Защитната стена или защитна стена (това е брандмаурови на английски защитна стена в руската граница огън .....) - система или комбинация от системи, които могат да се разделят на мрежа на две или повече части и да се реализират набор от правила, които определят условията за преминаване на пакети от едно част към друга (вж. фигура 1). Най-често това се изтегля граница между предприятието LAN и интернет. въпреки че може да се извърши в рамките на локалната мрежа. Защитна стена, като по този начин преминава през самото целия трафик. За всеки предаден пакет защитна стена реши да премине или да го изхвърли. За защитната стена може да вземете тези решения, е необходимо да се определи набор от правила. За информация как тези правила са описани и какви параметри се използват за тяхното описание, ще бъдат обсъдени по-късно.
Фиг.1

Обикновено, защитната функция на всяка платформа UNIX - по-често го BSDI, SunOS, AIX, IRIX, и т.н. по-малко - DOS, VMS, WNT, Windows NT. Хардуерни платформи отговарят на INTEL, Sun SPARC, RS6000, Алфа, HP PA-RISC, семейството на RISC процесори R4400-R5000. В допълнение към Ethernet, много защитни стени подкрепят FDDI, Token Ring, 100Base-T, 100 VG-AnyLan, разнообразие от серийни устройства. Изисквания за памет и твърд диск обем зависят от броя на машини в мрежата сегмент защитени.

Обикновено операционната система, при които изменят произведенията на защитната стена, чиято цел - подобряване на защитата на защитната стена. Тези промени се отразяват и ядрото, и съответните конфигурационни файлове. В действителност, защитната стена не е позволено да имате потребителски акаунт (и следователно потенциални дупки), само от администратор. Някои защитни стени работят само в един играч режим. Много защитни стени се извършва проверка на целостта на програмен код система. В този случай, проверка по сума на програмни кодове, се съхраняват в защитено място и в сравнение с началото на програмата, за да се избегне заместването на софтуер.

Всички типове могат да се срещнат в същото време в една и съща защитна стена.

пакети филтри

За да се опише правилата за преминаване на пакета е типът на маса:

"Действие" може да бъде настроен да пропусне или да се откаже.
тип пакет - TCP, UDP или ICMP.
Flags - флагове от заглавната част на IP-пакет.
Полетата "източник пристанищни" и "пристанище на местоназначение" имат смисъл само за TCP и UDP пакети.

Application Server слой

Приложния слой защитни стени сървъри използват услуга специфични сървър (прокси сървър) - TELNET, FTP и т.н. предизвикано от защитната стена и да премине през целия трафик, свързани с тази услуга. По този начин, двете съединения се образуват между клиент и сървър от клиента към защитната стена, и от защитната стена до местоназначението.

Използването на сървърите на ниво приложение може да реши-важната задача - да се скрие от външни потребители структура на мрежата, включително информация в заглавията на имейл пакети или Domain Name System (DNS). Друг положителен атрибут е възможността за автентикация на ниво потребител (не забравяйте, че за удостоверяване - процесът на проверка на самоличността на нещо, в този случай, на процеса на проверка, дали потребителят е наистина този, за когото той твърди, че е).

тези параметри се използват при описанието на правилата за достъп,
• Наименование на услугата,
• потребителско име,
• допустимото време гама от ползване на услугата,
• компютри, които могат да използват услугата,
• схеми за удостоверяване.

на ниво приложение на сървъра се даде възможност за най-високо ниво на защита, тъй като взаимодействие с външни светове се осъществява чрез малък брой приложни програми, напълно контролира целия входящ и изходящ трафик.

Сървър връзка слой

ниво връзка сървър е връзка с преводач TCP. Потребителят образува връзка с конкретен порт на защитната стена, при което последният произвежда връзка до местоназначението от другата страна на защитната стена. По време на сесията, копия на компилатора байта и в двете посоки, в качеството на проводник.

