Laitteiston palomuurit. Laitteiston palomuurit

Raskauden merkit alkion istutuksen jälkeen

Internetin nopean kasvun myötä pienten verkkojen ja kotikäyttäjien turvallisuusongelma ei ole yhtä kiireellinen kuin esimerkiksi suurten yritysten verkkojen turvallisuus. Jos verkkosi tai tietokoneesi on osa suurta yritysverkkoa, et todennäköisesti enää tarvitse palomuuria, koska suuri verkko on yleensä suojattu. Samassa tapauksessa, kun et tiedä varmasti, onko ulkoista palomuuria, tai kun muodostat yhteyden verkkoon Internet-palveluntarjoajan kautta (Internet-palveluntarjoajilla ei aina ole palomuuria asennettuna, koska tämä heikentää yhdyskäytävän kapasiteettia), luultavasti kannattaa huolehtia verkkosi tai tietokoneesi suojaamisesta. Muuten, sinun on ymmärrettävä, että muodostamalla yhteyden Internetiin modeemin kautta, sinusta tulee myös täysimittainen Internet-solmu. Modeemiyhteys eroaa kaapeliliitännästä vain siinä, että se ei useimmissa tapauksissa ole pysyvä.. Tässä artikkelissa yritän selittää lyhyesti, mikä palomuuri on, miten se toimii, miksi se pitää asentaa ja kuvailla joidenkin toimintojen toimintoja. ohjelmia. Puhumme pääasiassa Windowsista (95/98/NT/2000/…), koska tämä on nykyään yleisin käyttöjärjestelmä. UNIXissa (erityisesti Linuxissa) toimivat ohjelmat mainitaan lyhyesti. Ymmärtääksesi, miksi palomuuria tarvitaan, on vastattava kysymykseen: mistä sinun on suojattava itsesi verkossa työskennellessäsi?

Tietoturvaongelmat Internet-yhteyden muodostamisessa

Kun muodostat yhteyden Internetiin, olet fyysisesti yhteydessä yli 50 000 tuntemattomaan verkkoon ja kaikkiin niiden käyttäjiin. Vaikka tällainen yhteys avaa tien monille hyödyllisiä ohjelmia ja tarjoaa valtavat mahdollisuudet tiedon jakamiseen, verkkosi tai tietokoneesi tulee myös Internetin käyttäjien saataville. Pääkysymys: kuinka saatavilla ovat verkkosi resurssit ja kuinka helposti ne voivat olla (jäljempänä en erota pientä verkkoa ja erillistä kotitietokonetta, kunhan tämä ei ole tärkeää)? Toinen kysymys: kuinka tietokoneesi on suojattu tunkeutumiselta? On syytä huomata, että itseään hakkereiksi kutsuvat eivät yleensä pyri hankkimaan tietoja - he ovat kiinnostuneita itse järjestelmän hakkerointiprosessista. Joskus tämä johtaa tietokoneellesi tallennettujen tietojen vaurioitumiseen. Harvoin, mutta joskus järjestelmän hakkeroinnin tarkoitus on tietojen tuhoaminen. Samaan aikaan, toisin kuin yritysverkot, pieneen verkkoon tai kotitietokoneeseen tunkeutumisen menetelmät ja menetelmät ovat proosaisempia. Tässä muutama niistä.
  • He lähettävät sinulle vaarattomalta vaikuttavia kirjeitä, joissa on liite, esimerkiksi tämä:
pricelist.zip .exe Huomaa rivin lopussa oleva .exe. Tässä tapauksessa kaikki sähköpostiohjelmat näyttävät tällaisen kirjeen saatuaan vain Pricelist.zip-tiedoston, mutta tätä tiedostoa avattaessa he suorittavat sen arkistoinnin käynnistämisen sijaan.
  • Et asenna ilmaiset päivitykset Vastaanottaja Internet Explorer, vaikka kaikki ovat jo pitkään tienneet, että itse Windowsissa ja erityisesti IE:ssä suurin ongelma on järjestelmän turvallisuus.
  • Käytät testaamattomia ohjelmia, kuten näytönsäästäjiä. Ne sisältävät hyvin usein troijalaisia, eli ohjelmakoodia, joka suorittaa salaa sinulle tarpeettomia ja sinua vastaan ​​suunnattuja toimia, esimerkiksi lähettää salasanoja verkon kautta.
  • Huomaamme erikseen, että Windows, toisin kuin UNIX, kärsii siitä, että laite tiedostojärjestelmä ja järjestelmäytimien avulla voit luoda viruksia. Ja molemmat vaarattomia ja erittäin tuhoisia. Nämä virukset voivat olla suoritettavissa tiedostoissa, komentosarjoissa, jopa Office-asiakirjoissa. Ja todentamismahdollisuus saapuvia kirjeitä ja ladatut tiedostot viruksille ovat yksinkertaisesti välttämättömiä.
Kotitietokoneen yhteydessä voidaan tietysti käyttää myös alemman tason menetelmiä, jotka liittyvät tiettyihin portteihin pääsyyn. Tämä tapahtuu seuraavasti. Hyökkääjä etsii tietokoneeltasi vapaita ja suojaamattomia portteja, toisin sanoen portteja, jotka eivät vastaa vastaanottaessaan paketteja. Ensimmäinen asia, joka voi tapahtua, on verkkopinon ylivuoto (paikka, johon paketit väliaikaisesti tallennetaan) ja seurauksena koneen toimintahäiriö (yleensä jäätyminen). Tämä vaikutus voidaan saavuttaa lähettämällä liian monta pakettia. Lisäksi tällaista tyhjää porttia voidaan käyttää kommunikoimaan tietokoneesi kanssa. Tämä tarkoittaa pääsyä tiedostoihin, salasanoihin, mahdollisuutta muuttaa tiedostoja, esimerkiksi laittaa viruksen saastuttamia ohjelmia levylle. Monimutkaisempi mekanismi on myös mahdollinen: ensin pino ylivuotetaan, ja sitten, kun verkko-ohjelmien työ on jo häiriintynyt, tapahtuu tunkeutuminen standardiporttien kautta. Huomaa heti, että on suositeltavaa poistaa käytöstä tiedostojen ja tulostimien jakaminen kotitietokoneeltasi. Voit tehdä tämän avaamalla Windowsin Ohjauspaneelin, kirjoita Verkko-osiossa Tiedosto abd Print Sharing -osioon ja poista kohteiden valinnat:
  • Haluan antaa muille pääsyn tiedostoihini;
  • Haluan antaa muiden tulostaa tulostimilleni.
Yleisesti ottaen on suositeltavaa, jos mahdollista, poistaa käytöstä kaikki, mikä voi aiheuttaa tunkeutumisen tai heikentää itse järjestelmän suojausta. Tietenkin edellyttäen, että et tarvitse tätä ominaisuutta. Yllä on kuvaus sellaisesta toiminnosta, joka ei ole ollenkaan välttämätön yhden kotitietokoneen tapauksessa, etenkään modeemiyhteydellä. Saatat kysyä: miksi hakkeroida kotitietokoneesi? Siihen on mielestäni kaksi tärkeintä syytä. Ensinnäkin, kuten jo sanoin, on kiinnostus itse hakkerointiprosessiin. Toinen syy on se, että viime aikoina ihmiset käyttävät usein Internet-yhteyttä työtietojen käsittelyyn ja käsittelyyn. Ehkä tällainen tieto kiinnostaa. Joka tapauksessa on etunne mukaista suojata kotitietokonettasi, vaikka siinä ei olisikaan arkaluonteisia tietoja. suojaus on tarpeen vieläkin enemmän, jos käytät Internetiä toisella tietokoneella olevien tietojen saamiseksi. Juuri tällaista suojaa varten on olemassa palomuuri.

