В раздела по въпроса Какво е защитна стена и къде може да бъде разположена? дадено от автора Кривонай-добрият отговор е Това е защита от всякакви опити за проникване във вашия компютър и от всякакви вредни програми. Ако е стандартен Windows, можете да го намерите в контролния панел (защитна стена)

Отговор от Смучете[гуру]
Рестартирайте компютъра си

Отговор от Промиване[гуру]
readme read

Отговор от Зъл хамстер[гуру]
Противопожарната стена е преведена. Той е вграден в XP Service Pack 2. Вижте Център за сигурност.

Отговор от Зайчена[майстор]
Защитната стена е пожар на различни устройства, мисля, че е във Victory Park, но може и да греша.

Отговор от *lix[експерт]
Защитна стена или защитна стена (жарг: защитна стена или защитна стена от английски firewall) - комплекс от хардуер и/или софтуер, който контролира и филтрира преминаващите през него мрежови пакетина различни нива на модела OSI в съответствие с определени правила. Основната задача на защитната стена е да защитава компютърни мрежи или отделни възли от неоторизиран достъп. Също така защитните стени често се наричат ​​филтри, тъй като тяхната основна задача е да не допускат (филтрират) пакети, които не отговарят на критериите, дефинирани в конфигурацията.

Отговор от Потребителят е изтрит[новак]
защитна стена: а) софтуер - програма за защита и наблюдение на мрежовата активност на компютър, т.е. от атаки от мрежата и други подобни.
б) хардуер - ако не греша, същото нещо, не е програма, а външно устройство, между другото, полезно нещо :)
защитната стена изглежда е същото нещо

31окт

Какво е защитна стена (защитна стена)

Защитна стенаили Защитната стена екомпютърна програма, чиято цел е да защити вашия компютър от вируси и. Защитната стена следи мрежовия трафик, влизащ в операционната система, и помага за спирането на зловреден софтуер, който се опитва да получи достъп до личната информация на потребителя. Освен това термините защитна стена и защитна стена имат друго определение. Тези термини обикновено се използват за описване на огнеустойчиви главни стени, които на теория трябва да предпазват къщите от пожари в гъсто застроени райони.

Какво е защитна стена (Firewall) - с прости думи.

С прости думи, Защитна стена (Защитна стена) еспециална защита компютърни програми, които непрекъснато сканират данни, получени и изпратени в Интернет. Образно казано, това са виртуални стени, които предпазват компютъра от опасностите в Интернет: вируси, руткитове, шпионски софтуер и др. Въпреки че си струва да се отбележи, че защитната стена не е единственият или най-надежден източник на защита за вашия компютър. Като правило, за да се осигури най-голяма сигурност, защитната стена (Firewall) винаги работи заедно с антивирусен и антишпионски софтуер.

В повечето случаи защитната стена се инсталира директно на работната машина (PC), но понякога, както в случаите на различни офиси, където има много компютри, защитната стена се инсталира като физическо устройство ( но повече за това по-късно). Потребители на операционната зала Windows системи, няма нужда сами да инсталирате защитна стена ( отделно), тъй като операционната система първоначално има свой собствен - Защитна стена на Windows.

Защитна стена - как работи, с прости думи.

Без да навлизаме в сложни технически подробности, работата на защитната стена може да бъде описана по следния начин. Когато потребителят стартира програма, свързана с интернет, като например браузър или компютърна игра, компютърът се свързва с отдалечен уебсайт и изпраща информация за компютърната система на потребителя. Въпреки това, преди данните да бъдат изпратени или получени, те преминават през защитна стена ( защитна стена), където в зависимост от зададените параметри, данните ще бъдат пропуснати или спрени.

Образно казано, в процеса на работата си защитната стена играе ролята на своеобразен граничар или митничар, който следи всичко, което се изнася и внася в компютъра. Освен това неговите отговорности включват проверка на пакетите данни за съответствие с необходимите параметри. По този начин защитната стена може да помогне за спиране на стартирането на съществуващ зловреден софтуер, като троянски коне и друг шпионски софтуер. С прости думи, екранът просто няма да предаде данните, събрани от тези програми, в Интернет. Но това, разбира се, е всичко на теория, тъй като такива злонамерени програми непрекъснато се подобряват и се учат да мамят защитните стени.

Какво е хардуерна защитна стена и как да защитите мрежата си?

Хардуерната защитна стена ефизическо устройство, което свързва компютър или мрежа с интернет, използвайки определени усъвършенствани техники за защита срещу неоторизиран достъп. Кабелни рутери, широколентови шлюзове и безжични рутеривключват хардуерни защитни стени, които защитават всеки компютър в мрежата. Хардуерните защитни стени използват различни типове сигурност за защита на мрежата: филтриране на пакети, проверка на пакети с постоянно състояние, преобразуване на мрежови адреси и шлюзове на ниво приложение.

Защитна стена за филтриране на пакетипроверява всички пакети данни, изпратени към и от системата. Той препраща данни въз основа на набор от правила, определени от мрежовия администратор. Тази хардуерна защитна стена проверява заглавката на пакета и филтрира пакетите въз основа на адреса на източника, адреса на местоназначението и порта. Ако даден пакет не отговаря на правилата или отговаря на критериите за блокиране, не му е позволено да премине през компютъра или мрежата.

Динамично филтриране на пакетиили проверка на пакети със състояние, това е по-сложен метод за сигурност. Тази защитна стена следи откъде идва пакетът, за да разбере какво да прави с него. Той проверява дали данните са изпратени в отговор на искане за повече информация или просто са се появили сами. Пакетите, които не съответстват на определеното състояние на връзка, се отхвърлят.

Друг начин за гарантиране на сигурността е маршрутизатор за преобразуване на мрежови адреси (NAT). Той скрива компютър или мрежа от компютри от външния свят, представяйки един на обществеността за достъп до Интернет. IP адресът на защитната стена е единственият валиден адрес в този сценарий и е единственият IP адрес, представен на всички компютри в мрежата. На всеки компютър от вътрешната страна на мрежата се присвоява собствен IP адрес, валиден само в мрежата. Тази опция за сигурност е много ефективна, защото ви позволява да използвате само един публичен IP адрес за изпращане и получаване на информационни пакети. Което от своя страна значително минимизира възможността за въвеждане на зловреден софтуер. Тази хардуерна защитна стена обикновено се внедрява на отделен компютър в мрежата, чиято единствена функция е да работи като . Той е доста сложен и се счита за един от най-сигурните видове хардуерни защитни стени.

Основни проблеми със защитните стени.

Има няколко общи проблемипроблеми, които могат да възникнат в резултат на използването на защитна стена. Най-честият проблем е, че освен зловреден софтуер, защитната стена често блокира нормалния трафик, от който се нуждаем. Някои уебсайтове може да имат ограничен достъпили не се отварят, защото са били погрешно диагностицирани. Доста често възникват проблеми с мрежови игри, тъй като защитната стена често разпознава такъв трафик като злонамерен и блокира стартирането на програми. Въз основа на това трябва да се отбележи, че въпреки че защитната стена е много полезно нещо, тя трябва да бъде конфигурирана правилно, така че да не разваля живота със своите забрани.

