МСЭ – программное или программно-аппаратное устройство, предназначенное для контроля сетевого трафика (МСЭ=брандмауэр=фаервол)
МСЭ является основным инструментом системного администрирования для защиты сети или отдельных её узлов от атак злоумышленников.
Принцип работы МСЭ основывается на фильтрации сетевых пакетов по определенным параметрам.
Политика МСЭ. Принципы.
Пропускать все, кроме запрещенного.
Не пропускать ничего, кроме разрешенного.
Под защищенной сетью понимается та сеть, защиту которой проводит собственный администратор (т.е. мы)
Структура брандмауэр системы
Значения модулей:
Приемный модуль – предназначен для приема и ретрансляции пакетов.
Дифференцирующий модуль – предназначен для дифференциации пакета и выделения его параметров.
Аналитический модуль – в соответствии с настройками в БД пользователей, правил, настроек проверят параметры пакета и результаты проверки передает в модуль принятия решений.
Модуль принятия решений – принимает решение о фильтрации или ретрансляции пакета.
Модуль аутентификации – по данным БД пользователей производится аутентификация пользователей.
Интерфейс системного администратора – предназначен для обеспечения диалога между администратором и брандмауэр системой.
Виды брандмауэр системы:
Программно-аппаратные - более надежные, быстрые, но и более дорогие.
Программные – менее надежные и быстрые, но значительно более дешевые.
Сетевые (на всю сеть)
Персональные (на 1 компьютер)
Уровни ISO/OSI на которых работает МСЭ:
Второй (канальный)
Третий (сетевой)
Четвертый (транспортный)
Шестой (прикладной)
Активные элементы межсетевого экрана
На современном этапе развития информационных технологий МСЭ выполняются в виде комплексных решений и включают в себя множество различных информационных технологий.
С другой стороны, можно сказать, что МСЭ сами входят в состав другого программного обеспечения.
Т.о., под фаерволом можно понимать совокупность технологий, которые называются активными элементами брандмауэр системы.
Состав элементов:
Сетевой фильтр
NAT
Шлюз прикладного уровня
Сетевой фильтр
Работа сетевого фильтра основана на проверке полей заголовков сетевых пакетов.
Системный администратор при настройке сетевого фильтра задает в нем значения параметров полей, по которым впоследствии ведется проверка.
На третьем уровне основными параметрами являются ip-адрес отправителя и ip-адрес получателя.
Существуют сетевые фильтры, способные поддерживать несколько конфигураций.
Существуют интеллектуальные сетевые фильтры. Как правило, они переходят от одной к другой конфигурации в зависимости от условий работы сети. Иногда могут добавлять фильтры.
На втором уровне, как правило, действуют только программно-аппаратные сетевые фильтры. Заголовками пакетов занимается сетевой фильтр.