На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

БРАНДМАУЭР  СЕТЕВОГО УРОВНЯ

Брандмауэр сетевого уровня — это экранирующий маршрутизатор или специаль­ный компьютер, который проверяет адреса пакетов, для того чтобы опреде­лить, пакет в локальную сеть или нет. Как уже говорилось, пакеты содержат IP-адреса отправителя и получателя, а также массу другой информа­ции, которую использует брандмауэр для управления доступом к пакету.
Можно, например, сконфигурировать брандмауэр сетевого уровня или маршру­тизатор таким образом, что он будет блокировать все сообщения, поступающие
от определенного сайта конкурента, и все сообщения, отправляемые серверу конкурента из вашей сети. Обычно настройка экранирующего маршрутизатора на блокирование определенных пакетов происходит с помощью файла, который содержит IP-адреса сайтов (мест назначения), чьи пакеты следует блокировать.
Когда экранирующий маршрутизатор встречает пакет, содержащий определен­ный в этом файле адрес, он отбрасывает пакет и не дает ему проникнуть в ло­кальную сеть или выйти из нее. Специалисты по разработке сетей часто называ­ют данный метод методом черного списка (blacklisting). Большая часть программ­ного обеспечения экранирующих маршрутизаторов позволяет вам внести в чер­ный список (заблокировать) сообщения от внешних сайтов (другими словами, от внешних сетей), но не от определенных пользователей или компьютеров ва­шей сети.
Помните, что пакет, поступающий экранирующему маршрутизатору, может содержать любое количество информации, например, сообщение электронной
почты, запрос Telnet на вход в систему (запрос от удаленного пользователя на доступ к вашему компьютеру). В зависимости от того, как вы составите файл экранирующего маршрутизатора, маршрутизатор сетевого уровня будет предо­ставлять различные функции для каждого типа запросов. Например, можно запрограммировать маршрутизатор так, чтобы пользователи Internet могли про­сматривать вашу Web-страницу, но не могли использовать FTP для пересылки файлов на ваш сервер или с него. Или можно запрограммировать маршрутиза­тор так, чтобы он позволял пользователям Internet загружать файлы с вашего сервера на их серверы, но не позволял загружать файлы с их серверов на ваш. Обычно экранирующий маршрутизатор программируется так, что для принятия решения о том, пропустить или не пропустить через себя пакет, им рассматри­вается следующая информация:
• Адрес источника пакета
• Адрес места назначения пакета
• Тип протокола сеанса данных (например, TCP, UDP или ICMP)
• Порт источника и порт приложения назначения для требуемой службы
• Является ли пакет запросом на соединение
Если вы правильно установили и сконфигурировали брандмауэр сетевого уров­ня, его работа будет достаточно быстрой и почти незаметной для пользователей.
Конечно, для тех, кто находится в черном списке, это будет совсем не так.
БРАНДМАУЭР  УРОВНЯ ПРИЛОЖЕНИЙ
Обычно брандмауэр уровня приложений -- это персональный который использует программное обеспечение сервера-посредника. Поэтому профессионалы часто называют его сервером-посредником (proxy-server). Название «сервер-посредник» возникло от слова «proxy» — заместитель, посредник. Сер­веры-посредники обеспечивают связь между пользователями локальной сети и серверами присоединенной (внешней) сети. Другими словами, сервер-посред­ник контролирует передачу данных между двумя сетями. В некоторых случаях он может управлять всеми сообщениями нескольких пользователей сети. Напри­мер, какой-либо пользователь сети, обладающий доступом к Internet через сер­вер-посредник, будет казаться остальным компьютерам, входящим в Internet, сервером-посредником (иначе говоря, пользователь использует TCP-адрес сервера-посредника). В сети сервер-посредник может предоставлять доступ к определенной секретной информации (например, секретная база данных) без передачи (прямым текстом) пароля клиента.
Когда вы используете брандмауэр сетевого уровня, ваша локальная сеть не под­соединена к Internet. Более того, поток данных, который перемещается по одной сети, никогда не пересекается с потоком данных, который перемещается по другой сети, поскольку сетевые кабели этих сетей не соединены друг с другом. Сервер-посредник передает отдельную копию для каждого пакета, поступающего от одной сети другой, независимо от того, содержит этот пакет входящие или выходящие данные. Брандмауэр уровня приложений эффективно маскирует ис­точник, от которого исходит запрос на соединение, и защищает вашу сеть от пользователей Internet, которые могут попытаться получить информацию о ва­шей частной сети. В главе 9 будут подробно описаны все виды опасности, которые могут возникнуть, если пользователи Internet проникнут в сеть.