Категории: , // от

Създаването на сигурна система е сложна задача. Една от мерките за сигурност е използването на защитни стени (известни още като защитни стени и защитни стени). Както всички знаем, защитните стени се предлагат в софтуер и хардуер. Възможностите както на първото, така и на второто не са неограничени. В тази статия ще се опитаме да разберем какво могат и какво не могат да правят двата типа защитни стени.

Софтуерни и хардуерни защитни стени

Първата стъпка е да се говори за това какво е софтуерно решение и какво е хардуерно решение. Всички сме свикнали с факта, че ако купувате някакъв вид хардуер, това решение се нарича хардуер, а ако е кутия със софтуер, това е знак за софтуерно решение. Според нас разликата между хардуерно и софтуерно решение е доста произволна. Какво е желязна кутия? По същество това е същият компютър, макар и с различна архитектура, макар и с малко ограничени възможности (не можете да свържете клавиатура и монитор към него, той е „пригоден“ да изпълнява една функция), на който е инсталиран софтуерът. Софтуерът е някаква версия на UNIX система с „уеб лице“. Функциите на хардуерната защитна стена зависят от използвания пакетен филтър (отново, това е софтуер) и самото „уеб лице“. Всички хардуерни защитни стени могат да бъдат „префлашнати“, т.е. по същество просто заменени със софтуер. И с истинския фърмуер (който в добрите стари времена се правеше с помощта на програмист), процесът на актуализиране на „фърмуера“ на съвременните устройства няма много общо. Новият софтуер просто се записва на флаш устройство в хардуера. Софтуерната защитна стена е софтуер, който е инсталиран на съществуващ обикновен компютър, но в случай на хардуерна защитна стена не можете да го направите без софтуер, а в случай на софтуерна защитна стена не можете да го направите без хардуер. Ето защо границата между тези видове защитни стени е много произволна.
Най-голямата разлика между софтуерната и хардуерната защитна стена дори не е във функционалността. Никой не ви притеснява да изберете хардуерна защитна стена с необходимите функции. Разликата е в начина на използване. По правило софтуерната защитна стена се инсталира на всеки компютър в мрежата (на всеки сървър и на всяка работна станция), а хардуерната защитна стена осигурява защита не за отделен компютър, а за цялата мрежа наведнъж. Разбира се, никой няма да ви попречи да инсталирате хардуерна защитна стена за всеки компютър, но всичко се свежда до пари. Като се има предвид цената на хардуера, малко вероятно е да искате да защитите всеки компютърен хардуер със защитна стена.

Предимства на хардуерните защитни стени

Хардуерните защитни стени имат следните предимства:

• Относителна лекота на внедряване и използване. Свързах го, включих го, зададох параметрите през уеб интерфейса и забравих за съществуването му. Съвременният софтуер обаче защитни стениподдръжка, която също няма да отнеме много време. Но, първо, не всички защитни стени поддържат ActiveDirectory, и второ, предприятията не винаги използват Windows.
• Размери и консумация на енергия. Обикновено хардуерните защитни стени са с по-малък размер и изискват по-малко енергия. Консумацията на енергия обаче не винаги играе роля, но размерите са важни. Малка компактна кутия е едно, огромна „системна единица“ е друго.
• производителност. Обикновено производителността на хардуерното решение е по-висока. Макар и само защото хардуерната защитна стена е ангажирана само с непосредствената си функция - филтриране на пакети. Той не изпълнява никакви процеси или услуги на трети страни, както често се случва със софтуерните защитни стени. Само си представете, че сте организирали софтуерен шлюз (със защитна стена и NAT функции), базиран на сървър с Windows сървър. Малко вероятно е да отделите цял сървър само за защитна стена и NAT. Това е ирационално. Най-вероятно на него ще работят други услуги - същият AD, DNS и др. Вече мълча за СУБД и пощенските услуги.
• Надеждност. Смята се, че хардуерните решения са по-надеждни (именно защото рядко изпълняват услуги на трети страни). Но никой не ви спира да изберете отделна системна единица (дори и да не е най-модерната), да инсталирате същата FreeBSD (една от най-надеждните операционни системи в света) върху нея и да настроите правилата на защитната стена. Мисля, че надеждността на такова решение няма да бъде по-ниска, отколкото в случай на хардуерна защитна стена. Но такава задача изисква напреднали квалификации на администратора, поради което по-рано беше отбелязано, че хардуерните решения са по-лесни за използване.

Предимства на софтуерните защитни стени

Към ползите софтуерни решенияотнасям се:

• Цена. Цената на софтуерната защитна стена обикновено е по-ниска от цената на хардуера. На цената на средно хардуерно решение можете да защитите цялата си мрежа със софтуерна защитна стена.
• Възможност за защита на вашата мрежа отвътре. Заплахите не винаги идват отвън. В локалната мрежа има много заплахи. Атаките могат да идват от вътрешни компютри. Всеки потребител на LAN, например, недоволен от компанията, може да инициира атака. Както вече беше отбелязано, можете, разбира се, да използвате отделен хардуерен рутер, за да защитите всеки отделен възел, но на практика не сме срещали такива решения. Те са твърде ирационални.
• Възможност за разграничаване на сегменти от локална мрежа без разпределяне на подмрежи. В повечето случаи към локалната мрежа са свързани компютри от различни отдели, например счетоводство, финансов отдел, ИТ отдел и др. Тези компютри не винаги трябва да комуникират помежду си. Как да различим ISPDn? Първото решение е да създадете няколко подмрежи (например 192.168.1.0, 192.168.2.0 и т.н.) и да конфигурирате маршрутизирането между тези подмрежи по подходящ начин. Това не означава, че решението е много сложно, но все пак е по-сложно от използването на софтуерна защитна стена. И не винаги е възможно да се разграничат подмрежите по една или друга причина. Второто решение е да използвате защитна стена, предназначена специално за защита на ISPD (не всички софтуерни защитни стени го улесняват). В този случай, дори и в най-голямата мрежа, ще извършите ISPD диференциране за няколко минути и няма да се налага да се занимавате с настройките за маршрутизиране.
• Възможност за внедряване на съществуващи сървъри. Няма смисъл да купувате друг хардуер, ако има достатъчно компютърен парк. Достатъчно е да разположите защитна стена на един от сървърите и да конфигурирате NAT и маршрутизиране. Обикновено и двете от тези операции се извършват с помощта на GUIзащитна стена и се внедряват с няколко клика на мишката на правилните места.
• Разширена функционалност. По правило функционалността на софтуерните защитни стени е по-широка от тази на техните хардуерни колеги. Така че някои защитни стени предоставят функции за балансиране на натоварването, IDS/IPS и подобни полезни неща, които могат да подобрят цялостната сигурност на системата за обработка на данни. Да, не всички софтуерни защитни стени имат тези функции, но нищо не ви пречи да изберете защитната стена, която отговаря на вашите нужди. Разбира се, някои хардуерни системи също имат такива функции. Например, StoneGate IPS осигурява функционалността на система за предотвратяване на проникване, но цената на такива решения не винаги ще зарадва ръководството на предприятието. Има и хардуерни load balancers, но те са дори по-скъпи от хардуерните IPS.

