Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
суббота.docx
Скачиваний:
10
Добавлен:
21.12.2018
Размер:
327.62 Кб
Скачать

Межсетевой экран с динамической фильтрацией пакетов

Данные межсетевые экраны позволяют осуществлять правил «на лету» (on fly).

Реализуется для протокола UDP. В этом случае межсетевым экраном осуществляется ассоциация всех UDP-пакетов, которые пересекают периметр безопасности, через виртуальное соединение.

Если генерируется пакет ответа и предается источнику запроса, то устанавливается виртуальное соединение и пакету разрешается пересечь сервер МЭ.

Информация, ассоциированная с виртуальным состоянием, запоминается на краткий промежуток времени, поэтому, если пакет ответа не получен, то соединение считается закрытым.

1 – Домены аутентификации

2 – Обработка пакетов, связанных с аутентификацией

3 – Строки состояния на каждое установленное соединение

4 – Сетевой стек

5 – Динамические правила

6 – Фильтр пакетов

7 – Отфильтрованные пакеты

Главной особенностью данной схемы является наличие двух групп правил: одна статическая, другая – динамическая, изменяемая в ходе работы межсетевого экрана.

Достоинства:

  1. Не позволяет непрошеным пакетам UDP войти во внутреннюю сеть.

  2. Если запрос пакета UDP приходит из внутренней сети и направлен на недоверенный хост, то сервер межсетевого экрана позволяет появление ответного пакета, доставляемого хосту инициатора запроса. При этом пакет ответа должен содержать IP и номер порта, а также иметь соответствующий тип протокола транспортного уровня.

  3. Динамический фильтр может использоваться для поддержки ограниченного множества команд ICMP.

Недостатки:

  1. Не понимает прикладные протоколы.

  2. Не может ограничить доступ к подмножеству протоколов, даже для основных служб.

  3. Не отслеживает соединение.

  4. Слабые возможности обработки информации внутри пакетов.

  5. Не может ограничить информацию с внутренних компьютеров к службам межсетевого экрана сервера.

  6. Практически не имеет аудита.

  7. Трудно тестировать правила.

Межсетевые экраны и инспекции состояния

Технология инспекции состояний осуществляется анализ пакетов на трех высших уровнях.

Этот подход используется многими разработчиками, но поскольку наименование запатентовано компанией Check Point (Static Full Inspection), то они вынуждены присвоить ему различные наименования:

  • Expert Inspection

  • Smart Inspection и т.д.

Устройство инспекции состояний осуществляет анализ пакета и формирование данных о состоянии виртуального соединения. оно может находится в состоянии установки, передачи или отключения.

В каждом из этих состояний имеется возможность интерпретировать коммуникационные данные определенным способом.

Вся информация, связанная с состоянием данного виртуального соединения, хранится в таблице динамических состояний, с помощью которой оценивается дальнейший обмен в рамках этого виртуального соединения, т.е. осуществляется контроль последовательности пакетов на различных уровнях.

Отслеживание информации прикладного уровня позволяет учитывать поведение нестандартных протоколов. Каждые разработчики межсетевого экрана используют свою реализацию для составления таблицы состояний.

Межсетевой экран Check Point Firewall представляет собой один из наиболее популярных экранов инспекции состояний. Он является программным продуктом и может быть установлен на разные платформы.

Этот межсетевой экран использует таблицу состояний для основного отслеживания соединений на уровне протоколов и модуль Inspect для отслеживания более углубленных правил, в том числе трафик на прикладном уровне и поведение нестандартного протокола.

При принятии решения о разрешении прохождения пакетов межсетевой экран проверит его последовательно по следующим структурам данных:

  1. Таблица состояний – зарегистрировано ли соединение для данного входящего пакета. Если да, то пакет передается без дальнейшей проверки.

  2. Политика безопасности. Если правила разрешают прохождение пакета, то пакет будет передан, а для его сеанса соединения будет добавлена запись в таблицу состояний.

Настраиваемые (адаптивные) Proxy – это один из вариантов данной технологии. В этом случае начальное исследование состояния проводится на прикладном уровне.

После формирования состояния в таблицу правил добавляется стандартизированная группа правил, соответствующая данному соединению и установленному режиму безопасности.

Если пакет удовлетворяет требованиям правил для данного виртуального соединения, то он передается через сетевой уровень, не затрагивая прикладной – это позволяет повысить быстродействие межсетевого экрана.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.