Московский государственный университет имени М.В.Ломоносова
Опубликован: 21.09.2006 | Доступ: свободный | Студентов: 4411 / 642 | Оценка: 4.32 / 4.09 | Длительность: 19:19:00
ISBN: 978-5-9556-0076-0
Лекция 1:

Классификация firewall’ов и определение политики firewall’а

Лекция 1: 12345678 || Лекция 2 >

Stateful Inspection firewall’ы

Stateful Inspection firewall’ы являются пакетными фильтрами, которые анализируют содержимое 4-го уровня (Transport) модели OSI.

Stateful inspection разрабатывались исходя из необходимости рассматривать основные особенности протоколов TCP/IP. Когда ТСР создает сессию с удаленной системой, также открывается порт на исходной системе для получения сетевого трафика от системы назначения. В соответствии со спецификацией ТСР, данный порт источника клиента будет некоторым числом, большим, чем 1023 и меньшим, чем 16384. Порт назначения на удаленном хосте, как правило, имеет фиксированный номер. Например, для SMTP это будет 25.

Пакетные фильтры должны разрешать входящий сетевой трафик для всех таких портов "с большими номерами" для транспорта, ориентированного на соединение, так как это будут возвращаемые пакеты от системы назначения. Открытие портов создает риск несанкционированного проникновения в локальную сеть.

В таблице 1.6 показана первая строчка набора правил пакетного фильтра из приведенной выше таблицы, которая разрешает любое входящее соединение, если порт назначения больше 1023. Stateful inspection firewall’ы решают эту проблему созданием таблицы для исходящих ТСР-соединений, соответствующих каждой сессии. Эта "таблица состояний" затем используется для проверки допустимости любого входящего трафика. Решение stateful inspection является более безопасным, потому что отслеживать используемые порты каждого клиента лучше, чем открывать для внешнего доступа все порты "с большими номерами".

Таблица 1.6. Правило завершения создания соединения
Адрес источника Порт источника Адрес назначения Порт назначения Действие Описание
Any Any 192.168.1.0 >1023 Allow Правило разрешает возвращать ТСР-соединения во внутреннюю подсеть

В сущности, stateful inspection firewall’ы добавляют понимание уровня 4 в архитектуру пакетного фильтра. Stateful inspection firewall’ы разделяют сильные и слабые стороны пакетных фильтров, но вследствие реализации таблицы состояний stateful inspection firewall’ы обычно считаются более безопасными, чем пакетные фильтры. В таблице 1.7 показан пример таблицы состояний firewall’а stateful inspection.

Таблица 1.7. Таблица состояний соединений stateful inspection firewall’а
Адрес источника Порт источника Адрес назначения Порт назначения Состояние соединения
192.168.1.100 1030 210.9.88.29 80 Establish
192.168.1.102 1031 216.32.42.123 80 Establish
192.168.1.101 1033 173.66.32.122 25 Establish
192.168.1.106 1035 177.66.32.122 79 Establish
223.43.21.231 1990 192.168.1.6 80 Establish
219.22.123.32 2112 192.168.1.6 80 Establish
210.99.212.18 3321 192.168.1.6 80 Establish
24.102.32.23 1025 192.168.1.6 80 Establish
223.212.212 1046 192.168.1.6 80 Establish

Преимущества stateful inspection firewall’а:

  • Разрешает прохождение пакетов только для установленных соединений;
  • Прозрачен для клиентов и серверов, так как не разрывает ТСР-соединение.

Недостатки stateful inspection firewall’а:

  • Реально используется только в сетевой инфраструктуре TCP/IP. Хотя, надо отметить, что stateful inspection firewall можно реализовать в других сетевых протоколах тем же способом, что и пакетные фильтры.

Host-based firewall’ы

Пакетные фильтры реализованы в некоторых ОС, таких как Unix/Linux; в частности, они могут использоваться только для обеспечения безопасности хоста, на котором они функционируют. Это может быть полезно при совместном функционировании с различными серверами; например, внутренний web-сервер может выполняться на системе, на которой функционирует host-based firewall.

Преимущества host-based firewall’а:

  • Приложение сервера защищено лучше, чем если бы оно выполнялось на ОС, не имеющей host-based firewall’а: внутренние серверы должны быть сами по себе защищены, и не следует предполагать, что они не могут быть атакованы только потому, что они расположены позади основного firewall’а.
  • Выполнение firewall’а на отдельном хосте не является необходимым условием для обеспечения безопасности сервера: host-based firewall достаточно хорошо выполняет функции обеспечения безопасности.
  • ПО, реализующее host-based firewall, обычно предоставляет возможность управления доступом для ограничения трафика к серверам и от серверов, выполняющихся на том же хосте, и обычно существуют определенные возможности создания логов. Хотя host-based firewall’ы менее предпочтительны в случае большого трафика и в окружениях с высокими требованиями к безопасности, для внутренних сетей небольших офисов они обеспечивают адекватную безопасность при меньшей цене.

Недостаток host-based firewall’а:

  • Каждый такой firewall должен администрироваться самостоятельно, и после определенного количества серверов с host-based firewall’ами легче и дешевле просто разместить все серверы позади выделенного firewall’а.
Лекция 1: 12345678 || Лекция 2 >
Виталий Гордиевских
Виталий Гордиевских

Здравстивуйте, диплом о профессиональной переподготовке по программе "Сетевые технологии" дает право на ведение профессиональной деятельности в какой сфере? Что будет написано в дипломе? (В образце просто ничего неуказано)

Напимер мне нужно чтоб он подходил для направления 09.03.01 Информатика и вычислительная техника

Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Максим Долгошеев
Максим Долгошеев
Россия, Самара
Роман Пермяков
Роман Пермяков
Россия, Челябинск, ЧГПУ