Составители:
Рубрика:
информации о пакетах и являются более интеллектуальными схемами
защиты сетей. Если брандмауэры работают на уровне приложений, им
доступна полная информация о сетевых пакетах, поэтому такие
брандмауэры обеспечивают наиболее надежную сетевую защиту.
Профессиональные брандмауэры захватывают каждый входящий
пакет, прежде чем он будет передан адресату и принят его операционной
системой. Благодаря этому очень сложно получить контроль над
компьютером, защищенным таким брандмауэром.
Все брандмауэры можно условно разделить на четыре категории в
соответствии с теми уровнями модели OSI, на которых они работают:
- пакетный фильтр (packet filter);
- шлюз сеансового уровня (circuit-level gateway);
- шлюз прикладного уровня (application-level gateway);
- Stateful Packet Inspection.
Пакетные фильтры
Брандмауэры типа пакетных фильтров являются самыми простыми
наименее интеллектуальными. Они работают на сетевом уровне модели
OSI или на IP-уровне стека протоколов TCP/IP. Такие брандмауэры в
обязательном порядке присутствуют в любом маршрутизаторе, поскольку
все маршрутизаторы могут работать как минимум на третьем уровне
модели OSI.
В пакетных фильтрах каждый пакет, прежде чем быть переданным,
анализируется на предмет соответствия критериям передачи или
блокировки передачи. В зависимости от пакета и сформированных
критериев передачи брандмауэр может передать пакет, отвергнуть его или
послать уведомление инициатору передачи. Критерии, или правила,
передачи пакетов могут формироваться на основе IP-адресов источника и
получателя, номеров портов источника и получателя и используемых
протоколов.
Преимуществом пакетных фильтров является их низкая цена. Кроме
того, они практически не влияют на скорость маршрутизации, то есть не
оказывают негативного влияния на производительность маршрутизатора.
Шлюзы сеансового уровня
Шлюзы сеансового уровня — это брандмауэры, работающие на
сеансовом уровне модели OSI или на уровне TCP (Transport Control
Protocol) стека протоколов TCP/IP. Они отслеживают процесс
установления TCP-соединения (организацию сеансов обмена данными
между узлами сети) и позволяют определить, является ли данный сеанс
связи легитимным. Данные, передаваемые удаленному компьютеру во
внешней сети через шлюз на сеансовом уровне, не содержат информации
об источнике передачи, то есть все выглядит таким образом, как будто
59
Страницы
- « первая
- ‹ предыдущая
- …
- 57
- 58
- 59
- 60
- 61
- …
- следующая ›
- последняя »
