Типы межсетевых экранов

Брандмауэры можно разделить на три основных категории:

  • ? фильтры пакетов;
  • ? прокси-серверы (они включают шлюзы приложений и шлюзы линий связи);
  • ? фильтры пакетов с сохранением адресов.

Кроме того, МСЭ может быть образован шлюзом приложений и фильтром пакетов либо прокси-сервером и фильтром пакетов с сохранением адресов. На рис. 9.2 показаны различные типы брандмауэров.

Классификация межсетевых экранов

Рис. 9.2. Классификация межсетевых экранов

Фильтры пакетов

Фильтр пакетов - это межсетевой экран, который проверяет каждый пакет в соответствии с правилами фильтрации, определяемыми пользователем, и «решает», пропустить его или блокировать. Так, правила фильтрации могут запрещать пропуск всех запросов Telnet. На основании этого запрета межсетевой экран будет блокировать все сообщения, в заголовках которых номер порта равен 23 (номер порта сети Telnet по умолчанию). Правила фильтрации можно построить либо на основании IP-адресов источника или пункта назначения, либо используя номера их портов четвертого уровня. Решения принимаются на сетевом и транспортном уровнях.

Фильтры пакетов с сохранением адресов характеризуются высокой производительностью, их можно использовать в существующих маршрутизаторах. К сожалению, среди всех МСЭ их возможности наиболее ограничены. Недостаток фильтров состоит в отсутствии проверки регистрации, что мешает обнаружить несанкционированное проникновение в сеть. Кроме того, решение о блокировке или пропуске сообщения принимается на основе данных об адресе либо номере порта источника и пункта назначения. К сожалению, номера портов можно подделать. Следовательно, злоумышленник постарается получить доступ к сетевым ресурсам сразу же вслед за авторизованным пользователем.

Прокси-серверы

Приложение, которое переадресует пользовательский запрос к службам, поддерживающим стратегию безопасности, называется прокси-сервером. Любое соединение между пользователем и сервером обработки запросов осуществляется через прокси-сервер. Он работает как посредник между клиентом и сервером приложения. Поскольку прокси-сервер функционирует как пункт контроля, в котором запрос проверяется на соответствие приложению, он работает очень интенсивно и при большом потоке запросов не успевает их обслуживать.

Различают два класса прокси-серверов: шлюзы приложений, которые работают на уровне приложений, и шлюзы линий связи, функционирующие на транспортном уровне.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >