- •Минобрнауки россии
- •Практическое задание №1
- •Практическое задание №2
- •Практическое задание №3
- •Практическое задание №4
- •1. Межсетевые экраны с пакетной фильтрацией
- •2. Межсетевые экраны с технологией Stateful Inspection
- •3. Прокси–серверы (шлюзы уровня приложений)
- •4. Межсетевые экраны с фильтрацией на уровне приложений
- •Практическое задание №4
- •Практическое задание №5
- •Практическое задание №6
- •Практическое задание №7
- •Практическое задание №8
- •Практическое задание №9
- •Контрольные вопросы:
- •Тестовые задания:
1. Межсетевые экраны с пакетной фильтрацией
Межсетевой экран с пакетной фильтрацией – наименее интеллектуальный, но наиболее быстрый тип межсетевого экрана. Правила фильтрации могут быть основаны на IP-адресах отправителя и получателя, типе протокола (TCP/UDP) и портах отправителя и получателя. Межсетевой экран с пакетной фильтрацией рассматривает каждый сетевой пакет отдельно от остальных и «не понимает» соединений. Это приводит к тому, что ответные пакеты рассматриваются аналогично пакетам, инициирующим соединение из внешней сети. Таким образом, межсетевой экран с пакетной фильтрацией требует детальной настройки правил фильтрации, явно разрешающих и обычные входящие пакеты, и ответные пакеты.
Межсетевые экраны с пакетной фильтрацией не позволяют настроить правила, разрешающие «выход» во внешнюю сеть только для определённых пользователей внутренней сети. Межсетевые экраны с пакетной фильтрацией являются «прозрачными» для клиентских приложений, т.е. не требуют настройки клиентских приложений на использование межсетевого экрана.
2. Межсетевые экраны с технологией Stateful Inspection
Межсетевые экраны с технологией Stateful Inspection (Stateful Inspection Firewalls) оперируют не с отдельными пакетами, а с соединениями. Только соединения, удовлетворяющие правилам фильтрации, могут проходить через межсетевой экран. Можно выделить следующие основные характеристики межсетевых экранов с технологией Stateful Inspection:
Пользователь может инициировать соединение с ресурсом во внешней сети (если это разрешено правилами) и межсетевой экран автоматически создаст правило на время соединения, разрешающее прохождение ответных пакетов в рамках этого соединения.
Пакет, пришедший из внешней сети, может пройти во внутреннюю сеть, только если он является частью инициированного внутренним клиентом соединения или для него существует явное разрешительное правило.
Конфигурирование межсетевого экрана требует меньших затрат времени, так как администратору не требуется задавать правила, разрешающие прохождение ответных пакетов (эти правила создаются динамически).
Межсетевые экраны с технологией Stateful Inspection также являются прозрачными для клиентских приложений.
3. Прокси–серверы (шлюзы уровня приложений)
Прокси–серверы (proxy servers) работают на Уровне приложений (Application layer) OSI-модели. Они обеспечивают защиту за счёт того, что требуют, чтобы клиент направлял все запросы на доступ к внешним ресурсам прокси–серверу. Поэтому, чтобы воспользоваться услугами прокси–сервера, клиентское приложение должно «уметь» работать с ним. Наиболее известным видом прокси–серверов является HTTP прокси–сервер.
Важной особенностью прокси–серверов является то, что они создают соединение с внешним ресурсом от своего имени, а не просто пересылают пакет клиента. Таким образом, соединение клиента с внешним ресурсом на самом деле представляет собой два соединения: соединение клиент – прокси–сервер и соединение прокси–сервер – внешний ресурс.
Прокси–серверы обладают также дополнительными возможностями, например, позволяют кэшировать данные, а также аутентифицировать внутренних клиентов и разграничивать доступ к внешним ресурсам на основе этой информации.