Няма да пишем за недостатъците - те следват от предимствата. Предимствата на един тип защитна стена обикновено са недостатъците на друг тип. Например, недостатъците на хардуерните решения включват цената и невъзможността за защита на локалната мрежа отвътре, а недостатъците на софтуерните решения включват сложността на внедряване и използване (въпреки че, както беше отбелязано, всичко е относително).
Има обаче един недостатък на хардуерните защитни стени, който си струва да се спомене. По правило всички хардуерни защитни стени имат бутон за нулиране, натискайки който можете да върнете настройките по подразбиране. Не е необходима специална квалификация, за да натиснете този бутон. Но за да промените настройките на софтуерна защитна стена, трябва най-малко да получите администраторски права. С натискането на един бутон недоволен служител може да компрометира сигурността на цялото предприятие (или да остави предприятието без достъп до интернет, което е още по-добре). Ето защо, когато използвате хардуерни решения, трябва да подходите по-отговорно към физическата сигурност на самите устройства.

Битката на защитните стени

След това ще се опитаме да разберем коя защитна стена осигурява по-добра защита: софтуер или хардуер. Хардуерът ще бъде защитната стена, вградена в рутера от TP-Link. Като софтуер - Cybersafe Firewall.
За да тестваме защитните стени, ще използваме помощни програми от сайта www.testmypcsecurity.com, а именно Jumper, DNStester и CPIL Suite (разработен от Comodo). Едно предупреждение: за разлика от сертифицирани инструменти като XSpider, тези помощни програми използват същите техники като зловредния софтуер, който симулират. Ето защо по време на тестването (ако искате да повторите резултатите) всички инструменти за антивирусна защита трябва да бъдат деактивирани.
Може, разбира се, да се обмисли XSpider, но този тест би бил твърде скучен и безинтересен за крайния читател. И кой може да си представи нападател да използва сертифициран скенер?
Накратко за помощните програми:

• Jumper - позволява ви да заобиколите защитната стена, като използвате методите „инжектиране на DLL“ и „инжектиране на нишка“.
• DNS тестер - използва рекурсивна DNS заявка за заобикаляне на защитната стена.
• CPIL Suite - набор от тестове (3 теста) от Comodo.

Всички тези помощни програми ще бъдат стартирани отвътре, т.е. директно от компютрите, които се тестват. Но навън ще сканираме с добрия стар nmap.
Така че имаме два компютъра. И двете са свързани с интернет. Единият е свързан чрез хардуерна защитна стена (захранвана от TP-Link рутер) и няма инсталирана софтуерна защитна стена или антивирусна програма. Вторият компютър е свързан директно към интернет и е защитен от софтуерната защитна стена CyberSafe. Първият компютър има инсталиран Windows 7, вторият е с Windows Server 2008 R2.

Тест 1: Джъмпър

Jumper, стартиран с администраторски права (честно казано, много потребители работят с такива права), успешно изпълни задачата си в Windows 7 (фиг. 1). Нищо не можеше да го спре - в края на краищата в нашата система не беше инсталиран нито един инструмент за сигурност, нито антивирусна, нито защитна стена, нито IDS/IPS, а хардуерната защитна стена не се интересува какво се случва на клиентските компютри. Той по никакъв начин не може да повлияе на случващото се.

Ориз. 1. Jumper в Windows 7

За да бъдем честни, трябва да се отбележи, че ако потребителят не е работил като администратор, тогава нищо нямаше да работи за Jumper.
В Windows Server 2008 Jumper дори не стартира, но това не е заслуга на защитната стена, а на самата операционна система. Следователно има равенство между защитните стени, тъй като защитата срещу тази уязвимост може да бъде осигурена от самата операционна система.

Тест 2. DNStester

Целта на този тест е да изпрати рекурсивна DNS заявка. По подразбиране, започвайки с Windows 2000, услугата Windows DNSКлиентът приема и управлява всички DNS заявки. По този начин всички DNS заявки от всички приложения в системата ще бъдат изпратени до DNS клиента (SVCHOST.EXE). Самата DNS заявка се прави директно от DNS клиента. DNStester използва рекурсивна DNS заявка, за да заобиколи защитната стена, с други думи, услугата се обажда сама.

Ориз. 2. Тестът е неуспешен

Ако настройките на защитната стена са оставени по подразбиране, тогава нито софтуерната, нито хардуерната защитна стена могат да се справят с този тест. Ясно е, че хардуерната защитна стена не се интересува какво се случва на работната станция, така че не може да се очаква да защити системата от тази уязвимост. Във всеки случай, с настройките по подразбиране (и те практически не са се променили).
Но това не означава, че Cybersafe Firewall е лоша защитна стена. Когато нивото на сигурност беше повишено до трето, тестът беше напълно преминат (виж Фиг. 3). Програмата съобщи за грешка в DNS заявката. За да се уверите, че това не е грешка на Windows Server 2008, тестът беше повторен на машина с Windows 7.

Ориз. 3. Тестът премина (DNStest)

За да бъдем честни, трябва да се отбележи, че ако на компютъра е инсталирана антивирусна програма, най-вероятно това приложение ще бъде поставено под карантина, но все пак ще успее да изпрати една заявка (фиг. 4).

Ориз. 4. Comodo Antivirus блокира нежелано приложение

Тест 3. Тестов пакет от Comodo (CPIL)

И така, хардуерната защитна стена с настройки по подразбиране не успя и на трите CPIL теста (ако щракнете върху Разкажете ми повече за теста, ще се появи прозорец, обясняващ принципа на теста). Но той ги провали по някакъв странен начин. Преминаването на теста включва следната последователност от действия:

1. Трябва да въведете предадените данни. Въведохме стойностите 1, 2, 3 съответно за тестове 1, 2 и 3.
2. След това натиснете един от бутоните за тестово повикване (фиг. 5)

Ориз. 5.CPIL Test Suite

След това трябва да се отвори браузър с резултатите от теста. В допълнение към съобщението, че тестът е неуспешен, страницата с резултати трябва да показва въведената от нас стойност, която е предадена на скрипта като GET параметър (вижте Фигура 6). Вижда се, че стойността (2 в адресната лента) е предадена, но скриптът не я показва. Грешка в скрипта на Comodo? Разбира се, всеки прави грешки, но доверието ни в този тест намаля.

Ориз. 6. Резултат от теста (хардуерна защитна стена)

Но когато използвате софтуерна защитна стена, CPIL тестовете дори не се изпълняват. При натискане на бутони 1 - 3 не се случи нищо (фиг. 7). Наистина ли е виновен Windows Server 2008, а не защитната стена? Решихме да го проверим. Следователно Cybersafe Firewall е инсталиран на компютър с Windows 7, защитен от хардуерна защитна стена. Но в Windows 7 помощната програма успя да пробие защитата на защитната стена. Първият и третият тест бяха издържани, но когато натиснахме бутона Test 2, трябваше да съзерцаваме прозореца Браузър Chrome, подобно на показаното на фиг. 6.

Ориз. 7. Когато щракнете върху бутона, нищо не се случва (виждате, че антивирусната програма е деактивирана)

Ориз. 8. Тестове 1 и 3 са издържани

Тест 4. Сканиране отвън

Преди това се опитахме да пробием защитната стена отвътре. Сега нека се опитаме да сканираме системи, защитени от защитна стена. Ще сканираме nmap скенер. Никой не се усъмни в резултатите от хардуерната защитна стена - всичко беше затворено и беше невъзможно дори да се определи типът на тестваната система (фиг. 9 и 10). Във всички следващи илюстрации IP адресите са скрити, защото са постоянни - така че никой да няма желание да повтори теста на нашите адреси.

Ориз. 9. Сканирайте вашата хардуерна защитна стена

Ориз. 10. Сканиране на хардуерна защитна стена (подробности за хоста)

Сега нека се опитаме да сканираме система, защитена от софтуерна защитна стена. Ясно е, че по подразбиране софтуерната защитна стена ще позволи всичко и всичко (фиг. 11).

Ориз. единадесет. Отворени портове(софтуерна защитна стена, настройки по подразбиране)

Ориз. 12. Определен тип система (софтуерна защитна стена, настройки по подразбиране)

Когато правилата са настроени, всичко си идва на мястото (фиг. 13). Както можете да видите, софтуерната защитна стена гарантира сигурността на защитената система не по-лошо от нейния „хардуерен“ аналог.

Ориз. 13. Няма отворени портове

Атаки в локалната мрежа

Защо е толкова важно да се осигури защита в локалната мрежа? Много администратори погрешно не обръщат внимание на защитата отвътре, но напразно. В края на краищата много атаки могат да бъдат реализирани в локална мрежа. Нека разгледаме някои от тях.

ARP атака

Преди да се свърже с мрежата, компютърът изпраща ARP заявка, за да разбере дали IP адресът на компютъра е зает. Когато в локалната мрежа има няколко Windows машини с един и същ IP адрес, потребителят вижда прозорец със съобщение, че IP адресът е зает (използван от друг компютър). Windows знае, че даден IP адрес е зает чрез ARP протокола.
ARP атака включва нападател, който наводнява машини, които работят Windows контрол. Освен това до всеки компютър ще бъдат изпратени стотици заявки, в резултат на което потребителят няма да може да затвори постоянно изскачащите прозорци и ще бъде принуден поне да рестартира компютъра.
Ситуацията не е много приятна. Но наличието на защитна стена на работна станция ще отмени всички усилия на нападателя.

DoS атаки, включително различни flood атаки

DoS атаките (отказни атаки) са възможни не само в интернет, но и в локални мрежи. Различават се само методите на такива атаки. Природата на DoS атаките може да бъде всякаква, но е невъзможно да се борим с тях без защитна стена, инсталирана на всяка машина в локалната мрежа.
Един тип DoS атака, която може да се използва успешно в локална мрежа, е ICMP наводнение. Защитна стена CyberSafe Firewall съдържа специални инструменти за борба с този тип атака (фиг. 14). Той също така съдържа инструменти за балансиране на натоварването на сървъра, които също могат да помогнат в борбата с DoS атаките.

Ориз. 14. ICMP сигурност (защитна стена CyberSafe)

Промяна на MAC адреса

В локална мрежа компютрите се идентифицират не само по IP адрес, но и по MAC адрес. Някои администратори позволяват достъп до определени ресурси чрез MAC адрес, тъй като IP адресите обикновено са динамични и се издават от DHCP. Това решение не е много оправдано, тъй като MAC адресът се променя много лесно. За съжаление, не винаги е възможно да се защитите срещу промени на MAC адреса с помощта на защитна стена. Не всяка защитна стена проследява промените на MAC адресите, тъй като те обикновено са свързани с IP адреси. Най-ефективното решение тук е да използвате комутатор, който ви позволява да свържете MAC адреса към конкретен физически порт на комутатора. Почти невъзможно е да се измами такава защита, но и струва много. Вярно е, че също има софтуерни методисе борят с промените на MAC адресите, но те са по-малко ефективни. Ако се интересувате от защитна стена, която може да разпознае подправяне на MAC адрес, обърнете внимание на Kaspersky Internet Security 8.0. Вярно е, че последният може да разпознае само замяната на MAC адреса на шлюза. Но той напълно разпознава подмяната на IP адреса на компютъра и IP наводняването.

Подправяне на IP адрес

В мрежи, където достъпът до ресурси е ограничен от IP адреси, атакуващият може да промени IP адреса и да получи достъп до защитения ресурс. При използване на защитната стена Cybersafe Firewall такъв сценарий е невъзможен, тъй като няма обвързване към IP адреси дори за самата защитна стена. Дори ако промените IP адреса на компютъра, той все още няма да бъде включен в ISDN, който нападателят се опитва да проникне.

Маршрутизиране на атаки

Този тип атака се основава на изпращане на „фалшиви“ ICMP пакети до жертвата. Същността на тази атака е да фалшифицира адреса на шлюза - на жертвата се изпраща ICMP пакет, който го информира за по-кратък маршрут. Но всъщност пакетите няма да преминат през новия рутер, а през компютъра на нападателя. Както беше отбелязано по-рано, Cybersafe Firewall осигурява ICMP сигурност. По същия начин могат да се използват други защитни стени.

Има много други атаки в локалните мрежи - както снифъри, така и различни атаки, използващи DNS. Както и да е, използването на софтуерни защитни стени, инсталирани на всяка работна станция, може значително да подобри сигурността.

заключения

защита информационна систематрябва да бъде изчерпателна - това включва софтуерни и хардуерни защитни стени, антивируси и правилна настройкасамата система. Що се отнася до нашата конфронтация между софтуерни и хардуерни защитни стени, първите се използват ефективно за защита на всеки мрежов възел, а вторите се използват за защита на цялата мрежа като цяло. Хардуерната защитна стена не може да осигури защита за всяка отделна работна станция, безсилна е срещу атаки в мрежата и също така не може да прави разлика между ISDN, което трябва да се направи в контекста на защита на личните данни.

Тагове:

• защитна стена
• защитна стена

Добави тагове

Създаването на сигурна система е сложна задача. Една от мерките за сигурност е използването на защитни стени (известни още като защитни стени и защитни стени). Както всички знаем, защитните стени се предлагат в софтуер и хардуер. Възможностите както на първото, така и на второто не са неограничени. В тази статия ще се опитаме да разберем какво могат и какво не могат да правят двата типа защитни стени.