Поскольку сервер-посредник распознает сетевые протоколы, можно запрограм­мировать его таким образом, что он будет отслеживать, какая именно служба вам требуется. Например, сервер-посредник можно настроить так, чтобы он позволял клиентам осуществлять загрузку с помощью ftp файлов с вашего серве­ра, но не позволит Загружать с помощью ftp файлы на ваш сервер. Серверы-посредники предоставляют множество функций доступа, таких как HTTP, Telnet, FTP. В отличие от маршрутизатора, нужно установить различные серверы-по­средники для разных сетевых служб. Наиболее популярные серверы-посредники для сетей на базе Unix и Linux - это TISInternet Firewall Toolkit и SOCKS. Для получения дополнительной информации о сервере-посреднике TIS InternetFirewall Toolkit посетите Web-сайт по адресу http://www.tis.com/docs/products/fivtk/index.html. Дополнительно о сервере-посреднике SOCKS вы узнаете, посетив Web-сайт по адресу http://www. socк. пес. com/.
Если вы используете сервер на базе Windows NT, то поддержку сервера-посредника осуществляет как Microsoft Internet Information Server, так и Netscape Commerce Server.
После того как вы установите сервер-посредник уровня приложений, пользова­тели вашей сети должны будут использовать программное обеспечение клиен­тов, поддерживающее работу с сервером-посредником. Проектировщики сетей создали множество протоколов TCP/IP, включая HTTP, FTP и другие, в кото­рых осуществлена поддержка сервера-посредника. В большинстве Web-броузе-ров пользователи могут с легкостью сконфигурировать их на поддержку сервера-посредника, используя предпочтения программного обеспечения броузеров. К сожалению, остальные протоколы Internet не способны поддерживать серверы-посредники. В таких случаях вы должны выбрать приложение для работы в Internet, основываясь на том, совместимо оно или нет со стандартными прото­колами посредников. Например, приложения, которые поддерживают прото­кол посредников SOCKS, являются хорошим выбором, если вся ваша сеть бази­руется на SOCKS. Когда вы устанавливаете брандмауэр уровня приложений, вам следует также оценить, будут ли пользователи вашей сети использовать про­граммное обеспечение клиента, которое поддерживает службы посредника.
Брандмауэр уровня приложений предоставляет возможность легко проследить типы и количество передач данных на вашем сайте. Так как брандмауэры уровня приложений устанавливают определенное физическое разделение между локаль­ной сетью и Internet, они отвечают самым высоким требованиям безопасности.
Однако, поскольку программа должна анализировать пакеты и принимать реше­ния относительно контроля доступа к ним, брандмауэры уровня приложений неизбежно уменьшают производительность сети. Другими словами, они работают значительно медленнее, чем брандмауэры сетевого уровня. Если вы решите ис­пользовать брандмауэр уровня приложений, вам следует использовать в каче­стве сервера-посредника более быстрый компьютер.
БРАНДМАУЭР УРОВНЯ связи
Брандмауэр уровня связи похож на брандмауэр уровня приложений в том смыс­ле, что оба они являются-серверами-посредниками. Различие заключается в том, что брандмауэр уровня связи не требует специальных приложений для связи между сервером-посредником и клиентом. Как уже упоминалось, брандмауэры уровня приложений требуют специального программного обеспечения сервера-посред­ника для каждой сетевой службы вроде FTP или HTTP.
Брандмауэр уровня связи создает связь между клиентом и сервером, не требуя того, чтобы приложения знали что-либо о предоставляемой службе. Другими словами, клиент и сервер сообщаются через брандмауэр уровня связи без сооб­щения с самим брандмауэром. Брандмауэры уровня связи защищают только начальный этап транзакции и не вмешиваются в ее дальнейший ход. Преимуще­ство брандмауэров уровня связи состоит в том, что они обслуживают большое
количество протоколов. Как вы уже знаете, брандмауэр уровня приложений требует отдельного посредника уровня приложений для каждого типа сервиса, который осуществляется брандмауэром. С другой стороны, если вы используете брандмауэр уровня связи для HTTP, FTP или Telnet, вам не требуется менять существующие приложения или добавлять новые серверы-посредники для каж­дой службы. Брандмауэр уровня связи позволяет пользователям работу с имею­щимся программным обеспечением. В дополнение к этому брандмауэры уровня связи используют только один сервер-посредник. Как и следует ожидать, ис­пользование одного сервера-посредника оказывается значительно легче, чем установка нескольких. Для получения дополнительной информации о брандма­уэрах уровня связи посетите Web-сайт по адресу http://www8.zdnet.com/pcweek/ reviews/1007/07firer.html.
АРХИТЕКТУРЫ БРАНДМАУЭРОВ
При создании брандмауэра вам следует определить, какие виды данных бранд­мауэр будет пропускать, а какие нет. Как вы уже знаете, передачу данных можно контролировать с помощью маршрутизатора, который экранирует избранные па­кеты, или с помощью программного обеспечения сервера-посредника, которое имеется на компьютере. На самом деле, по мере усложнения требований, мож­но сконструировать брандмауэр таким образом, что он будет включать обе эти конфигурации. Другими словами, наилучшей защитой для сети будет являться использование в брандмауэре как маршрутизатора, так и сервера-посредника.
