Защитна стена
Защитната стена (наричана още защитна стена или защитна стена) е набор от взаимосвързани програми, разположени на компютър, който хоства ресурсите на собствениците и ги защитава от потребители от външна мрежа. Собственикът на компютър, който има достъп до Интернет, инсталира защитна стена, за да попречи на външни лица да получат поверителни данни, съхранявани на защитения компютър (фиг. 1).
Защитната стена може да предотврати достъпа до всички услуги, с изключение на специални компютърни услуги, които изпълняват функциите за доставка на имейл съобщения (SMTP) и информационни функции (TELNET, FTP).
За да се прави разлика между наличните услуги, трябва да се опише политика за достъп, която защитните стени прилагат с голяма ефективност. Основното правило при описание на политиката за достъп е забраната за достъп до услуги, които не изискват достъп от външна мрежа, за да работят.
1.1. Пакетни филтри
Пакетните филтри са инсталирани на рутери, за да филтрират входящата и изходящата информация в мрежата.
Филтриращият рутер обикновено може да филтрира IP пакети въз основа на група от следните полета на заглавката на пакета:
Пакетният филтър преглежда всяко правило последователно и търси първото правило, което съответства на дадения пакет. Ако не бъде намерено такова правило, тогава пакетът се блокира (правило за блокиране по подразбиране). Но ако е активиран специален режим на автоматично обучение, тогава ви се дава възможност да създадете ново правило за обработка на пакети (или връзки за TCP пакети) от този тип, както и ръчно да разрешите или блокирате този пакет.
Положителните качества на филтриращите рутери включват следното:
- сравнително нискоцена;
- гъвкавост при определяне на правила за филтриране;
- малко забавяне при преминаването на пакети.
Недостатъци на филтриращите рутери:
- вътрешната мрежа е видима (маршрутизирана) от интернет;
-правилата за филтриране на пакети са трудни за описание и изискват много добро познаване на TCP и UDP технологиите;
- ако защитна стена с филтриране на пакети се повреди, всички компютри зад нея стават напълно незащитени или недостъпни.
1.2. Шлюзове на ниво сесия
Недостатъкът на шлюзовете на ниво сесия е липсата на проверка на съдържанието на предаваните пакети, което прави възможно нарушителят да проникне през такъв шлюз.
Но може би все пак има рационално зърно в тази идея? Но какво, например, ако не цялата локална мрежа е свързана с интернет, а само един компютър? В края на краищата, настройката на един компютър е по-лесна за „оближаване“ и по-лесна за проследяване, отколкото цялата мрежа. Вярно е, че потребителите, които искат да работят в Интернет, ще трябва да се прехвърлят на този единствен компютър и след известно време ще се подредят в дълга опашка. Не работи! Сега, ако имаше програма, която, работейки на компютър, свързан с интернет, би позволила на други компютри в мрежата да емулират достъп до интернет, като същевременно остават „невидими“.
1.3. Прокси сървър
Всъщност такава програма е „прокси сървър“. Това не е класическа защитна стена (огнена стена), тъй като защитата на мрежата не е част от нейната функция. Мрежата е защитена чрез изолацията си от интернет. „Прокси сървър“ позволява на потребителите на тази изолирана мрежа да имат достъп до интернет с помощта на един свързан компютър. Има и друго обяснение за понятието "прокси-сървъри".
Спомнете си как вбиблиотека, трябваше ли да поръчате книга от затворено хранилище в началото? Тъй като читателите не се допускаха в затворената част на библиотеката, библиотекарят влезе в ролята на ваш посредник (пълномощник) и донесе поръчаната книга.
Разбира се, като правило този процес отнема повече време, отколкото ако вие сами имате достъп до рафтовете с книги. Но да предположим, че всеки път, когато библиотекарят донесе книга за един ученик, той прави няколко копия от нея и я оставя на бюрото си за онези ученици, които се нуждаят от същата книга. Резултатът е перфектната комбинация от бързо обслужване и надеждна защита.
Горната аналогия обяснява двете основни функции на прокси сървъра. Първо, прокси сървърът действа като посредник, като помага на потребителите в частна мрежа да получат информация от интернет, когато имат нужда от нея, като същевременно защитава мрежата. Второ, прокси сървърът може да съхранява често искана информация в "кеш" на локален диск, като бързо я доставя на потребителите без повторен достъп до интернет.
1.4. Шлюз на приложния слой
В сравнение с нормалния режим, в който трафикът на приложението се насочва директно към вътрешни хостове, шлюзовете на приложния слой имат редица предимства. Основното нещо е невидимостта на структурата на защитената мрежа от глобалната мрежа Интернет Имената на вътрешните системи не могат да бъдат докладвани на външни системи чрез DNS, тъй като шлюзът на ниво приложение може да бъде единственият хост, чието име ще бъде известно на външните системи.
Недостатъците на шлюзовете на приложния слой са относително ниската производителност в сравнение с филтърните рутери.
Най-ефективният начин за защита при работа с интернет включва поставянето на систематаЗащитна стена между вашата локална мрежа и интернет. Защитната стена гарантира, че всички връзки между мрежата на организацията и интернет се проверяват за съответствие с политиката за сигурност.
Следвайки аналогията с библиотеката, еквивалентът на защитна стена за филтриране на пакети би бил библиотекар, който поддържа списък с надеждни студенти и ги допуска само до затворено книгохранилище. Това ще ускори процеса на получаване на книги, но ще ви принуди да поддържате списък за достъп. Освен това такова решение е изпълнено със злоупотреби, когато учениците се представят с фалшиво име. Тук, в допълнение към филтрирането на пакети, много други функции са окачени на защитната стена.
За да защити ефективно една мрежа, защитната стена трябва да наблюдава и управлява целия трафик, преминаващ през нея. За да взема контролни решения за TCP/IP услуги (т.е. препращане, блокиране или регистриране на опити за свързване), защитната стена трябва да получава, съхранява, избира и обработва информация, получена от всички комуникационни слоеве и от други приложения.
Не е достатъчно просто да проверите пакетите поотделно. Информацията за състоянието на връзката, получена от минали инспекции на връзката и други приложения, е основен фактор при решението за управление, когато се опитвате да установите нова връзка. Както състоянието на връзката (получено от миналия поток от данни), така и състоянието на приложението (получено от други източници на програмата) могат да бъдат взети под внимание, за да се вземе решение.
2. Как защитната стена защитава мрежа
Защитната стена може да ви защити от неразрешено предаване на данни от вашия компютър или от получаване на пакети от вашия компютър, чиято обработка може да доведе до неговото блокиране. Той може да ви предупреди заопити за използване на ресурси на вашия компютър, за които не сте знаели, за да ви помогне да научите какви ресурси вашият компютър предоставя на други компютри в Интернет и да ви даде контрол върху това кой се свързва с вашия компютър или с кого се свързва вашият компютър.