Mikä on palomuuri

En mene verkkopinoon, suodatusmenetelmiin ja vastaaviin yksityiskohtiin liittyviin teknisiin yksityiskohtiin. Lisäksi aiemmin julkaistiin artikkeli ”Verkon suojaus ja palomuuri”, jossa palomuuria kuvattiin yksityiskohtaisesti. Lyhyesti sanottuna palomuuri voidaan määritellä verkon tai tietokoneen ja Internetin väliseksi erotuspisteeksi. Tämä kohta voi olla tietokone, jossa on ohjelmistopalomuuri tai laitteistopalomuuri. Jos sinulla on yksi tietokone, palomuuri on vain siinä käynnissä oleva ohjelma. Mikä on idea? Muistutetaan kuinka tiedot siirretään Internetiin. Kaikki tiedot välitetään IP-protokollaa käyttäen. Siirto tapahtuu osissa - paketeissa. Jokaisessa paketissa on otsikko, joka sisältää lähettäjän osoitteen, vastaanottajan osoitteen, verkkoportin numeron, linkin edelliseen pakettiin, tiedon turvallisuuden kannalta tarpeelliset ohjaustiedot sekä itse tiedot. Kolme ensimmäistä pistettä (osoitteet ja portti) ovat välttämättömiä, jotta paketti saapuisi ollenkaan. Portin numero on liitetty tiettyyn ohjelmaan. Telnet toimii siis portilla 22, http-protokolla portilla 80. Portteja on yhteensä 65 535. Linkki edelliseen pakettiin tarvitaan tiedon osien oikeaan liimaamiseen tiedostoihin ja ohjaustietoja tarvitaan tarkistukseen siirron oikeellisuus. Palomuurin ideana on, että käynnistetään ohjelma, joka ensimmäisenä, ennen kaikkia palvelimia ja asiakkaita, vastaanottaa kaikki tietokoneellesi saapuvat paketit. Näin ollen tämä ohjelma on ensimmäinen, joka käyttää paketin tietoja. Kaavamaisesti palomuurin työ voidaan esittää seuraavasti: Paketit tarkistetaan eri tavoin palomuurin tasosta riippuen. Palomuuritasoja on viisi:
  • Ensimmäinen taso tarkistaa pakettiin kirjoitetut osoitteet ja portin numeron. Tässä tapauksessa on luonnollisesti mahdollista kieltää pakettien vastaanotto tietyistä osoitteista tai tiettyihin portteihin. Tämä taso tarjoaa minimaalisen suojan, koska paketti ei ole vielä tiedosto tai ohjelma, vaan vain tieto. Siitä huolimatta voi olla hyödyllistä esimerkiksi kieltää pakettien kulku tietyissä porteissa.
  • Toisella tasolla, sen lisäksi, mitä tapahtuu ensimmäisellä tasolla, käytetään viittauksia aikaisempiin pakkauksiin. Tällaisten linkkien avulla muodostuu täydellinen tietoketju, esimerkiksi kokonainen tiedosto. Tämä palomuuri tarkistaa tiedostojen siirtojen eheyden ja antaa sinun leikata epäilyttävät tiedostot välittömästi pois.
  • Kolmas taso on ohjelmistotason palomuuri. Pakettisuodatuksen ja tiedon eheyden tarkistuksen lisäksi on lisätty mahdollisuus tarkistaa tiedostojen sisältö. Toisin sanoen esimerkiksi suoritettavat tiedostot tarkistetaan virusten varalta, arkistojen sisältö, kirjeliitetiedostot testataan ja niin edelleen.
  • Neljäs ja viides taso eroavat kolmannesta vain palomuurin päätoimintojen teknisessä toteutuksessa ohjelmistotasolla.
Kun valitset tiettyä palomuuritoteutusta, on tärkeää kiinnittää huomiota seuraaviin seikkoihin tärkeitä kohtia. Ensinnäkin porttien ja verkko-osoitteiden asettaminen vaatii tarkkaa ymmärrystä, toisin sanoen tämä ei ole aina mahdollista tavallinen käyttäjä. Karkeammat asetukset edellyttävät, että ohjelma tekee joitain asioita automaattisesti. Tärkeä kompromissi tässä on ohjelman yksinkertaisuuden ja sen käytön tehokkuuden välillä. Toinen on ohjelman voima. Jos sinulla on vain kotitietokone ja selaat vain Internetin verkkosivuja, tarvitset ehkä vain virustorjuntaohjelman, joka tarkistaa verkosta ladatut tiedostot. Se on toinen asia, jos sinulla on pieni verkko ja haluat hallita tiedostojen siirtoa viereisiin koneisiin tai tulostimien jakamista. Kolmas on hinta. On ilmaisia ​​ohjelmia, on tehokkaita ja kalliita. On tärkeää ymmärtää, että ilmainen ei tarkoita pahaa. Siirrytään nyt tiettyjen ohjelmien kuvaukseen. Sanon heti, että ohjelmien ilmestymisjärjestys ei liity hintaan, suosioon tai monimutkaisuuteen. Lisäksi ohjelmien suosiota on vaikea verrata, koska ne on suunniteltu erilaisia ​​tietokoneita, erikokoiset verkot. Alla on mielestäni paras esimerkki verkkosi suojauksen järjestämisestä. Alla kuvatut kaksi ohjelmaa täydentävät toisiaan ja varmistavat siten vaaditun tietoturvatason. Luonnollisesti valintamme ei ole ihmelääke. Ainoa asia, jonka voidaan sanoa, on, että kaikki alla kuvatut ohjelmat ovat johtavia paikkoja Internetissä julkaistuissa luokitteluissa. Lisäksi CD-ROM-levyltämme löydät yleiskatsauksen joistakin suosituimmista palomuuritoimintoja toteuttavista ohjelmista.

palomuurin toteutukset

Norton Internet Security 2000 (NIS)

NIS yhdistää useita eri ohjelmia Suojausjärjestelmä on peritty AtGuard-ohjelmasta ja se on muodostettu porttien ja osoitteiden valvontaa koskevien sääntöjen muodossa. Mukana on myös evästeiden estojärjestelmä, suodatus ActiveX:lle, Javalle, skripteille ja seuranta Internetin selaamisen aikana. Virustorjunta on myös sisäänrakennettu. Tilijärjestelmän avulla voit määrittää useita asetuksia eri käyttäjille. Koska tämän artikkelin aihe on suojelu, kerron sinulle tästä hieman yksityiskohtaisemmin. Haluaisin heti huomauttaa, että sääntöjärjestelmä on erittäin joustava, mutta samalla se tuskin sopii tavalliselle käyttäjälle. Jos olet jo päättänyt luoda sääntöjärjestelmän, on suositeltavaa poistaa "Automaattinen palomuurisäännön luominen" -vaihtoehto käytöstä. Alla on mahdollinen versio sääntöjärjestelmästä. Se sisältää yhden tietokoneen yhdistämisen palveluntarjoajaan. On tärkeää huomata, että tämä on mahdollinen säännöstö. Sinun on testattava jokainen sääntö tietokoneellasi sen tehokkuuden tarkistamiseksi. Sääntöjen määrittämiseksi sinun on mentävä Suojaus- ja mukautetut asetukset -osioon. NIS:n erikoisominaisuus, jota kaikki ohjelmat eivät tarjoa, on se, että voit määrittää, mitkä ohjelmat voivat käyttää mitäkin portteja. Joissakin tapauksissa tämä on erittäin kätevää. Estä esimerkiksi selainta käyttämästä kaikkia portteja paitsi 80 (http) tai 443 (https). Mutta jatketaan säännöistä. Seuraava sarja on mahdollinen.
  1. Estä kaikki saapuvat ja lähtevät ICMP-paketit. Saattaa olla totta, että Internet-palveluntarjoajasi vaatii ICMP:tä.
  2. Estä tulo porteissa 135–139 (TCP ja UDP).
  3. Estä tulo porteissa 67–69 (TCP ja UDP).
  4. Estä tulo ja lähtö portissa 113. Tämä saattaa viivästyttää kirjeiden lähettämistä, mutta ne lähetetään kuitenkin, ellei palveluntarjoaja erikseen sovi tämän portin käytöstä.
  5. Estä "NetBIOS" UDP-tulo.
  6. Estä "sormi" TCP-tulo.
  7. Estä "sukat" TCP/UDP-tulo (portti 1080).
  8. Estä "Bootpc" UDP-tulo. Tätä ei tarvitse tehdä, jos käytät dynaamista IP-osoitetta.
  9. Estä "Bootp" UDP-lähtö. Tätä ei tarvitse tehdä, jos käytät dynaamista IP-osoitetta.
  10. Estä TCP-tulon 27374 portit.
  11. Estä UDP-tulo "snmp". portit 161 ja 162.
  12. Estä UDP-tulo "ndmp". Portit 10 096 - 10 945.
  13. Estä TCP-tulo "netstat".
  14. Estä TCP-tulo "systat".
  15. Estä TCP- ja UDP-tulo "nfs".
  16. Estä TCP-syöte "voittaa". Portti 1512.
  17. Estä TCP- ja UDP-tulo "remote-winsock".
  18. Estä UDP-tulo ja -tulostus "Windows Key Access". Portti on välttämätön peleihin.
  19. Microsoft osoitteessa www.zone.com.
  20. Estä "lotusnotes" TCP- ja UDP-tulo.
  21. Estä TCP-tulo "IBM Data Exchange". Portti 10044.
  22. Estä portin 4000 TCP- ja UDP-tulo ja -lähtö (jota kutsutaan nimellä "icq").
Muistutetaan vielä kerran, että jokaisessa yksittäistapauksessa voi olla omat säännöt tai muutoksia esitettyihin sääntöihin. Kun säännöt on asennettu, NIS alkaa toimia niiden mukaisesti. Esimerkki viestinäytöstä näkyy alla. Kaikki itse ohjelman toimintaan ja vahvistettuihin sääntöihin liittyvien tapahtumien käsittelyyn liittyvät tapahtumat tallennetaan. Lopuksi totean, että NIS maksaa noin $60. Samalla saat mahdollisuuden päivittää ohjelmaa Internetin kautta käyttämällä LiveUpdate-toimintoa.

BlackICE Defender (BID)

BID on tunkeutumisen havaitsemisohjelma järjestelmällesi. Sen päätarkoituksena on valvoa kaikkea verkon kautta tapahtuvaa tiedonsiirtoa. Toisin kuin NIS, sitä ei ole virustorjuntaohjelma tai ohjeistaa yksittäisiä ohjelmia käyttämään portteja. Verkkoportteihin pääsyn säätely- ja valvontajärjestelmää sekä kykyä määrittää luotettavia ja ei-luotettuja osoitteita pidetään kuitenkin testaustulosten perusteella luotettavampana. Lisäksi on mahdollisuus hallita tiedostojen käyttöä. BID-määritysnäyttö näyttää tältä. Suojauslohko näkyy tässä. Periaatteessa yhden turvatason määrittäminen määrittelee jo sääntöjoukon, jonka mukaan BID toimii. Suojausaste laskee ylhäältä alas. On pidettävä mielessä, että tunnistus tapahtuu tasosta riippumatta aina kaikissa porteissa. Taso tarkoittaa suojaustasoa, eli minkä tahansa toimintojen suorittamista pakettien suhteen: heijastus, vahvistus jne. Paranoid-taso on usein tarpeeton, koska se tarkistaa kaikki portit, mikä voi suuresti hidastaa verkkoa. Kaikki tapahtumat tallennetaan lokitiedostoon ja niitä voi tarkastella myöhemminkin Tärkeä ominaisuus on, että osoitteita ei tarvitse estää. Osoitteet on mahdollista estää dynaamisesti, jos ne yrittävät kirjautua järjestelmään väärällä salasanalla. Tätä menetelmää tarvitaan esimerkiksi silloin, kun haluat päästä käsiksi tiedostoihisi toiselta tietokoneelta, jonka numeroa ei tiedetä etukäteen (esimerkiksi jostain nettikahvilasta matkan aikana). Valvottavien tapahtumien ikkunan Intruders-lohkoon tallennetaan osoite, josta kirjautumisyritys on tehty ja portti: On tärkeää, että kun järjestelmään yritetään tunkeutua epästandardin portin kautta tai kirjautua sisään väärällä salasana tai käyttäjätunnus, BID ei yksinkertaisesti estä pakettia tai ei salli pääsyä järjestelmään, vaan suorittaa Back-trace-toimenpiteet. Tämä on joukko työkaluja, joilla BID yrittää kerätä mahdollisimman paljon tietoa hyökkääjästä. Nämä tiedot kirjoitetaan sitten tiedostoon ja näytetään historialohkossa.Haittapuolena voidaan ehkä pitää kyvyttömyys luoda sääntöjä yksittäisille ohjelmille. BID:n ja NIS:n yhdistelmää suositellaan. Tämä mahdollistaa BID:n käytön verkon tiedonkulun ohjaamiseen ja NIS:n avulla käyttöoikeuksien erottamiseen ohjelmien ja ohjelmien välillä virustorjuntatarkistus tiedostot. BID maksaa vähemmän kuin NIS, noin 40 dollaria, ja lisenssi on voimassa vain vuoden.