Софтуерни и хардуерни защитни стени

Първата стъпка е да се говори за това какво е софтуерно решение и какво е хардуерно решение. Всички сме свикнали с факта, че ако купувате някакъв вид хардуер, това решение се нарича хардуер, а ако е кутия със софтуер, това е знак за софтуерно решение. Според нас разликата между хардуерно и софтуерно решение е доста произволна. Какво е желязна кутия? По същество това е същият компютър, макар и с различна архитектура, макар и с малко ограничени възможности (не можете да свържете клавиатура и монитор към него, той е „пригоден“ да изпълнява една функция), на който е инсталиран софтуерът. Софтуерът е някаква версия на UNIX система с „уеб лице“. Функциите на хардуерната защитна стена зависят от използвания пакетен филтър (отново, това е софтуер) и самото „уеб лице“. Всички хардуерни защитни стени могат да бъдат „префлашнати“, т.е. по същество просто заменени със софтуер. И с истинския фърмуер (който в добрите стари времена се правеше с помощта на програмист), процесът на актуализиране на „фърмуера“ на съвременните устройства няма много общо. Новият софтуер просто се записва на флаш устройство в хардуера. Софтуерната защитна стена е софтуер, който е инсталиран на съществуващ обикновен компютър, но в случай на хардуерна защитна стена не можете да го направите без софтуер, а в случай на софтуерна защитна стена не можете да го направите без хардуер. Ето защо границата между тези видове защитни стени е много произволна.
Най-голямата разлика между софтуерната и хардуерната защитна стена дори не е във функционалността. Никой не ви притеснява да изберете хардуерна защитна стена с необходимите функции. Разликата е в начина на използване. По правило софтуерната защитна стена се инсталира на всеки компютър в мрежата (на всеки сървър и на всяка работна станция), а хардуерната защитна стена осигурява защита не за отделен компютър, а за цялата мрежа наведнъж. Разбира се, никой няма да ви попречи да инсталирате хардуерна защитна стена за всеки компютър, но всичко се свежда до пари. Като се има предвид цената на хардуера, малко вероятно е да искате да защитите всеки компютърен хардуер със защитна стена.

Предимства на хардуерните защитни стени

Хардуерните защитни стени имат следните предимства:

• Относителна лекота на внедряване и използване. Свързах го, включих го, зададох параметрите през уеб интерфейса и забравих за съществуването му. Съвременните софтуерни защитни стени обаче поддържат внедряване чрез ActiveDirectory, което също не отнема много време. Но, първо, не всички защитни стени поддържат ActiveDirectory, и второ, предприятията не винаги използват Windows.
• Размери и консумация на енергия. Обикновено хардуерните защитни стени са с по-малък размер и изискват по-малко енергия. Консумацията на енергия обаче не винаги играе роля, но размерите са важни. Малка компактна кутия е едно, огромна „системна единица“ е друго.
• производителност. Обикновено производителността на хардуерното решение е по-висока. Макар и само защото хардуерната защитна стена е ангажирана само с непосредствената си функция - филтриране на пакети. Той не изпълнява никакви процеси или услуги на трети страни, както често се случва със софтуерните защитни стени. Само си представете, че сте организирали софтуерен шлюз (със защитна стена и NAT функции), базиран на сървър, работещ под Windows Server. Малко вероятно е да отделите цял сървър само за защитна стена и NAT. Това е ирационално. Най-вероятно на него ще работят други услуги - същият AD, DNS и др. Вече мълча за СУБД и пощенските услуги.
• Надеждност. Смята се, че хардуерните решения са по-надеждни (именно защото рядко изпълняват услуги на трети страни). Но никой не ви спира да изберете отделна системна единица (дори и да не е най-модерната), да инсталирате същата FreeBSD (една от най-надеждните операционни системи в света) върху нея и да настроите правилата на защитната стена. Мисля, че надеждността на такова решение няма да бъде по-ниска, отколкото в случай на хардуерна защитна стена. Но такава задача изисква напреднали квалификации на администратора, поради което по-рано беше отбелязано, че хардуерните решения са по-лесни за използване.

Предимства на софтуерните защитни стени

Предимствата на софтуерните решения включват:

• Цена. Цената на софтуерната защитна стена обикновено е по-ниска от цената на хардуера. На цената на средно хардуерно решение можете да защитите цялата си мрежа със софтуерна защитна стена.
• Възможност за защита на вашата мрежа отвътре. Заплахите не винаги идват отвън. В локалната мрежа има много заплахи. Атаките могат да идват от вътрешни компютри. Всеки потребител на LAN, например, недоволен от компанията, може да инициира атака. Както вече беше отбелязано, можете, разбира се, да използвате отделен хардуерен рутер, за да защитите всеки отделен възел, но на практика не сме срещали такива решения. Те са твърде ирационални.
• Възможност за разграничаване на сегменти от локална мрежа без разпределяне на подмрежи. В повечето случаи към локалната мрежа са свързани компютри от различни отдели, например счетоводство, финансов отдел, ИТ отдел и др. Тези компютри не винаги трябва да комуникират помежду си. Как да различим ISPDn? Първото решение е да създадете няколко подмрежи (например 192.168.1.0, 192.168.2.0 и т.н.) и да конфигурирате маршрутизирането между тези подмрежи по подходящ начин. Това не означава, че решението е много сложно, но все пак е по-сложно от използването на софтуерна защитна стена. И не винаги е възможно да се разграничат подмрежите по една или друга причина. Второто решение е да използвате защитна стена, предназначена специално за защита на ISPD (не всички софтуерни защитни стени улесняват разграничаването между ISPD). В този случай, дори и в най-голямата мрежа, ще извършите ISPD диференциране за няколко минути и няма да се налага да се занимавате с настройките за маршрутизиране.
• Възможност за внедряване на съществуващи сървъри. Няма смисъл да купувате друг хардуер, ако има достатъчно компютърен парк. Достатъчно е да разположите защитна стена на един от сървърите и да конфигурирате NAT и маршрутизиране. Обикновено и двете операции се извършват чрез GUI на защитната стена и се изпълняват с няколко щраквания на правилните места.
• Разширена функционалност. По правило функционалността на софтуерните защитни стени е по-широка от тази на техните хардуерни колеги. Така че някои защитни стени предоставят функции за балансиране на натоварването, IDS/IPS и подобни полезни неща, които могат да подобрят цялостната сигурност на системата за обработка на данни. Да, не всички софтуерни защитни стени имат тези функции, но нищо не ви пречи да изберете защитната стена, която отговаря на вашите нужди. Разбира се, някои хардуерни системи също имат такива функции. Например, StoneGate IPS осигурява функционалността на система за предотвратяване на проникване, но цената на такива решения не винаги ще зарадва ръководството на предприятието. Има и хардуерни load balancers, но те са дори по-скъпи от хардуерните IPS.

