ВУЗ:
122
- локальная сеть видна (маршрутизируется) извне;
- правила фильтрации пакетов трудны в описании, поэтому требуется хоро-
шее знание соответствующих форматов, протоколов и технологий;
- при нарушении работоспособности брандмауэра все компьютеры за ним
становятся полностью незащищенными либо недоступными;
- аутентификацию с помощью IP-адреса можно обмануть при помощи IP-
спуфинга, когда атакующая система выдает себя
за другую, используя ее IP-
адрес;
- отсутствует аутентификация на пользовательском уровне.
2. Шлюзы прикладного уровня
Брандмауэры этого типа используют серверы конкретных сервисов (TEL-
NET, FTP, proxy server и т.д.), запускаемые на брандмауэре и пропускающие
через себя весь трафик, относящийся к данному сервису. Таким образом, между
клиентом и сервером образуются соединения: от клиента до брандмауэра и
от
брандмауэра до места назначения. Полный набор поддерживаемых серверов
различается для каждого конкретного брандмауэра, однако чаще всего встре-
чаются серверы для следующих сервисов: терминалы (Telnet, Rlogin), передача
файлов (FTP), электронная почта (SMTP, POP3), WWW (HTTP), Gopher, Finger,
новости (NNTP) и т.д.
Использование шлюзов прикладного уровня позволяет решить важную за-
дачу - скрыть от внешних пользователей структуру локальной сети, включая
информацию
в заголовках почтовых пакетов или службы доменных имен. Дру-
гим положительным качеством является возможность аутентификации.
При описании правил доступа используются такие параметры, как назва-
ние сервиса, имя пользователя, допустимый период времени использования
сервиса, компьютеры, с которых можно обращаться к сервису, схемы аутенти-
фикации. Шлюзы протоколов прикладного уровня позволяют обеспечить наи-
более высокий уровень защиты - взаимодействие с внешним миром реализуется
через небольшое число прикладных программ, полностью контролирующих
весь входящий и выходящий трафик.
К преимуществам серверов прикладного уровня следует отнести следую-
щие?
- локальная сеть невидима извне;
- при нарушении работоспособности брандмауэра пакеты перестают прохо-
дить через брандмауэр, тем самым не возникает угрозы для
защищаемых им
машин;
- защита на уровне приложений позволяет осуществлять большое количество
дополнительных проверок, снижая тем самым вероятность взлома с использо-
ванием дыр в программном обеспечении;
- при организации аутентификации на пользовательском уровне может быть
реализована система немедленного предупреждения о попытке взлома.
Недостатками этого типа шлюзов являются:
- более высокая, чем для
пакетных фильтров стоимость;
Страницы
- « первая
- ‹ предыдущая
- …
- 120
- 121
- 122
- 123
- 124
- …
- следующая ›
- последняя »