Laitteiston palomuuri

Nyt vähän laitteiston palomuureista. Edes kotiverkkojen tapauksessa ja varsinkin pienelle yritykselle tämä ei ole turha asia. Tosiasia on, että tämä on tietokone, joka on erityisesti mukautettu suorittamaan palomuuritoimintoja. Usein sama tehokkuus voidaan saavuttaa vain asentamalla tehokas ohjelma erilliselle tehokas tietokone, ja tämä voi olla huomattavasti kalliimpaa. Lisäksi laitteistopalomuuri on lähes aina järjestelmästä riippumaton ja voi kommunikoida melkein minkä tahansa käyttöjärjestelmän kanssa. On myös etuja: asetat tietokoneen suojatulle alueelle, ei ole käyttöjärjestelmä, mikä vaikeuttaa hakkerointia. Annan Lyhyt kuvaus useita edullisia laitteistopalomuureja Linksys EtherFast Cable/DSL Router tukee NAT-, palomuuri-, DHCP-pääsynhallintaa ja on myös 10/100 4-porttinen kytkinkeskitin. Hinta - 170 $ SonicWALL SOHO SonicWALL, Inc:ltä. ja WebRamp 700s Ramp Networks, Inc:ltä. Toimivampi kuin edellinen, on päivitysominaisuudet, tukee palomuuria, NAT:ta, DHCP:tä, kontekstuaalista pakettien hallintaa. Hinta on noin $ 400 ja $ 350. Yhteenvetona on huomattava, että nyt palomuuri on luultavasti yhtä tarpeellinen kuin itse Internet. Tietenkin sinun tulee aina valita palomuuri, joka sopii parhaiten tehtäviisi ja verkkokokoon. Palomuuritoimintoja toteuttavien ohjelmien valikoima on niin suuri, että on tuskin mahdollista suositella mitään erityistä. Jokaisella ratkaisulla on hyvät ja huonot puolensa. Yksityiskohtaisimmat tiedot palomuuriohjelmista, dokumentaatiosta ja tuesta ovat saatavilla verkkosivustolla http://www.firewall.com/, jossa suosittelen tarkistamaan, onko palomuurin valinta ongelma sinulle tärkeä.

ComputerPress 10"2000

Turvallisen järjestelmän luominen on monimutkainen tehtävä. Yksi turvatoimista on palomuurien (tunnetaan myös nimellä palomuurit ja palomuurit) käyttö. Kuten me kaikki tiedämme, palomuurit tulevat ohjelmistoina ja laitteistoina. Sekä ensimmäisen että toisen mahdollisuudet eivät ole rajattomat. Tässä artikkelissa yritämme selvittää, mitä molemmat palomuurityypit voivat tehdä ja mitä eivät.

Ohjelmisto- ja laitteistopalomuurit

Ensimmäinen askel on puhua siitä, mikä on ohjelmistoratkaisu ja mikä laitteistoratkaisu. Olemme kaikki tottuneet siihen, että jos ostat jonkinlaisen laitteiston, tätä ratkaisua kutsutaan laitteistoksi, ja jos se on laatikko ohjelmistolla, niin tämä on merkki ohjelmistoratkaisusta. Mielestämme ero laitteisto- ja ohjelmistoratkaisun välillä on melko mielivaltainen. Mikä on rautalaatikko? Pohjimmiltaan tämä on sama tietokone, vaikkakin erilaisella arkkitehtuurilla, vaikkakin hieman rajoitetuilla ominaisuuksilla (et voi liittää siihen näppäimistöä ja näyttöä, se on "räätälöity" suorittamaan yksi toiminto), johon ohjelmisto on asennettu. Ohjelmisto on jokin versio UNIX-järjestelmästä, jossa on "web face". Laitteistopalomuurin toiminnot riippuvat käytetystä pakettisuodattimesta (jälleen tämä on ohjelmisto) ja itse "web facesta". Kaikki laitteiston palomuurit voidaan "päivittää", eli käytännössä yksinkertaisesti korvata ohjelmistolla. Ja todellisen laiteohjelmiston (joka vanhoina hyvinä aikoina tehtiin ohjelmoijalla) kanssa nykyaikaisten laitteiden "laiteohjelmiston" päivitysprosessilla on vähän yhteistä. Uusi ohjelmisto kirjoitetaan yksinkertaisesti laitteiston sisällä olevalle flash-asemalle. Ohjelmistopalomuuri on ohjelmisto, joka asennetaan olemassa olevaan tavalliseen tietokoneeseen, mutta laitteistopalomuurissa sitä ei voi tehdä ilman ohjelmistoa, eikä ohjelmistopalomuurin tapauksessa ilman laitteistoa. Tästä syystä näiden palomuurityyppien välinen raja on hyvin mielivaltainen.
Suurin ero ohjelmiston ja laitteiston palomuurin välillä ei ole edes toimivuus. Kukaan ei vaivaudu valitsemaan laitteistopalomuuria, jossa on tarvittavat toiminnot. Ero on käyttötavassa. Ohjelmistopalomuuri asennetaan pääsääntöisesti jokaiseen verkon tietokoneeseen (jokaiseen palvelimeen ja jokaiseen työasemaan), ja laitteistopalomuuri ei suojaa yksittäistä tietokonetta, vaan koko verkkoa kerralla. Kukaan ei tietenkään estä sinua asentamasta laitteistopalomuuria jokaiselle tietokoneelle, mutta kaikki riippuu rahasta. Kun otetaan huomioon laitteiston kustannukset, on epätodennäköistä, että haluat suojata jokaista PC-laitteistoa palomuurilla.

