- •Основы работы с Internet (комплексов протоколов tcp/ip)
- •Оглавление
- •Содержательная постановка задачи
- •Структура решения
- •Типы адресов: физический (mac-адрес), сетевой (ip-адрес), символьный (dns-имя)
- •Подсети
- •Сетевые протоколы
- •Служба dns
- •Межсетевой экран
- •Обзор и анализ методов решения
- •Просмотр текущих параметров
- •Структура университетской сети
- •Сбор информации о сети вручную
- •Сбор информации о сети при помощи самостоятельно написанной программы
- •Ввод и генерация диапазона адресов
- •Определение работоспособности узла и его доменного имени
- •Анализ информации о сети
- •Построение карты сети
- •Параметры настройки межсетевого экрана
- •Обзор межсетевых экранов
- •Настройка межсетевого экрана
- •Сбор информации о сети
- •Анализ сети
- •Руководство программиста
- •Интерфейс
- •Специфика применяемых методов
- •Руководство пользователя
- •Результат анализа сети
- •Параметры настройки межсетевого экрана
- •Загрузка и установка
- •Создание правила
Межсетевой экран
Межсетевой экран (брандмауэр, файрвол) — программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.
Основной задачей межсетевых экранов является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами локальной сети, — что может обеспечивать дополнительную безопасность.
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
традиционный межсетевой экран— программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
персональный межсетевой экран— программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
сеансовом уровне— отслеживающие сеансы между приложениями, не пропускающими пакетов, нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.
В зависимости от отслеживания активных соединений сетевые экраны бывают:
stateless(простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
stateful(фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными типамиDDoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.