Обикновено дестинация е зададена предварително, докато източникът може да бъде много (типа на връзката, един - много). Използването на различни пристанища, можете да създадете различни конфигурации.

Този тип сървър ви позволява да създадете преводач за всеки отделен потребител услуга, на базата на TCP, за да контролират достъпа до тази услуга, събирането на статистически данни за използването му.

Сравнителни характеристики на пакети филтри и приложния слой сървър

По-долу са основните предимства и недостатъци на пакети филтри и сървъри на ниво приложение спрямо друга.

Предимства на пакети филтри:
• относително ниска цена;
• гъвкавост при определянето на правила за филтриране;
• леко забавяне при преминаването на пакети.

Предимства на сървърите на ниво приложение:
• LAN невидим от интернет;
• в нарушение на пакети защитна стена представяне престанат да премине през защитната стена, като по този начин не съществува заплаха за тях защитени машини;
• Защита на ниво приложение позволява на голям брой допълнителни проверки, като по този начин се намалява вероятността от напукване, използващи дупки в софтуера;
• удостоверяване на ниво потребител може да се прилага в непосредствена система за предупреждение за хакерски атаки.

Недостатъците на сървърите на ниво приложение:
• по-висока от цената на пакет филтър;
• невъзможността за използване на RPC и UDP;
• ниска производителност от пакети филтри.

Виртуална мрежа

схеми на свързване на защитните стени

Различни схеми се използват за свързване на защитната стена. Защитната стена може да се използва като външен рутер с помощта на поддържаните типове устройства за свързване към външната мрежа (вж. Фигура 1). Понякога ние използваме схемата е показано на фигура 2, но за да го използвате, трябва да бъде само в краен случай, тъй като изисква много точна настройка на рутери и малките грешки могат да се образуват сериозни дупки в сигурността.
Фиг.2

В повечето случаи, връзката е направена чрез външен рутер поддържа два Ethernet интерфейс (така наречената двойна настанявани защитна стена) (две мрежови карти в компютъра, за да бъдат едно) (виж. Фигура 3).
Фигура 3

В този случай, между външния рутер и защитна стена, има само един път, който минава целия трафик. Обикновено, рутера е конфигуриран по такъв начин, че защитната стена е видима само от външната страна на превозното средство. Тази схема е най-предпочитаните от гледна точка на безопасност и надеждност на защита.

Друга схема е показана на фиг.4.
Фигура 4

В този случай, защитната стена предпазва само една подмрежа от няколко излиза от рутера. В областта незащитени от защитна стена сървъри често трябва да бъдат видими от външната страна (WWW, FTP и др.) Повечето защитни стени могат да се настанят тези сървър за себе си - решение не е най-доброто по отношение на натоварването на машината и сигурността на защитната стена.

Има решения (виж фигура 5.), които ви позволяват да се организира за сървъри, които трябва да бъдат видими от външната страна, третата мрежа; Това позволява сигурен контрол върху достъпа до тях, докато в същото време, на необходимото ниво на защита на машини в основната мрежа.
Фигура 5

В този случай, много внимание се обръща на потребителите вътрешната мрежа не може случайно или умишлено се отвори дупка в локалната мрежа, чрез сървъра. За да се увеличи нивото на защита, може да се използва в една и съща мрежа множество защитни стени, с лице един към друг.

администрация

Система за събиране на статистически данни и предотвратяване на атаки

Друг важен компонент на защитната стена е система за събиране на статистически данни и предупреждения за атаката. Информация за всички събития - влизащи отказите, които напускат връзки, брой байтове прехвърля, за да използвате услугата, времето връзка и т.н. - изгражда във файла за статистиката. Много защитни стени позволяват гъвкавост, за да се определят при спазване на влизане събития, за да опише на защитната стена действия на атаки или опити за неоторизиран достъп - това може да е съобщение на конзолата, пуснете съобщение системен администратор, и т.н. Най незабавно изтегляне на съобщения за опит да се хакне екрана конзола или администратор може да ви помогне, ако опитът е бил успешен и нападателя вече е влязъл в системата. Структурата на много защитни стени включва генератори доклад, които служат за статистическа обработка. Те ви позволяват да се събират статистически данни за използването на специфични потребители на ресурси, използване на услуги, аварии, източници, от които се опитва от неоторизиран достъп и т.н.