Laitteistopalomuurien edut

Laitteistopalomureilla on seuraavat edut:
  • Suhteellinen helppokäyttöisyys ja käyttöönotto. Yhdistin sen, laitoin sen päälle, asetin parametrit verkkoliittymän kautta ja unohdin sen olemassaolon. Kuitenkin moderni ohjelmisto palomuurit tukee käyttöönottoa ActiveDirectoryn kautta, mikä ei myöskään vie paljon aikaa. Mutta ensinnäkin, kaikki palomuurit eivät tue ActiveDirectoryta, ja toiseksi yritykset eivät aina käytä Windowsia.
  • Mitat ja virrankulutus. Tyypillisesti laitteistopalomuurit ovat kooltaan pienempiä ja vaativat vähemmän virtaa. Energiankulutuksella ei kuitenkaan aina ole merkitystä, mutta mitat ovat tärkeitä. Pieni kompakti laatikko on yksi asia, valtava "järjestelmäyksikkö" on toinen.
  • Esitys. Tyypillisesti laitteistoratkaisun suorituskyky on korkeampi. Jos vain siksi, että laitteistopalomuuri on mukana vain välittömässä toiminnassaan - pakettisuodatuksessa. Se ei suorita kolmannen osapuolen prosesseja tai palveluita, kuten ohjelmistopalomuurit usein tekevät. Kuvittele, että olet järjestänyt ohjelmistoyhdyskäytävän (palomuuri- ja NAT-toiminnoilla), joka perustuu palvelimeen, jossa on Windows Server. On epätodennäköistä, että omistat koko palvelimen vain palomuurille ja NAT:lle. Tämä on järjetöntä. Todennäköisesti muut palvelut ovat käynnissä siinä - sama AD, DNS jne. Olen jo vaiti DBMS:stä ja postipalveluista.
  • Luotettavuus. Uskotaan, että laitteistoratkaisut ovat luotettavampia (juuri siksi, että ne harvoin käyttävät kolmannen osapuolen palveluita). Mutta kukaan ei estä sinua valitsemasta erillistä järjestelmäyksikköä (vaikka ei nykyaikaisinta), asentamasta siihen samaa FreeBSD:tä (yksi maailman luotettavimmista käyttöjärjestelmistä) ja asettamasta palomuurisääntöjä. Uskon, että tällaisen ratkaisun luotettavuus ei ole huonompi kuin laitteistopalomuurin tapauksessa. Mutta tällainen tehtävä vaatii edistyneen järjestelmänvalvojan pätevyyden, minkä vuoksi aiemmin todettiin, että laitteistoratkaisut ovat helpompia käyttää.

Ohjelmiston palomuurien edut

Hyötyihin ohjelmistoratkaisuja liittyä:
  • Hinta. Ohjelmistopalomuurin hinta on yleensä halvempi kuin laitteiston. Keskimääräisen laitteistoratkaisun hinnalla voit suojata koko verkkosi ohjelmistopalomuurilla.
  • Mahdollisuus suojata verkkoasi sisältäpäin. Uhat eivät aina tule ulkopuolelta. Paikallisessa verkossa on monia uhkia. Hyökkäykset voivat tulla sisäisistä tietokoneista. Jokainen LAN-käyttäjä, esimerkiksi yritykseen tyytymätön, voi aloittaa hyökkäyksen. Kuten jo todettiin, voit tietysti käyttää erillistä laitteistoreititintä jokaisen yksittäisen solmun suojaamiseen, mutta käytännössä emme ole törmänneet tällaisiin ratkaisuihin. Ne ovat liian irrationaalisia.
  • Mahdollisuus rajata paikallisverkkosegmenttejä ilman aliverkkojen allokointia. Useimmiten paikallisverkkoon on kytketty eri osastojen tietokoneita, esimerkiksi kirjanpito, talousosasto, IT-osasto jne. Näiden tietokoneiden ei aina tarvitse olla yhteydessä toisiinsa. Kuinka erottaa ISPDn? Ensimmäinen ratkaisu on luoda useita aliverkkoja (esimerkiksi 192.168.1.0, 192.168.2.0 jne.) ja määrittää näiden aliverkkojen välinen reititys asianmukaisesti. Tämä ei tarkoita, että ratkaisu olisi kovin monimutkainen, mutta se on silti monimutkaisempi kuin ohjelmistopalomuurin käyttäminen. Eikä aina ole mahdollista erottaa aliverkkoja syystä tai toisesta. Toinen ratkaisu on käyttää palomuuria, joka on suunniteltu erityisesti suojaamaan ISPD:tä (kaikki ohjelmistopalomuurit eivät tee ISPD:n erottamista helposti toisistaan). Tässä tapauksessa jopa suurimmassa verkossa suoritat ISPD-erottelun muutamassa minuutissa, eikä sinun tarvitse vaivautua reititysasetuksiin.
  • Mahdollisuus ottaa käyttöön olemassa olevilla palvelimilla. Ei ole mitään järkeä ostaa toista laitteistoa, jos tietokonetta on riittävästi. Riittää, kun otat palomuuri käyttöön yhdelle palvelimista ja määrität NAT:n ja reitityksen. Tyypillisesti nämä molemmat toiminnot suoritetaan käyttämällä GUI palomuuri ja ne toteutetaan muutamalla hiiren napsautuksella oikeissa paikoissa.
  • Kehittyneet toiminnot. Ohjelmistopalomuurien toiminnallisuus on pääsääntöisesti laajempi kuin vastaavien laitteistojen. Joten jotkut palomuurit tarjoavat kuormituksen tasapainotustoimintoja, IDS/IPS:ää ja vastaavia hyödyllisiä asioita, jotka voivat parantaa tietojenkäsittelyjärjestelmän yleistä turvallisuutta. Kyllä, kaikissa ohjelmistopalomuureissa ei ole näitä ominaisuuksia, mutta mikään ei estä sinua valitsemasta tarpeisiisi sopivaa palomuuria. Tietysti joissakin laitteistojärjestelmissä on myös tällaisia ​​toimintoja. Esimerkiksi StoneGate IPS tarjoaa tunkeutumisenestojärjestelmän toiminnallisuuden, mutta tällaisten ratkaisujen kustannukset eivät aina miellytä yritysjohtoa. On myös laitteiston kuormituksen tasaajia, mutta ne ovat jopa kalliimpia kuin laitteisto-IPS.
Emme kirjoita haitoista - ne johtuvat eduista. Yhden palomuurityypin edut ovat yleensä toisen tyypin haitat. Esimerkiksi laitteistoratkaisujen haittoja ovat kustannukset ja mahdottomuus suojata paikallisverkkoa sisältäpäin, ja ohjelmistoratkaisujen haittoja ovat käyttöönoton ja käytön monimutkaisuus (vaikka kaikki on suhteellista, kuten todettiin).
Laitteistopalomuurissa on kuitenkin yksi haittapuoli, joka kannattaa mainita. Pääsääntöisesti kaikissa laitteiston palomuureissa on nollauspainike, jota painamalla voit palauttaa oletusasetukset. Tämän painikkeen painaminen ei vaadi erityistä pätevyyttä. Mutta jos haluat muuttaa ohjelmistopalomuurin asetuksia, sinun on hankittava vähintään järjestelmänvalvojan oikeudet. Yhdellä napin painalluksella tyytymätön työntekijä voi vaarantaa koko yrityksen turvallisuuden (tai jättää yrityksen ilman Internet-yhteyttä, mikä on vielä parempi). Siksi laitteistoratkaisuja käytettäessä sinun on otettava vastuullisempi lähestymistapa itse laitteiden fyysiseen turvallisuuteen.

