Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
М П 3 / Лекция_9.doc
Скачиваний:
53
Добавлен:
16.04.2013
Размер:
107.01 Кб
Скачать

9.3. Основные компоненты мэ

МЭ состоят, как правило из нескольких компонент, основными из которых являются следующие:

  • Фильтрующие маршрутизаторы;

  • Шлюзы сетевого уровня;

  • Шлюзы прикладного уровня.

9.3.1. Фильтрующие маршрутизаторы

В этом случае фильтрация пакетов осуществляется на основе адресной информации, содержащейся в заголовках пакетов. В простейшем случае фильтрующий маршрутизатор фильтрует IP – пакеты по следующим параметрам:

  • По IP – адресу отправителя или по IP – адресу получателя;

  • По порту отправителя или получателя (порт означает привязку пересылки информации к конкретной прикладной задаче, т.е. если отправитель и получатель информации работают совместно по двум прикладным задачам, задачи могут быть привязаны к различным портам).

Пример работы фильтрующего маршрутизатора

Необходимо обеспечить фильтрацию протоколов для следующего фрагмента сети:

Управляющий

Компьютер

(А= 123.4.5.6)

TELNET

Фильтрующий маршрутизатор

Сервер новостей

(А= 123.4.5.9)

SMTP

NNTP

Почтовый клиент

(А= 123.4.5.8)

Почтовый клиент

(А= 123.4.5.7)

Примечание: (NNTP – Network News Transfer Protocol)

Рис. 9.1.

Сведем набор правил фильтрующего маршрутизатора для данного фрагмента сети в таблицу.

Таблица 9.1.

Тип протокола

Адрес отправителя

Адрес получателя

Порт отправителя

Порт получателя

Действие

TCP

*

123.4.5.6

1023

23

Разрешить

TCP

*

123.4.5.7

 1023

25

Разрешить

TCP

*

123.4.5.8

 1023

25

Разрешить

TCP

129.6.48.254

123.4.5.9

 1023

119

Разрешить

*

*

*

*

*

Запретить

Комментарии:

  1. Первое правило позволяет пропускить пакеты типа TCP из сети Интернет от любого источника с номером порта, большим, чем 1023, к получателю с адресом 123.4.5.6 в порт 23. Порт 23 связан с сервером TELNET и все клиенты TELNET должны иметь порты с номерами, не меньшими 1023.

  2. Правила 2 … 4 – аналогичны первому правилу.

  3. Пятое правило блокирует все остальные пакеты.

Недостатки фильтрующих маршрутизаторов (ФМ):

  • Правила фильтрации пакетов формулируются сложно и обычно нет средств для тестирования их корректности, кроме ручного тестирования;

  • Внутренняя сеть видна из общедоступной сети;

  • Не помогают при атаках типа «подмена адреса», когда кракер использует адрес авторизованного клиента;

  • При нарушении работоспособности ФМ все компьютеры за ним становятся полностью незащищенными либо недоступными;

  • Отсутствует должным образом реализованная аутентификация пользователя.

9.3.2. Шлюзы сетевого уровня

Шлюзы сетевого уровня (ШСУ) исключают прямое взаимодействие между авторизованным клиентом и внешней средой.

Логика работы ШСУ заключается в следующем:

  • Сначала авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос и проверяет удовлетворяет ли этот запрос правам, предоставленным клиенту;

  • Далее, действуя от имени клиента, шлюз устанавливает связь с внешней средой и следит за процессом квитирования (процесс квитирования заключается в обмене синхронизирующими посылками между клиентом и внешним компьютером);

  • После завершения процедуры квитирования шлюз устанавливает соединение, копирует пакеты и перенаправляет их между участниками взаимодействия, не проводя никакой фильтрации.

Характерная особенность ШСУ:

При работе ШСУ осуществляется т.н. «туннелирование трафика» или маскировка топологии сети, т.е. при обращении авторизованного клиента к внешнему источнику происходит преобразование внутренних IP – адресов в один внешний IP – адрес МЭ и все исходящие из внутренней сети пакеты оказываются отправленными от этого шлюза, что исключает прямой контакт между внутренней сетью и потенциально опасной внешней.

Недостаток ШСУ:

После установления связи ШСУ не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ и кракер во внешней сети может переслать свои вредоносные пакеты через шлюз.

Поэтому ШСУ, как правило, не используются отдельно от других компонент МЭ и для фильтрации передаваемой информации по смыслу к ШСУ необходимо добавлять шлюз прикладного уровня.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.

Соседние файлы в папке М П 3