Няма да пишем за недостатъците - те следват от предимствата. Предимствата на един тип защитна стена обикновено са недостатъците на друг тип. Например, недостатъците на хардуерните решения включват цената и невъзможността за защита на локалната мрежа отвътре, а недостатъците на софтуерните решения включват сложността на внедряване и използване (въпреки че, както беше отбелязано, всичко е относително).
Има обаче един недостатък на хардуерните защитни стени, който си струва да се спомене. По правило всички хардуерни защитни стени имат бутон за нулиране, натискайки който можете да върнете настройките по подразбиране. Не е необходима специална квалификация, за да натиснете този бутон. Но за да промените настройките на софтуерна защитна стена, трябва най-малко да получите администраторски права. С натискането на един бутон недоволен служител може да компрометира сигурността на цялото предприятие (или да остави предприятието без достъп до интернет, което е още по-добре). Ето защо, когато използвате хардуерни решения, трябва да подходите по-отговорно към физическата сигурност на самите устройства.

Битката на защитните стени

След това ще се опитаме да разберем коя защитна стена осигурява по-добра защита: софтуер или хардуер. Хардуерът ще бъде защитната стена, вградена в рутера от TP-Link. Като софтуер - Cybersafe Firewall.
За да тестваме защитните стени, ще използваме помощни програми от сайта www.testmypcsecurity.com, а именно Jumper, DNStester и CPIL Suite (разработен от Comodo). Едно предупреждение: за разлика от сертифицирани инструменти като XSpider, тези помощни програми използват същите техники като зловредния софтуер, който симулират. Ето защо по време на тестването (ако искате да повторите резултатите) всички инструменти за антивирусна защита трябва да бъдат деактивирани.
Може, разбира се, да се обмисли XSpider, но този тест би бил твърде скучен и безинтересен за крайния читател. И кой може да си представи нападател да използва сертифициран скенер?
Накратко за помощните програми:

• Jumper - позволява ви да заобиколите защитната стена, като използвате методите „инжектиране на DLL“ и „инжектиране на нишка“.
• DNS тестер - използва рекурсивна DNS заявка за заобикаляне на защитната стена.
• CPIL Suite - набор от тестове (3 теста) от Comodo.

Всички тези помощни програми ще бъдат стартирани отвътре, т.е. директно от компютрите, които се тестват. Но навън ще сканираме с добрия стар nmap.
Така че имаме два компютъра. И двете са свързани с интернет. Единият е свързан чрез хардуерна защитна стена (захранвана от TP-Link рутер) и няма инсталирана софтуерна защитна стена или антивирусна програма. Вторият компютър е свързан директно към интернет и е защитен от софтуерната защитна стена CyberSafe. Първият компютър има инсталиран Windows 7, вторият е с Windows Server 2008 R2.

Тест 1: Джъмпър

Jumper, стартиран с администраторски права (честно казано, много потребители работят с такива права), успешно изпълни задачата си в Windows 7 (фиг. 1). Нищо не можеше да го спре - в края на краищата в нашата система не беше инсталиран нито един инструмент за сигурност, нито антивирусна, нито защитна стена, нито IDS/IPS, а хардуерната защитна стена не се интересува какво се случва на клиентските компютри. Той по никакъв начин не може да повлияе на случващото се.

Ориз. 1. Jumper в Windows 7

За да бъдем честни, трябва да се отбележи, че ако потребителят не е работил като администратор, тогава нищо нямаше да работи за Jumper.
В Windows Server 2008 Jumper дори не стартира, но това не е заслуга на защитната стена, а на самата операционна система. Следователно има равенство между защитните стени, тъй като защитата срещу тази уязвимост може да бъде осигурена от самата операционна система.

Тест 2. DNStester

Целта на този тест е да изпрати рекурсивна DNS заявка. По подразбиране, започвайки с Windows 2000, Windows услуга DNS клиентът приема и управлява всички DNS заявки. По този начин всички DNS заявки от всички приложения в системата ще бъдат изпратени до DNS клиента (SVCHOST.EXE). Самата DNS заявка се прави директно от DNS клиента. DNStester използва рекурсивна DNS заявка, за да заобиколи защитната стена, с други думи, услугата се обажда сама.

Ориз. 2. Тестът е неуспешен

Ако настройките на защитната стена са оставени по подразбиране, тогава нито софтуерната, нито хардуерната защитна стена могат да се справят с този тест. Ясно е, че хардуерната защитна стена не се интересува какво се случва на работната станция, така че не може да се очаква да защити системата от тази уязвимост. Във всеки случай, с настройките по подразбиране (и те практически не са се променили).
Но това не означава, че Cybersafe Firewall е лоша защитна стена. Когато нивото на сигурност беше повишено до трето, тестът беше напълно преминат (виж Фиг. 3). Програмата съобщи за грешка в DNS заявката. За да се уверите, че това не е грешка на Windows Server 2008, тестът беше повторен на машина с Windows 7.

Ориз. 3. Тестът премина (DNStest)

За да бъдем честни, трябва да се отбележи, че ако на компютъра е инсталирана антивирусна програма, най-вероятно това приложение ще бъде поставено под карантина, но все пак ще успее да изпрати една заявка (фиг. 4).

Ориз. 4. Comodo Antivirus блокира нежелано приложение

Тест 3. Тестов пакет от Comodo (CPIL)

И така, хардуерната защитна стена с настройки по подразбиране не успя и на трите CPIL теста (ако щракнете върху Разкажете ми повече за теста, ще се появи прозорец, обясняващ принципа на теста). Но той ги провали по някакъв странен начин. Преминаването на теста включва следната последователност от действия:

1. Трябва да въведете предадените данни. Въведохме стойностите 1, 2, 3 съответно за тестове 1, 2 и 3.
2. След това натиснете един от бутоните за тестово повикване (фиг. 5)

Ориз. 5.CPIL Test Suite

След това трябва да се отвори браузър с резултатите от теста. В допълнение към съобщението, че тестът е неуспешен, страницата с резултати трябва да показва въведената от нас стойност, която е предадена на скрипта като GET параметър (вижте Фигура 6). Вижда се, че стойността (2 в адресната лента) е предадена, но скриптът не я показва. Грешка в скрипта на Comodo? Разбира се, всеки прави грешки, но доверието ни в този тест намаля.

Ориз. 6. Резултат от теста (хардуерна защитна стена)

Но когато използвате софтуерна защитна стена, CPIL тестовете дори не се изпълняват. При натискане на бутони 1 - 3 не се случи нищо (фиг. 7). Наистина ли е виновен Windows Server 2008, а не защитната стена? Решихме да го проверим. Следователно Cybersafe Firewall е инсталиран на компютър с Windows 7, защитен от хардуерна защитна стена. Но в Windows 7 помощната програма успя да пробие защитата на защитната стена. Първият и третият тест бяха издържани, но когато щракнахме върху бутона Тест 2, трябваше да обмислим прозорец на браузъра Chrome, подобен на този, показан на фиг. 6.