заверка

Authentication е един от най-важните компоненти на защитната стена. Преди потребителят се предоставя правото да използва каквато и услуга, е необходимо да се уверите, че той е наистина този, за когото твърди, че е.

Като правило, той използва принципа, известен като "той знае" - т.е. потребителят знае тайна дума, която той изпраща към сървъра за удостоверяване в отговор на искането си.

Една от схемите за автентикация е използването на стандартни пароли UNIX. Тази схема е най-уязвими от гледна точка на сигурността - паролата може да бъде уловена и използвана от друго лице.

Курсове защитни стени за сигурност

По отношение на обработката на поверителна информация, автоматизираната система (AC) могат да бъдат разделени в три групи:

1. Мултиплейър AU обработва информация на различни нива на конфиденциалност.
2. AC мултиплеър, в която всички потребители да имат равен достъп до цялата информация, обработена, пуснати на медиите на различните нива на конфиденциалност.
3. Single-AU, което повдигна polzovatell достъп до цялата информация, обработвана, пуснати на медиите на различните нива на конфиденциалност.

В първата група се изолира 5 класа защитен SS: 1А, 1В, 1С, 1D, 1Е, втората и третата групи - за клас на защита 2: 2А, 2В и 3A, 3B soootvetstvenno. Клас А отговаря на максимална, клас D - AU минималната сигурност.

Защитните стени позволяват да се поддържа сигурността на вътрешната област, без да обръща внимание на неоторизирани искания от външното поле, т.е. скрининг се извършва. Това намалява уязвимостта на вътрешните обекти, като първоначално нарушителят трябва да преодолее защитна стена, където защитни механизми са конфигурирани много внимателно и строго. Освен това системата за екранировка, за разлика от универсален разположени по-прост и по тази причина по-сигурен начин. Той съдържа само тези компоненти, които са необходими за извършване на скрининг функции. Скрининг също дава възможност да се контролира потока на информация, насочена към екстериора, който помага да се поддържа вътрешна режима на поверителност. В допълнение към функциите за контрол на достъпа, защитните стени изпълняват информация за регистрация потоци.

Според нивото на защитни стени за сигурност са разделени на 5 класа. В най-ниския клас на сигурност - пети. Той се използва, за да комуникират сигурно AU клас 1E с външната среда, на четвърто - да 1G, третият - до 1V, а вторият - до 1B, най-високите - първият - до 1А.

Говорител клас 2B, 3B се използват защитни стени не са под пети клас.

Говорител клас 2А, 3А, в зависимост от важността на информацията се обработва защитни стени се използват следните класове:

• при обработката на информация, класифицирана като "тайна" - не по-малко от третия клас;
• когато обработка на информация класифицирани като "строго секретно" - не по-ниска от втори клас;
• при обработката на информация, класифицирана като "особено значение" - само първа класа.

показатели за сигурност са обобщени в таблица 1.

- не са налице изискванията на този клас;

проектиране (дизайн) документация

Ръководство за закупуване на защитна стена

Предполага се, че компанията, като попълните този формуляр и да го изпратите на производителя, ще позволи на страната да се образува най-високо качество на офертата на купувача. Попълването на тази форма, обаче, и без да се налага да го изпратите на никого, ще даде възможност на организацията да се разбере по-добре кое решение то е необходимо.

Свързани статии

• Екран в прозорци

• Настройка заключване на екрана в Xubuntu, убунту за ubuntovod

• Инсталиране плъзгащи пластмасов екран под ваната, целия си!