Palomuurien taistelu

Seuraavaksi yritämme ymmärtää, mikä palomuuri tarjoaa paremman suojan: ohjelmisto vai laitteisto. Laitteisto on TP-Linkin reitittimeen sisäänrakennettu palomuuri. Ohjelmistona - Cybersafe Firewall.
Palomuurien testaamiseen käytämme www.testmypcsecurity.com-sivuston apuohjelmia, nimittäin Jumperia, DNStesteriä ja CPIL Suitea (Comodon kehittämä). Varoituksen sana: toisin kuin sertifioidut työkalut, kuten XSpider, nämä apuohjelmat käyttävät samoja tekniikoita kuin haittaohjelmat, joita ne simuloivat. Siksi testauksen aikana (jos haluat toistaa tulokset) kaikki virustorjuntatyökalut on poistettava käytöstä.
Tietysti voisi harkita XSpideria, mutta tämä testi olisi liian tylsä ​​ja epäkiinnostava loppulukijalle. Ja kuka voi kuvitella hyökkääjän käyttävän sertifioitua skanneria?
Lyhyesti apuohjelmista:
  • Jumper - voit ohittaa palomuurin käyttämällä "DLL-injektio"- ja "säikeen lisäys"-menetelmiä.
  • DNS Tester - Käyttää rekursiivista DNS-kyselyä palomuurin ohittamiseen.
  • CPIL Suite - Comodon testisarja (3 testiä).

Kaikki nämä apuohjelmat käynnistetään sisältä, eli suoraan testattavista tietokoneista. Mutta ulkopuolella skannaamme vanhalla hyvällä nmapilla.
Meillä on siis kaksi tietokonetta. Molemmat ovat yhteydessä Internetiin. Yksi on yhdistetty laitteistopalomuurin kautta (joka toimii TP-Link-reitittimellä), eikä siihen ole asennettu ohjelmistopalomuuria tai virustorjuntaa. Toinen tietokone on yhteydessä Internetiin suoraan ja on suojattu CyberSafe-ohjelmistopalomuurilla. Ensimmäiseen tietokoneeseen on asennettu Windows 7 ja toisessa Windows Server 2008 R2.

Testi 1: Puskuri

Jumper, joka käynnistettiin järjestelmänvalvojan oikeuksilla (rehellisesti sanottuna monet käyttäjät työskentelevät tällaisilla oikeuksilla), suoritti tehtävänsä onnistuneesti Windows 7:ssä (kuva 1). Mikään ei voinut pysäyttää häntä – järjestelmäämme ei loppujen lopuksi asennettu yhtään suojaustyökalua, ei virustorjuntaa, ei palomuuria, ei IDS/IPS:ää, eikä laitteistopalomuuri välitä siitä, mitä asiakastietokoneissa tapahtuu. Hän ei voi vaikuttaa tapahtumiin millään tavalla.


Riisi. 1. Jumper Windows 7:ssä

Ollakseni rehellinen, on huomattava, että jos käyttäjä ei olisi työskennellyt järjestelmänvalvojana, mikään ei olisi toiminut Jumperille.
Windows Server 2008:ssa Jumper ei edes käynnistynyt, mutta tämä ei ole palomuurin, vaan itse käyttöjärjestelmän ansio. Siksi palomuurien välillä on pariteetti, koska käyttöjärjestelmä itse voi tarjota suojan tätä haavoittuvuutta vastaan.

Testi 2. DNS-testeri

Tämän testin tarkoitus on lähettää rekursiivinen DNS-kysely. Oletuksena Windows 2000:sta alkaen Windows-palvelu DNS-asiakas hyväksyy ja hallitsee kaikki DNS-kyselyt. Tällä tavalla kaikki DNS-pyynnöt kaikista järjestelmän sovelluksista lähetetään DNS-asiakkaalle (SVCHOST.EXE). DNS-asiakas tekee suoraan DNS-pyynnön. DNStester käyttää rekursiivista DNS-kyselyä palomuurin ohittamiseen, toisin sanoen palvelu kutsuu itsensä.


Riisi. 2. Testi epäonnistui

Jos palomuuriasetukset jätetään oletusarvoiksi, ohjelmisto tai laitteistopalomuuri eivät selviä tästä testistä. On selvää, että laitteistopalomuuri ei välitä siitä, mitä työasemalla tapahtuu, joten sen ei voida odottaa suojaavan järjestelmää tältä haavoittuvuudella. Joka tapauksessa oletusasetuksilla (ja ne eivät käytännössä muuttuneet).
Mutta tämä ei tarkoita, että Cybersafe Firewall olisi huono palomuuri. Kun turvataso nostettiin kolmanteen, testi läpäistiin täysin (ks. kuva 3). Ohjelma ilmoitti virheestä DNS-pyynnössä. Varmistaakseen, että tämä ei ollut Windows Server 2008:n vika, testi toistettiin Windows 7 -koneella.


Riisi. 3. Testi läpäissyt (DNStest)

Ollakseni oikeudenmukainen, on huomattava, että jos tietokoneellesi on asennettu virustorjunta, niin todennäköisesti Tämä hakemus asetetaan karanteeniin, mutta sillä on vielä aikaa lähettää yksi pyyntö (kuva 4).


Riisi. 4. Comodo Antivirus esti ei-toivotun sovelluksen

Testi 3. Comodon testipaketti (CPIL)

Joten laitteiston palomuuri oletusasetuksineen epäonnistui kaikissa kolmessa CPIL-testissä (jos napsautat Kerro minulle lisää testistä, näkyviin tulee ikkuna, joka selittää testin periaatteen). Mutta hän epäonnistui heissä jollain oudolla tavalla. Testin läpäiseminen sisältää seuraavan toimintosarjan:
  1. Sinun on syötettävä lähetetyt tiedot. Syötimme arvot 1, 2, 3 testeille 1, 2 ja 3.
  2. Paina sitten yhtä testikutsupainikkeista (kuva 5).


Riisi. 5.CPIL Test Suite

Tämän jälkeen selaimen pitäisi avautua testituloksilla. Sen lisäksi, että testi epäonnistui, tulossivulla olisi pitänyt näyttää syöttämämme arvo, joka välitettiin komentosarjalle GET-parametrina (katso kuva 6). Voidaan nähdä, että arvo (2 osoitepalkissa) välitettiin, mutta komentosarja ei näyttänyt sitä. Comodon kirjoitusvirhe? Tietysti kaikki tekevät virheitä, mutta luottamuksemme tähän testiin on heikentynyt.


Riisi. 6. Testitulos (laitteiston palomuuri)

Mutta käytettäessä ohjelmistopalomuuria, CPIL-testit eivät edes toimineet. Kun painikkeita 1 - 3 painettiin, mitään ei tapahtunut (kuva 7). Onko se todellakin Windows Server 2008:n vika eikä palomuurissa? Päätimme tarkistaa sen. Siksi Cybersafe Firewall asennettiin Windows 7 -tietokoneeseen, joka on suojattu laitteistopalomuurilla. Mutta Windows 7:ssä apuohjelma onnistui murtamaan palomuurin suojauksen. Ensimmäinen ja kolmas testi läpäistiin, mutta kun painoimme Test 2 -painiketta, jouduimme miettimään ikkunaa Chrome-selain, samanlainen kuin kuvassa näkyy. 6.