Ориз. 7. Когато щракнете върху бутона, нищо не се случва (виждате, че антивирусната програма е деактивирана)

Ориз. 8. Тестове 1 и 3 са издържани

Тест 4. Сканиране отвън

Преди това се опитахме да пробием защитната стена отвътре. Сега нека се опитаме да сканираме системи, защитени от защитна стена. Ще сканираме с nmap скенер. Никой не се усъмни в резултатите от хардуерната защитна стена - всичко беше затворено и беше невъзможно дори да се определи типът на тестваната система (фиг. 9 и 10). Във всички следващи илюстрации IP адресите са скрити, защото са постоянни - така че никой да няма желание да повтори теста на нашите адреси.

Ориз. 9. Сканирайте вашата хардуерна защитна стена

Ориз. 10. Сканиране на хардуерна защитна стена (подробности за хоста)

Сега нека се опитаме да сканираме система, защитена от софтуерна защитна стена. Ясно е, че по подразбиране софтуерната защитна стена ще позволи всичко и всичко (фиг. 11).

Ориз. 11. Отворени портове (софтуерна защитна стена, настройки по подразбиране)

Ориз. 12. Определен тип система (софтуерна защитна стена, настройки по подразбиране)

Когато правилата са настроени, всичко си идва на мястото (фиг. 13). Както можете да видите, софтуерната защитна стена гарантира сигурността на защитената система не по-лошо от нейния „хардуерен“ аналог.

Ориз. 13. Няма отворени портове

Атаки в локалната мрежа

Защо е толкова важно да се осигури защита в локалната мрежа? Много администратори погрешно не обръщат внимание на защитата отвътре, но напразно. В края на краищата много атаки могат да бъдат реализирани в локална мрежа. Нека разгледаме някои от тях.

ARP атака

Преди да се свърже с мрежата, компютърът изпраща ARP заявка, за да разбере дали IP адресът на компютъра е зает. Когато в локалната мрежа има няколко Windows машини с един и същ IP адрес, потребителят вижда прозорец със съобщение, че IP адресът е зает (използван от друг компютър). Windows знае, че даден IP адрес е зает чрез ARP протокола.
ARP атака включва нападател, който наводнява машини, работещи под Windows. Освен това до всеки компютър ще бъдат изпратени стотици заявки, в резултат на което потребителят няма да може да затвори постоянно изскачащите прозорци и ще бъде принуден поне да рестартира компютъра.
Ситуацията не е много приятна. Но наличието на защитна стена на работна станция ще отмени всички усилия на нападателя.

DoS атаки, включително различни flood атаки

DoS атаките (отказни атаки) са възможни не само в интернет, но и в локални мрежи. Различават се само методите на такива атаки. Природата на DoS атаките може да бъде всякаква, но е невъзможно да се борим с тях без защитна стена, инсталирана на всяка машина в локалната мрежа.
Един тип DoS атака, която може да се използва успешно в локална мрежа, е ICMP наводнение. Защитна стена CyberSafe Firewall съдържа специални инструменти за борба с този тип атака (фиг. 14). Той също така съдържа инструменти за балансиране на натоварването на сървъра, които също могат да помогнат в борбата с DoS атаките.

Ориз. 14. ICMP сигурност (защитна стена CyberSafe)

Промяна на MAC адреса

В локална мрежа компютрите се идентифицират не само по IP адрес, но и по MAC адрес. Някои администратори позволяват достъп до определени ресурси чрез MAC адрес, тъй като IP адресите обикновено са динамични и се издават от DHCP. Това решение не е много оправдано, тъй като MAC адресът се променя много лесно. За съжаление, не винаги е възможно да се защитите срещу промени на MAC адреса с помощта на защитна стена. Не всяка защитна стена проследява промените на MAC адресите, тъй като те обикновено са свързани с IP адреси. Най-ефективното решение тук е да използвате комутатор, който ви позволява да свържете MAC адреса към конкретен физически порт на комутатора. Почти невъзможно е да се измами такава защита, но и струва много. Вярно е, че има и софтуерни начини за борба с промените в MAC адресите, но те са по-малко ефективни. Ако се интересувате от защитна стена, която може да разпознае подправяне на MAC адрес, обърнете внимание на Kaspersky Internet Security 8.0. Вярно е, че последният може да разпознае само замяната на MAC адреса на шлюза. Но той напълно разпознава подмяната на IP адреса на компютъра и IP наводняването.

Подправяне на IP адрес

В мрежи, където достъпът до ресурси е ограничен от IP адреси, атакуващият може да промени IP адреса и да получи достъп до защитения ресурс. При използване на защитната стена Cybersafe Firewall такъв сценарий е невъзможен, тъй като няма обвързване към IP адреси дори за самата защитна стена. Дори ако промените IP адреса на компютъра, той все още няма да бъде включен в ISDN, който нападателят се опитва да проникне.

Маршрутизиране на атаки

Този тип атака се основава на изпращане на „фалшиви“ ICMP пакети до жертвата. Същността на тази атака е да фалшифицира адреса на шлюза - на жертвата се изпраща ICMP пакет, който го информира за по-кратък маршрут. Но всъщност пакетите няма да преминат през новия рутер, а през компютъра на нападателя. Както беше отбелязано по-рано, Cybersafe Firewall осигурява ICMP сигурност. По същия начин могат да се използват други защитни стени.

Има много други атаки в локалните мрежи - както снифъри, така и различни атаки, използващи DNS. Както и да е, използването на софтуерни защитни стени, инсталирани на всяка работна станция, може значително да подобри сигурността.

заключения

Защитата на информационната система трябва да бъде цялостна – това включва софтуерни и хардуерни защитни стени, антивируси и правилно конфигуриране на самата система. Що се отнася до нашата конфронтация между софтуерни и хардуерни защитни стени, първите се използват ефективно за защита на всеки мрежов възел, а вторите се използват за защита на цялата мрежа като цяло. Хардуерната защитна стена не може да осигури защита за всяка отделна работна станция, безсилна е срещу атаки в мрежата и също така не може да прави разлика между ISDN, което трябва да се направи в контекста на защита на личните данни.

Тагове: Добавете тагове

Глобализацията и комуникационните възможности, които Интернет предоставя на потребителите, привличат не само частни, но и корпоративни потребители към глобалните информационни мрежи. Много често те стават мишени за нападатели, които използват поверителна информация за лична изгода. Всяка година организации, които избират да предават чувствителни данни през глобалните мрежи, губят огромни суми пари. пари в бройпоради големия брой атаки, за съжаление успешни. Целта на развитието на интернет беше да се създаде система, предназначена за свободен обмен на данни. И любителите на лесните пари веднага започнаха да се възползват от това. Чрез Интернет можете:

• разбийте пароли и проникнете във вътрешната мрежа на организацията, където не е трудно да намерите секретна информация;
• копиране на поверителни данни;
• разберете сървърни адреси и пароли и др.

За да се реши този проблем, беше предложено хардуерни защитни стени. По-широко използвани са наименованията защитна стена и защитна стена. Това е набор от хардуер и софтуер, който ви позволява да разделите всяка мрежа на няколко части, да наблюдавате и защитавате мрежови пакети, преминаващи през границата от една част на мрежата в друга. Обикновено такава граница се създава между вътрешната мрежа на предприятието и глобалния интернет. Но в някои случаи може да се създаде между отдели на една и съща корпоративна мрежа.

Защитните стени трябва да покриват определени области на корпоративната мрежа. В общ смисъл те могат да бъдат обозначени, както следва:

• филтриране на мрежово ниво;
• филтриране на ниво приложение;
• настройка на правила за филтриране, администриране;
• инструменти за мрежово удостоверяване;
• създаване на дневници и водене на записи.

Класификация на защитните стени

Обичайно е да се разграничават следните класове защитни стени:

• филтриращи рутери;
• шлюзове на ниво сесия;
• шлюзове на ниво приложение.

Филтриране на рутери

Те филтрират входящите и изходящите пакети, като използват данните, съдържащи се в TCP и IP заглавките. За да изберете IP пакети, се използват групи от полета за заглавки на пакети:

• IP адрес на изпращача;
• IP адрес на получател;
• порт на изпращача;
• порт на получателя.

Индивидуалните рутери контролират мрежовия интерфейс на рутера, от който идва пакетът. Тези данни се използват за по-подробно филтриране. Последното може да се извърши различни начини, прекъсвайки връзките към определени портове или компютри.

Правилата за филтриране за рутери са трудни за създаване. Няма друг начин да се провери коректността освен бавно и трудоемко ръчно тестване. Също така, недостатъците на филтриращите рутери включват следните случаи:

• вътрешната мрежа се вижда от интернет;
• сложните правила за маршрутизиране изискват отлично познаване на TCP и UDP;
• Когато защитната стена бъде хакната, всички компютри в мрежата стават беззащитни или недостъпни.

Но филтриращите рутери имат и редица предимства:

• ниска цена;
• гъвкаво дефиниране на правилата за филтриране;
• ниска латентност при работа с пакети.

Сесийни шлюзове

Това са транслатори на TCP връзка. Шлюзът обработва заявката на оторизирания клиент за конкретни услуги. Проверява валидността на сесията и осъществява връзка с външния хост. След това шлюзът копира пакетите в двете посоки без филтриране. Дестинацията обикновено се задава предварително. Може да има няколко източника. Благодарение на разнообразието от портове можете да конфигурирате различни конфигурации на връзката. Използвайки шлюз, можете да създадете TCP преводач за всяка услуга, която работи с TCP връзка.

Порталът определя допустимостта на заявка за комуникационна сесия по определени правила. Първо, оторизиран клиент прави заявка за достъп до конкретна услуга. Шлюзът го приема и проверява дали клиентът отговаря на основните параметри за филтриране. Ако всичко е наред, шлюзът установява връзка с външния хост. След това се наблюдава процедурата за ръкостискане на TCP комуникация. Ако шлюзът определи, че клиентът и външният хост са оторизирани, връзката продължава. По време на трансфер на информация шлюзът поддържа таблица установени връзкии пропуска информация, която се отнася до една от комуникационните сесии, посочени в таблицата. След края на сесията връзката се прекъсва. Съответните данни се изтриват от таблицата.

Шлюзове на приложния слой

За по-надеждна защита екраните използват филтриращи приложения, когато се свързват към Telnet и FTP. Това приложениесе нарича прокси услуга или, с други думи, шлюз на ниво приложение. При използване на шлюз от този типКомуникацията между оторизиран клиент и външен хост не е възможна. Филтрирането се извършва на ниво приложение.

Когато шлюзът открие мрежова сесия, той я спира и се свързва специално приложениеза завършване на услугата. Шлюзовете на ниво приложение осигуряват надеждна защита, тъй като взаимодействието с външната мрежа се осъществява чрез малко количестворазрешени приложения. Извършват строг контрол на входящия и изходящия трафик. Всяка мрежова услуга изисква отделни приложения.

Плюсове от използването на шлюз на приложен слой:

• невидимост на защитената мрежа от интернет;
• ефективна и сигурна автентификация и регистрация;
• оптимално съотношение на разходите и нивото на защита;
• прости правила за филтриране;
• възможност за инсталиране на допълнителни проверки.

Хардуерни защитни стени

Хардуерните защитни стени използват свои собствени защитни стени за филтриране на пакети. операционна система, специално предложен от разработчиците.

За да работи правилно хардуерната защитна стена, е важно да я инсталирате, свържете и конфигурирате правилно. Най-простата защитна стена е устройство, което включва набор от приложения за централизиран контрол на достъпа и защита на информацията. Основните функции, които изпълнява хардуерната защитна стена, са същите като тези на софтуерните: анализ на пакети, филтриране и пренасочване на трафика, удостоверяване на връзката, блокиране на съдържанието на протокола, криптиране на данни.

Често за повишаване на сигурността е необходимо да се инсталират няколко хардуерни защитни стени. Има възможност за комбиниране на паравани различни видовев една система. Използването на защитни стени с различни структури, базирани на различни архитектури, ви позволява да създадете по-високо ниво на защита.

Създаване на защитни стени в корпоративни мрежи

Ако трябва да инсталирате надежден корпоративен или локална мрежа, е необходимо да се решат следните проблеми:

• защита на мрежата от неупълномощени отдалечен достъпизползване на глобалния интернет;
• защита на данни за мрежова конфигурация от посетители на глобалната мрежа;
• разделяне на достъпа до корпоративна или локална мрежа от глобална и обратно.

За да гарантираме сигурността на защитената мрежа, ние използваме различни схемисъздаване на защитни стени:

Защитната стена като филтриращ рутер- най-простият и най-често срещаният вариант. Рутерът се намира между мрежата и интернет. За защита се използват данни от анализ на адреси и портове на входящи и изходящи пакети.

Защитна стена, използваща шлюз с два портае хост с два мрежови интерфейса. Основното филтриране за обмен на данни се извършва между тези портове. Може да се инсталира филтърен рутер за повишаване на сигурността. В този случай между шлюза и рутера се формира вътрешна екранирана мрежа, която може да се използва за инсталиране на информационен сървър.

Защитна стена със защитен шлюз— висока гъвкавост на управлението, но недостатъчна сигурност. Различава се в наличието само на един мрежов интерфейс. Филтрирането на пакети се извършва по няколко начина: когато вътрешен хост позволява достъп до глобалната мрежа само за избрани услуги, когато всички връзки от вътрешни хостове са блокирани.

Защитна стена с екранирана подмрежа— за създаването му се използват два екраниращи рутера. Външният се инсталира между екранираната подмрежа и интернет, вътрешният се инсталира между екранираната подмрежа и вътрешната защитена мрежа. Добър вариант за охрана със значителен трафик и висока скорост.