- •Міністерство освіти і науки, молоді та спорту україни Запорізький національний технічний університет
- •Лекция 2 Основные компоненты архитектуры межсетевых экранов
- •Классификация межсетевых экранов
- •Технология vlan
- •Фильтры пакетов
- •Межсетевые экраны прикладного уровня
- •Межсетевые экраны динамической фильтрации пакетов
- •Посредники сеансового уровня
- •Шлюзы сеансового уровня (инспекторы состояния)
- •Межсетевые экраны экспертного уровня
- •Схемы подключения мэ
- •Технологии мэ
- •Особенности использования nat
- •Трансляция портов (pat)
- •Технология антивирусной защиты
- •Аутентификация
- •Протоколы и схемы аутентификации
- •Технология vpn
- •Протоколы vpn
- •Стек протоколов ipSec
- •Протокол рртр
- •Прокол l2tp
- •Протокол аутентификации l2f
- •Протоколы аутентификации, шифрования и контроля целостности.
- •Протоколы управления ключами
- •Управление сетями
- •Управление списками доступа маршрутизатора
- •Посредники сеансового уровня socks
Межсетевые экраны прикладного уровня
Межсетевые экраны прикладного уровня – технология межсетевого экранирования, которая позволяет проверять информационные потоки на корректность данных на прикладном уровне. Помимо этого есть возможность контролировать различные характеристики защищённости, присущие только этому уровню (пароль, запрашиваемые объекты протоколов).
Данные экраны оперируют не пакетами, а информационными массивами в виде команд и их параметров, результатами выполнения команд, а также различными высокоуровневыми объектами (файлы, приложения). Большинство экранов прикладного уровня состоят из: специального программного обеспечения и сервис-посредников (proxy-services). Сервис посредники – программы, которые управляют траффиком через сетевой экран для определённых сервисов (http, ftp, SMTP,POP3, IMAP…).
Сервис посредник состоит из 2х компонентов:
прокси-клиент
прокси-сервер.
Различают прозрачные и непрозрачные посредники прикладного уровня.
Межсетевые экраны прикладного уровня позволяют блокировать потенциально опасные компоненты и команды прикладного протокола. Кроме этого они умеют кэшировать информацию и управлять характеристиками кэша.
Преимущества:
интерпретация и усиление защиты высокоуровневых и прикладных протоколов(http, ftp)
блокирование напрямую установленных соединений между внешними серверами и внутренними хостами
перенаправление внешних запросов на другие серверы внутренних сервисов
широкий набор учётных данных для отчётности
обеспечение дополнительных возможностей, таких как кэширование и фильтрация URL
Недостатки:
поскольку прикладные посредники прослушивают тот же порт что и прикладной сервер то не всегда есть возможность установки межсетевого экрана на самом сервере.
значительное время обработки пакетов, поскольку пакет обрабатывается дважды
для каждого прикладного протокола должен быть разработан свой собственный сервис посредник
Межсетевые экраны динамической фильтрации пакетов
Динамические фильтры позволяют корректировать базу правил «на лету» Данная технология изначально разрабатывалась для UDP-пакетов.
Динамические фильтры ассоциируют все UDP-пакеты с неким виртуальным соединением. Если межсетевой экран обнаруживает ответный пакет, то устанавливается виртуальное соединение и пакету разрешается проходить через межсетевой экран. Информация, ассоциируемая с виртуальным соединением, запоминается на короткий промежуток времени и если в этот промежуток не получен ответный пакет, то виртуальное соединение разрывается.
Динамические фильтры имеют те же преимущества и недостатки что и статические фильтры, за одним исключением, что они не пропускают не запрашиваемые UDP-пакеты (межсетевой экран пропускает первый UDP-пакет во внутреннюю сеть, а ответный пакет должен содержать адрес назначения и номер порта). Также динамические фильтры можно использовать для поддержки ограниченного под множества команд IСMP.
Посредники сеансового уровня
Позволяют аутентифицировать клиентов, передавать данные по защищённому каналу(SOCKS 5).