Riisi. 7. Kun napsautat painiketta, mitään ei tapahdu (näet, että virustorjunta on poistettu käytöstä)


Riisi. 8. Testit 1 ja 3 läpäisty

Testi 4. Skannaus ulkopuolelta

Ennen tätä yritimme murtautua palomuurin läpi sisältä käsin. Yritetään nyt skannata palomuurilla suojattuja järjestelmiä. Me skannaamme nmap skanneri. Kukaan ei epäillyt laitteistopalomuurin tuloksia - kaikki oli suljettuna ja oli mahdotonta edes määrittää testattavan järjestelmän tyyppiä (kuvat 9 ja 10). Kaikissa myöhemmissä kuvissa IP-osoitteet on piilotettu, koska ne ovat pysyviä - jotta kukaan ei halua toistaa testiä osoitteillamme.


Riisi. 9. Tarkista laitteiston palomuuri


Riisi. 10. Laitteiston palomuurin tarkistus (isäntätiedot)

Yritetään nyt skannata ohjelmistopalomuurilla suojattu järjestelmä. On selvää, että oletusarvoisesti ohjelmistopalomuuri sallii kaiken ja kaiken läpi (kuva 11).


Riisi. yksitoista. Avaa portit(ohjelmiston palomuuri, oletusasetukset)


Riisi. 12. Järjestelmän tyyppi määritetty (ohjelmiston palomuuri, oletusasetukset)

Kun säännöt on asetettu, kaikki loksahtaa paikoilleen (kuva 13). Kuten näette, ohjelmistopalomuuri takaa suojatun järjestelmän turvallisuuden ei huonommin kuin sen "laitteisto"-vastine.


Riisi. 13. Ei avoimia portteja

Lähiverkkohyökkäykset

Miksi on niin tärkeää tarjota suojaus paikallisverkossa? Monet ylläpitäjät eivät virheellisesti kiinnitä huomiota suojaamiseen sisältä, mutta turhaan. Loppujen lopuksi monet hyökkäykset voidaan toteuttaa paikallisessa verkossa. Katsotaanpa joitain niistä.

ARP-hyökkäys

Ennen verkkoyhteyden muodostamista tietokone lähettää ARP-pyynnön selvittääkseen, onko tietokoneen IP-osoite varattu. Kun paikallisverkossa on useita Windows-koneita samalla IP-osoitteella, käyttäjä näkee ikkunan, jossa ilmoitetaan, että IP-osoite on varattu (toisen tietokoneen käyttämä). Windows tietää, että IP-osoite on varattu ARP-protokollan kautta.
ARP-hyökkäys tarkoittaa, että hyökkääjä tulvii alle käynnissä olevia koneita Windowsin ohjaus. Lisäksi jokaiselle tietokoneelle lähetetään satoja pyyntöjä, minkä seurauksena käyttäjä ei voi sulkea jatkuvasti ponnahdusikkunoita ja joutuu ainakin käynnistämään tietokoneen uudelleen.
Tilanne ei ole kovin miellyttävä. Mutta palomuurin läsnäolo työasemassa tekee tyhjäksi kaikki hyökkääjän ponnistelut.

DoS-hyökkäykset, mukaan lukien erilaiset tulvahyökkäykset

DoS-hyökkäykset (kieltohyökkäykset) ovat mahdollisia paitsi Internetissä, myös sisällä paikalliset verkot. Vain tällaisten hyökkäysten menetelmät eroavat. DoS-hyökkäykset voivat olla luonteeltaan mitä tahansa, mutta niitä on mahdotonta torjua ilman palomuuria, joka on asennettu jokaiseen paikallisverkon koneeseen.
Eräs DoS-hyökkäystyyppi, jota voidaan menestyksekkäästi käyttää paikallisessa verkossa, on ICMP-tulva. Palomuuri CyberSafe Firewall sisältää erityisiä työkaluja tämäntyyppisten hyökkäysten torjuntaan (kuva 14). Se sisältää myös palvelimen kuormituksen tasapainotustyökaluja, jotka voivat myös auttaa torjumaan DoS-hyökkäyksiä.


Riisi. 14. ICMP-suojaus (CyberSafe Firewall)

MAC-osoitteen muuttaminen

Paikallisessa verkossa tietokoneet tunnistetaan IP-osoitteen lisäksi myös MAC-osoitteen perusteella. Jotkut järjestelmänvalvojat sallivat pääsyn tiettyihin resursseihin MAC-osoitteen perusteella, koska IP-osoitteet ovat yleensä dynaamisia ja DHCP:n myöntämiä. Tämä ratkaisu ei ole kovin perusteltu, koska MAC-osoite on erittäin helppo muuttaa. Valitettavasti ei aina ole mahdollista suojautua MAC-osoitteen muutoksilta palomuurilla. Kaikki palomuurit eivät seuraa MAC-osoitteiden muutoksia, koska ne on yleensä sidottu IP-osoitteisiin. Tehokkain ratkaisu tässä on kytkimen käyttö, jonka avulla voit sitoa MAC-osoitteen kytkimen tiettyyn fyysiseen porttiin. Tällaista suojaa on lähes mahdotonta pettää, mutta se maksaa myös paljon. Totta, on olemassa myös ohjelmistokeinoja MAC-osoitteen muutosten torjumiseksi, mutta ne ovat vähemmän tehokkaita. Jos olet kiinnostunut palomuurista, joka tunnistaa MAC-osoitehuijauksen, kiinnitä huomiota Kaspersky Internet Security 8.0:aan. Totta, jälkimmäinen voi tunnistaa vain yhdyskäytävän MAC-osoitteen korvaamisen. Mutta se tunnistaa täysin tietokoneen IP-osoitteen korvaamisen ja IP-tulvan.

IP-osoitteen huijaus

Verkoissa, joissa resurssien pääsyä rajoittavat IP-osoitteet, hyökkääjä voi muuttaa IP-osoitteen ja päästä suojattuun resurssiin. Cybersafe Firewall -palomuuria käytettäessä tällainen skenaario on mahdoton, koska IP-osoitteisiin ei ole sitoutumista edes itse palomuurille. Vaikka muutat tietokoneen IP-osoitetta, se ei silti sisälly ISDN-verkkoon, johon hyökkääjä yrittää tunkeutua.

Reitityshyökkäykset

Tämäntyyppinen hyökkäys perustuu "väärennösten" ICMP-pakettien lähettämiseen uhrille. Tämän hyökkäyksen ydin on yhdyskäytävän osoitteen huijaaminen - uhrille lähetetään ICMP-paketti, joka kertoo hänelle lyhyemmän reitin. Mutta itse asiassa paketit eivät kulje uuden reitittimen, vaan hyökkääjän tietokoneen läpi. Kuten aiemmin todettiin, Cybersafe Firewall tarjoaa ICMP-suojauksen. Vastaavasti voidaan käyttää muita palomuureja.