Три наиболее популярных архитектуры брандмауэров — это брандмауэр сдвоенно­го хоста, брандмауэр экранирующего хоста и брандмауэр экранирующей подсети. Брандмауэры второго и третьего типов используют комбинацию маршрутизато­ров и серверов-посредников, в то время как брандмауэр сдвоенного хоста использует две отдельные сетевые карты. В следующих разделах подробно опи­сан каждый из них.
БРАНДМАУЭР СДВОЕННОГО ХОСТА
Брандмауэр сдвоенного хоста — это простое, но весьма надежное устройство. При использовании этого типа брандмауэров один из хостов служит в качестве разделительной полосы между локальной сетью и Internet. Этот компьютер ис­пользует две сетевые карты для соединения с сетями. При использовании бранд­мауэра сдвоенного хоста нужно отключить у хоста функции маршрутизатора, чтобы он не смог осуществлять соединение сетей с помощью программного обес­печения.
Наибольшим недостатком в этой конфигурации является то, что пользователь может случайно включить средства маршрутизации, создав тем самым брешь в системе защиты брандмауэра. платы
хост с двумя сетевыми платами
Брандмауэр сдвоенного хоста.
Брандмауэры этого типа работают, используя набор серверов-посредников уровня приложений или уровня связи. Как уже было сказано выше, программное обес­печение сервера-посредника контролирует поток пакетов от одной сети к дру­гой. Поскольку хост является сдвоенным (связанным с обеими сетями), бранд­мауэр видит пакеты в обеих сетях. Брандмауэр использует программное обеспе­чение сервера-посредника для контроля передачи данных между двумя сетями — будь это две локальные сети или локальная сеть и Internet.
Как вы уже знаете, при использовании брандмауэра сдвоенного хоста нужно отключать внутреннюю маршрутизацию. С отключением маршрутизации данные должны будут проходить через заслонку — уровень приложений (имеется в виду, что он находится на верху стека протоколов), и этот путь является единственным между сетями или сетевыми сегментами. Сетевые сегменты — это любые части сети, которые являются в некоторой степени независимыми и замкнутыми. На­пример, можно разделить сеть в офисе компании на сегмент продаж и сегмент реализации и разделить эти два сегмента с помощью маршрутизатора или бранд­мауэра.
Однако если разрешить открытую стандартную внутреннюю маршрутизацию на главном компьютере, брандмауэр становится бесполезным. Например, если
установить внутреннюю маршрутизацию так, чтобы она разрешала пересылку IP, данные будут свободно обходить уровень приложений брандмауэра сдвоен­ного хоста. обходят брандмауэр в сдвоенном хосте.
Сети, работающие на основе Unix, особенно восприимчивы ко всем уязвимым местам брандмауэров сдвоенного хоста. Некоторые из версий Unix (особенно
Berkeley Unix) включают функции маршрутизации по умолчанию. Поэтому при работе в сетях на базе Unix следует убедиться в том, что операционная система отключила все функции маршрутизации в брандмауэре сдвоенного хоста. Если это не так, то вам следует перестроить ядро Unix в машине-брандмауэре, для того чтобы операционная система отключила эти функции.
БРАНДМАУЭР ЭКРАНИРУЮЩЕГО ХОСТА
Многие проектировщики сетей считают, что этот тип брандмауэров обеспечивает большую безопасность, чем брандмауэр сдвоенного хоста. При создании бранд­мауэра экранирующего хоста в сеть добавляется экранирующий маршрутизатор, а хост помешается вне доступа из Internet (другими словами, хост не связан непосредственно с Internet). Эта конфигурация представляет собой очень эф­фективный и легко устанавливаемый брандмауэр. Он продемонстрирован на ри­сунке.
Как видно из рисунка, экранирующий маршрутизатор соединяет Internet и вашу сеть и в то же самое время фильтрует проходящие через него пакеты всех типов.
Нужно сконфигурировать экранирующий маршрутизатор таким образом, чтобы ему был «виден» только один компьютер сети — хост. Пользователи сети, кото­рые захотят выйти в Internet, будут вынуждены проходить через сервер. Таким образом, внутренним пользователям сети будет казаться, что они имеют непо­средственный выход в а сервер будет ограничивать доступ в сеть вне­шних пользователей.
БРАНДМАУЭР ЭКРАНИРУЮЩЕЙ ПОДСЕТИ
Архитектура брандмауэра экранирующей подсети еще более изолирует локальную сеть от Internet. В его состав входят два отдельных экранирующих маршрутиза­тора и сервер-посредник. При конструировании брандмауэра экранирующейподсети помещается в сеть, состоящую из двух экранирующих маршрутизаторов. Один из них контролирует передачу данных по локальной сети, а второй - входящие и выходящие из Internet сообщения. пока­зан брандмауэр экранирующей подсети.
Брандмауэр экранирующей подсети.
Брандмауэр этого типа обеспечивает наиболее мощную защиту от посторонних вмешательств. В этом случае хост помещается в отдельную сеть, что ограничи­вает возможность атак и сводит к минимуму вред, который может быть нанесен внутренней сети. В дополнение к этому маршрутизатор, находящийся в ло­кальной сети, обеспечивает защиту от внутреннего доступа к хосту.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика