Файловый архив студентов. Файловый архив студентов.
1323 вуза, 5392 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Алматинский университет энергетики и связи
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ЛЕКЦИЯ 11 ПО ЗИ №2.doc
Скачиваний:
1
Добавлен:
01.05.2025
Размер:
194.56 Кб
Скачать
►Содержание►

Се­те­вые фильтры

Се­те­вые филь­тры ра­бо­та­ют на се­те­вом уровне иерар­хии OSI (см. Ри­су­нок 1). Се­те­вой фильтр пред­став­ля­ет собой марш­ру­ти­за­тор, об­ра­ба­ты­ва­ю­щий па­ке­ты на ос­но­ва­нии ин­фор­ма­ции, со­дер­жа­щей­ся в за­го­лов­ках па­ке­тов. Се­те­вые филь­тры су­ще­ству­ют для сетей TCP/IP и IPX/SPX, но по­след­ние при­ме­ня­ют в ло­каль­ных сетях, по­это­му мы их рас­смат­ри­вать не будем.

При об­ра­бот­ке па­ке­тов ими учи­ты­ва­ет­ся сле­ду­ю­щая ин­фор­ма­ция:

  • IP-ад­рес от­пра­ви­те­ля;

  • IP-ад­рес по­лу­ча­те­ля;

  • про­то­кол (TCP, UDP, ICMP);

  • номер про­грамм­но­го порта от­пра­ви­те­ля;

  • номер про­грамм­но­го порта по­лу­ча­те­ля.

Ад­ми­ни­стра­тор на ос­но­ве этой ин­фор­ма­ции за­да­ет пра­ви­ла, в со­от­вет­ствии с ко­то­ры­ми па­ке­ты будут либо про­пус­кать­ся через фильтр, либо от­бра­сы­вать­ся им. На­при­мер, се­те­вой фильтр поз­во­ля­ет ре­а­ли­зо­вать сле­ду­ю­щую схему об­ме­на дан­ны­ми между ком­пью­те­ра­ми кор­по­ра­тив­ной сети и Internet:

  1. все ком­пью­те­ры кор­по­ра­тив­ной сети имеют воз­мож­ность об­щать­ся с внеш­ни­ми сер­ве­ра­ми Web и ftp, но не с telnet, NNTP и т. д.;

  2. до­ступ извне за­пре­щен ко всем ком­пью­те­рам кор­по­ра­тив­ной сети, кроме до­сту­па к сер­ве­ру A по про­то­ко­лу HTTP и к сер­ве­ру B по про­то­ко­лу ftp; кроме того, внеш­не­му ком­пью­те­ру Z раз­ре­ша­ет­ся до­ступ к внут­рен­не­му сер­ве­ру C и к любым служ­бам TCP и UDP, но не ICMP.

Ри­су­нок 1. Се­те­вой фильтр ана­ли­зи­ру­ет па­ке­ты на се­те­вом уровне.

Се­те­вые филь­тры очень легко ре­а­ли­зо­вать, по­это­му они по­лу­чи­ли по­все­мест­ное рас­про­стра­не­ние и пред­став­ле­ны про­грамм­но-ап­па­рат­ны­ми и чисто про­грамм­ны­ми ре­а­ли­за­ци­я­ми. В част­но­сти, марш­ру­ти­за­то­ры Cisco, Bay Networks (под­раз­де­ле­ние Nortel) и дру­гих про­из­во­ди­те­лей снаб­же­ны функ­ци­я­ми се­те­вой филь­тра­ции, вслед­ствие чего такие марш­ру­ти­за­то­ры на­зы­ва­ют филь­тру­ю­щи­ми. Спи­сок про­грамм­ных се­те­вых филь­тров еще более вну­ши­те­лен, и боль­шин­ство из них пред­став­ля­ет бес­плат­ные или услов­но-бес­плат­ные ути­ли­ты. Они ре­а­ли­зо­ва­ны для мно­же­ства се­те­вых плат­форм, в том числе для UNIX, Windows NT, NetWare, VMS, MVS.

К со­жа­ле­нию, обо­рот­ной сто­ро­ной про­сто­ты ре­а­ли­за­ции и низ­кой цены се­те­вых филь­тров яв­ля­ет­ся слож­ность их ад­ми­ни­стри­ро­ва­ния и сла­бая за­щи­щен­ность от атак.

В се­те­вых филь­трах в ос­нов­ном ис­поль­зу­ет­ся ста­ти­че­ская филь­тра­ция, когда ад­ми­ни­стра­то­ру при­хо­дит­ся со­зда­вать свой фильтр для каж­до­го уни­каль­но­го типа па­ке­та, тре­бу­ю­ще­го об­ра­бот­ки. По­яс­ним это на при­ме­ре. До­пу­стим, всем ком­пью­те­рам по умол­ча­нию за­пре­щен до­ступ в Internet. Од­на­ко ком­пью­те­ру Z (IP-ад­рес 123.​45.​67.​89) необ­хо­дим до­ступ к внеш­не­му сер­ве­ру A (IP-ад­рес 211.​111.​111.​111), предо­став­ля­ю­ще­му сер­вис telnet. В дан­ном слу­чае ад­ми­ни­стра­тор дол­жен за­дать два правила:

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности