ВУЗ:
Составители:
Рубрика:
−
прокси-серверы (они включают шлюзы приложений и шлюзы линий связи);
−
фильтры пакетов с сохранением адресов.
Кроме того, МСЭ может быть образован шлюзом приложений и фильтром пакетов либо прокси-
сервером и фильтром пакетов с сохранением адресов. Различные типы брандмауэров показаны на рис.
2.2.
Рис. 2.2. Классификация межсетевых экранов
Фильтры пакетов.
Фильтр пакетов
–
это межсетевой экран, который проверяет каждый пакет в соот-
ветствии с правилами фильтрации, определяемыми пользователем, и решает, пропустить его или блокиро-
вать. Так, правила фильтрации могут запрещать пропуск всех запросов Telnet. На основании этого запрета
межсетевой экран будет блокировать все сообщения, в заголовках которых номер порта равен 23 (номер
порта сети Telnet по умолчанию). Правила фильтрации можно построить либо на основании IР-адресов ис-
точника или пункта назначения, либо используя номера их портов четвёртого уровня. Решения принимают-
ся на сетевом и транспортном уровнях.
Фильтры пакетов с сохранением адресов характеризуются высокой производительностью, их мож-
но использовать в существующих маршрутизаторах. К сожалению, среди всех МСЭ их возможности
наиболее ограничены. Недостаток фильтров состоит в отсутствии проверки регистрации, что мешает
обнаружить несанкционированное проникновение в сеть. Кроме того, решение о блокировке или про-
пуске сообщения принимается на основе данных об адресе либо номере порта источника и пункта на-
значения. К сожалению, номера портов можно подделать. Следовательно, злоумышленник постарается
получить доступ к сетевым ресурсам сразу же вслед за авторизованным пользователем.
Прокси-серверы. Приложение, которое переадресует пользовательский запрос к службам, поддер-
живающим стратегию безопасности, называется
прокси
-
сервером.
Любое соединение между пользова-
телем и сервером обработки запросов осуществляется через прокси-сервер. Он работает как посредник
между клиентом и сервером приложения. Поскольку прокси-сервер функционирует как пункт контроля,
в котором запрос проверяется на соответствие приложению, он работает очень интенсивно и при боль-
шом потоке запросов не успевает их обслуживать.
Различают два класса прокси-серверов: шлюзы приложений, которые работают на уровне приложе-
ний, и шлюзы линий связи, функционирующие на транспортном уровне.
Шлюзы приложений.
Шлюз приложений
–
это прокси-сервер, обеспечивающий функции контроля
доступа на уровне прикладных задач. Он действует как шлюз уровня приложений между защищённой
сетью и системой, в которой не предусмотрен режим безопасной работы. Поскольку шлюз приложений
работает на уровне прикладных задач, он детально исследует трафик, обеспечивая наибольшую защиту
сети. Так, он может препятствовать доступу в сеть определённых приложений, например РТР. С целью
учёта и проверки безопасности устройство регистрирует все операции, связанные с работой приложе-
ний.
Шлюзы приложений могут закрыть информацию. Поскольку все запросы служб в защищённой сети
проходят через шлюз приложений, то он преобразует сетевые IР-адреса и тем самым скрывает IР-адреса
корпоративной структуры. Сетевой IР-адрес каждого экспортируемого пакета – сообщения, направляе-
мого из корпоративной сети в Internet, – заменяется его собственным адресом IР. Преобразование сете-
вого адреса позволяет свободно использовать незарегистрированные IР-адреса в защищаемой сети, по-
скольку в случае выхода корпоративного клиента во внешние структуры шлюз приложений преобразует
этот адрес в необходимый.
Страницы
- « первая
- ‹ предыдущая
- …
- 35
- 36
- 37
- 38
- 39
- …
- следующая ›
- последняя »
