Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4609 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южно-Российский государственный технический университет (Новочеркасский политехнический институт) (ЮРГТУ (НПИ))
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
12_Курс лекций МиСЗИ.doc
Скачиваний:
64
Добавлен:
11.04.2015
Размер:
6.19 Mб
Скачать
►Содержание►

Основные типы межсетевых экранов

1. Фильтрующие маршрутизаторы

ФМ представляет собой маршрутизатор или работающую на сервере программу, построенную таким образом, чтобы фильтровать входящие и выходящие пакеты. Фильтрация пакетов выполняется на основе информации в TCР и IP- заголовках пакетов. ФМ может фильтровать IP-пакеты на основе:

  1. IP- адрес отправителя; порт отправителя;

  2. IP- адрес получателя; порт получателя.

Порт – это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт обозначается 16-тибитовым числом.

В качестве примера рассмотрим реализацию политики безопасности, допускающей определенные соединения с внутренней сетью с условным адресом 123.4.*.*.

Протокол

Адрес отправителя

Адрес получателя

Порт отправителя

Порт получателя

Действие

Telnet (TCP)

*

123.4.5.6

>1023

23

Разрешить

SMTP (TCP)

*

123.4.5.7

>1023

25

Разрешить

NNTP (TCP)

129.6.48.254

123.4.5.8

>1023

119

Разрешить

UDP

*

*

*

*

Запретить

Первое правило позволяет пропускать пакеты TCP из сети Internet от любого источник с номером порта большим, чем 1023 к получателю с адресом 123.4.5.6 в порт 23. Порт 23 связан с сервером Telnet, а все клиенты должны иметь непривилегированные порты с номерами не ниже 1024.

Второе правило работает аналогично, соединения SMPT разрешены только компьютеру с адресом 123.4.5.7, который может быть шлюзом электронной почты.

Третье правило пропускает пакеты к NNTP-серверу сети (Network News Transfer Protocol), но только от отправителя с адресом 129.6.48.254 к получателю с адресом 123.4.5.8 с портом назначения 119.

Четвертое правило блокирует все остальные соединения.

Межсетевой экран с фильтрацией пакетов, работающий только на канальном уровне эталонной модели взаимодействия открытых систем, обычно проверяет только информацию в IP-заголовках пакетов. Поэтому обмануть его не сложно: нарушитель создает заголовок, который удовлетворяет разрешающим правилам фильтрации. Практика показывает, что подобный вид нападения, называемый подменой адреса, довольно широко распространен в Internet и часто оказывается эффективным.

К положительным качествам фильтрующих маршрутизаторов относится:

  • сравнительно невысокая стоимость;

  • гибкость в определении правил фильтрации;

  • небольшую задержку при прохождении пакетов.

Недостатками фильтрующих маршрутизаторов являются:

  • внутренняя сеть видна (маршрутизируется) из Internet;

  • правила фильтрации трудны в описании и требуют очень хороших знаний технологий TCP и UDP;

  • при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными или недоступными;

  • аутентификацию с использованием IP-адреса можно обмануть путем подмены IР-адреса;

  • отсутствует аутентификация на пользовательском уровне.

2. Шлюзы сеансового уровня

Шлюз сеансового уровня по-другому называют системой трансляции сетевых адресов или шлюзом сетевого уровня модели OSI. Шлюз сеансового уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует ТСР-пакеты в обоих направлениях, не осуществляя их фильтрации. По окончании сеанса шлюз разрывает цепь, использованную в данном сеансе. Для копирования и перенаправления пакетов в шлюзах сеансового уровня применяются специальные приложения, которые называются канальными посредниками, поскольку они устанавливают между двумя сетями виртуальную цепь или канал, а затем разрешают пакетам, которые генерируются приложениями TCP/IP проходить по этому каналу.

Шлюз сеансового уровня выполняет еще одну важную функцию защиты: он используется в качестве сервера посредника. Сервер-посредник выполняет процедуру трансляции адресов, при которой происходит преобразование внутренних IP-адресов в единственный IP-адрес, т.е. IP-адрес сеансового шлюза становится единственно активным IP-адресом, который попадает во внешнюю сеть. Таким способом шлюз сеансового уровня и другие серверы-посредники защищают внутренние сети от нападения типа подмены адресов.

К недостаткам шлюзов сеансового уровня:

  • не обеспечивается контроль и защита содержимого пакетов сообщений;

  • не поддерживается аутентификация пользователей и конечных узлов.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности