ВУЗ:
Составители:
Рубрика:
172
172
Межсетевые экраны также целесообразно классифицировать по тому,
на каком уровне производится фильтрация - канальном, сетевом, транспорт-
ном или прикладном. Соответственно, можно говорить об экранирующих
концентраторах (уровень 2), маршрутизаторах (уровень 3), о транспортном
экранировании (уровень 4) и о прикладных экранах (уровень 7). Существуют
также комплексные экраны, анализирующие информацию на нескольких
уровнях.
Мы не рассматриваем экранирующие концентраторы, поскольку кон-
цептуально они мало отличаются от экранирующих маршрутизаторов.
При принятии решения “пропустить/не пропустить”, межсетевые экра-
ны могут использовать не только информацию, содержащуюся в фильтруе-
мых потоках, но и данные, полученные из окружения, например текущее
время.
Таким образом, возможности межсетевого экрана непосредственно оп-
ределяются тем, какая информация может использоваться в правилах фильт-
рации и какова может быть мощность наборов правил. Вообще говоря, чем
выше уровень в модели ISO/OSI, на котором функционирует экран, тем более
содержательная информация ему доступна и, следовательно, тем тоньше и
надежнее экран может быть сконфигурирован. В то же время фильтрация на
каждом из перечисленных выше уровней обладает своими достоинствами,
такими как дешевизна, высокая эффективность или прозрачность для пользо-
вателей. В силу этой, а также некоторых других причин, в большинстве слу-
чаев используются смешанные конфигурации, в которых объединены разно-
типные экраны. Наиболее типичным является сочетание экранирующих
маршрутизаторов и прикладного экрана.
Такая конфигурация называется экранирующей подсетью. Как правило,
сервисы, которые организация предоставляет для внешнего применения (на-
пример “представительский” Web-сервер), целесообразно выносить как раз в
экранирующую подсеть.
172
Межсетевые экраны также целесообразно классифицировать по тому,
на каком уровне производится фильтрация - канальном, сетевом, транспорт-
ном или прикладном. Соответственно, можно говорить об экранирующих
концентраторах (уровень 2), маршрутизаторах (уровень 3), о транспортном
экранировании (уровень 4) и о прикладных экранах (уровень 7). Существуют
также комплексные экраны, анализирующие информацию на нескольких
уровнях.
Мы не рассматриваем экранирующие концентраторы, поскольку кон-
цептуально они мало отличаются от экранирующих маршрутизаторов.
При принятии решения “пропустить/не пропустить”, межсетевые экра-
ны могут использовать не только информацию, содержащуюся в фильтруе-
мых потоках, но и данные, полученные из окружения, например текущее
время.
Таким образом, возможности межсетевого экрана непосредственно оп-
ределяются тем, какая информация может использоваться в правилах фильт-
рации и какова может быть мощность наборов правил. Вообще говоря, чем
выше уровень в модели ISO/OSI, на котором функционирует экран, тем более
содержательная информация ему доступна и, следовательно, тем тоньше и
надежнее экран может быть сконфигурирован. В то же время фильтрация на
каждом из перечисленных выше уровней обладает своими достоинствами,
такими как дешевизна, высокая эффективность или прозрачность для пользо-
вателей. В силу этой, а также некоторых других причин, в большинстве слу-
чаев используются смешанные конфигурации, в которых объединены разно-
типные экраны. Наиболее типичным является сочетание экранирующих
маршрутизаторов и прикладного экрана.
Такая конфигурация называется экранирующей подсетью. Как правило,
сервисы, которые организация предоставляет для внешнего применения (на-
пример “представительский” Web-сервер), целесообразно выносить как раз в
экранирующую подсеть.
172
Страницы
- « первая
- ‹ предыдущая
- …
- 170
- 171
- 172
- 173
- 174
- …
- следующая ›
- последняя »