Paikallisiin verkkoihin kohdistuu monia muita hyökkäyksiä - sekä haistajia että erilaisia ​​DNS-hyökkäyksiä. Oli miten oli, jokaiseen työasemaan asennettujen ohjelmistopalomuurien käyttö voi parantaa tietoturvaa merkittävästi.

johtopäätöksiä

Suojaus tietojärjestelmä tulee olla kattava – tämä sisältää ohjelmisto- ja laitteistopalomuurit, viruksentorjuntaohjelmat ja oikea asetus itse järjestelmä. Mitä tulee ohjelmisto- ja laitteistopalomuuriemme yhteenottoon, ensimmäisiä käytetään tehokkaasti jokaisen verkkosolmun suojaamiseen ja jälkimmäisiä koko verkon suojaamiseen. Laitteistopalomuuri ei voi tarjota suojaa jokaiselle yksittäiselle työasemalle, se on voimaton verkon sisäisiä hyökkäyksiä vastaan, eikä myöskään pysty erottamaan ISDN:ää, mikä on tehtävä henkilötietojen suojaamisen yhteydessä.

Tunnisteet: Lisää tunnisteita

Kysymyksen Mikä on palomuuri ja missä se voi sijaita? kirjoittajan antama Kiero paras vastaus on Tämä on suoja kaikilta yrityksiltä tunkeutua tietokoneeseesi ja haitallisilta ohjelmilta. Jos se on tavallinen Windows, löydät sen ohjauspaneelista (palomuuri)

Vastaus osoitteesta Imeä[guru]
Käynnistä tietokoneesi uudelleen


Vastaus osoitteesta Huuhtele[guru]
lue minut lukemaan


Vastaus osoitteesta Paha hamsteri[guru]
Palomuuri on käännetty. Se on sisäänrakennettu XP Service Pack 2:een. Katso Turvakeskus.


Vastaus osoitteesta Zaichena[hallita]
Palomuuri on palo useissa laitteissa. Luulen sen olevan Victory Parkissa, mutta voin olla väärässä.



Vastaus osoitteesta *lix[asiantuntija]
Palomuuri tai palomuuri (jarg: palomuuri tai palomuuri englanninkielisestä palomuurista) - laitteisto- ja/tai yhdistelmä ohjelmisto, joka ohjaa ja suodattaa sen läpi kulkevia verkkopaketteja OSI-mallin eri tasoilla määritettyjen sääntöjen mukaisesti. Palomuurin päätehtävä on suojata tietokoneverkkoja tai yksittäisiä solmuja luvattomalta käytöltä. Myös palomuuria kutsutaan usein suodattimiksi, koska niiden päätehtävänä ei ole sallia (suodattaa) paketteja, jotka eivät täytä konfiguraatiossa määritettyjä ehtoja.


Vastaus osoitteesta Käyttäjä poistettu[aloittelija]
palomuuri: a) ohjelmisto - ohjelma, joka suojaa ja valvoo tietokoneen verkkotoimintaa, eli verkon hyökkäyksiltä ja vastaavilta.
b) laitteisto - jos en erehdy, sama asia, se ei ole ohjelma vaan ulkoinen laite, muuten hyödyllinen asia :)
palomuuri näyttää olevan sama asia

31lokakuu

Mikä on palomuuri (palomuuri)

Palomuuri tai Palomuuri on tietokoneohjelma, jonka tarkoituksena on suojata tietokonettasi viruksilta ja. Palomuuri seuraa verkkoliikennettä, joka tulee käyttöjärjestelmään ja auttaa pysäyttämään haittaohjelmat, jotka yrittävät päästä käsiksi käyttäjän henkilökohtaisiin tietoihin. Lisäksi termeillä palomuuri ja palomuuri on toinen määritelmä. Näitä termejä käytetään yleisesti kuvaamaan palonkestäviä kapitaleita, joiden pitäisi teoriassa suojata taloja tulipaloilta tiheästi rakennetuilla alueilla.

Mikä on palomuuri (palomuuri) - yksinkertaisin sanoin.

Yksinkertaisin sanoin, Palomuuri (palomuuri) on erityinen suoja tietokoneohjelmat, jotka skannaavat jatkuvasti Internetiin vastaanotettuja ja lähetettyjä tietoja. Kuvaannollisesti sanottuna nämä ovat virtuaalisia seiniä, jotka suojaavat tietokonetta Internetin vaaroilta: viruksilta, rootkit-ohjelmilta, vakoiluohjelmilta jne. Vaikka on syytä huomata, että palomuuri ei ole ainoa tai luotettavin tietokoneesi suojan lähde. Pääsääntöisesti parhaan turvallisuuden takaamiseksi palomuuri (palomuuri) toimii aina yhdessä virustentorjunta- ja vakoiluohjelmien torjuntaohjelmiston kanssa.

Useimmissa tapauksissa palomuuri asennetaan suoraan työkoneeseen (PC), mutta joskus, kuten useissa toimistoissa, joissa on paljon tietokoneita, palomuuri asennetaan fyysisenä laitteena ( mutta siitä lisää myöhemmin). Leikkaussalin käyttäjät Windows-järjestelmät, sinun ei tarvitse asentaa palomuuria itse ( erikseen), koska käyttöjärjestelmällä on alun perin oma - Windowsin palomuuri.

Palomuuri - miten se toimii, yksinkertaisin sanoin.

Menemättä monimutkaisiin teknisiin yksityiskohtiin, palomuurin työtä voidaan kuvata seuraavasti. Kun käyttäjä käynnistää Internetiin liittyvän ohjelman, kuten selaimen tai tietokonepeli, tietokone muodostaa yhteyden etäsivustoon ja lähettää tietoja käyttäjän tietokonejärjestelmästä. Ennen kuin tiedot lähetetään tai vastaanotetaan, ne kuitenkin kulkevat palomuurin läpi ( palomuuri), jossa asetetuista parametreista riippuen tiedot ohitetaan tai pysäytetään.

Kuvaannollisesti sanottuna palomuuri toimii työssään eräänlaisena rajavartijana tai tullivirkailijana, joka valvoo kaikkea, mitä viedään ja tuodaan tietokoneelle. Lisäksi hänen tehtäviinsä kuuluu tarkistaa, että datapaketit ovat vaadittujen parametrien mukaisia. Näin ollen palomuuri voi auttaa estämään olemassa olevien haittaohjelmien, kuten troijalaisten ja muiden vakoiluohjelmien, toiminnan. Yksinkertaisesti sanottuna näyttö ei yksinkertaisesti lähetä näiden ohjelmien keräämiä tietoja Internetiin. Mutta tämä on tietysti kaikki teoriassa, koska tällaisia ​​haittaohjelmia parannetaan jatkuvasti ja ne oppivat pettämään palomuureja.

Mikä on laitteistopalomuuri ja kuinka suojata verkkoasi?

Laitteistopalomuuri on fyysinen laite, joka yhdistää tietokoneen tai verkon Internetiin käyttämällä tiettyjä edistyneitä tekniikoita suojaamaan luvattomalta käytöltä. Langalliset reitittimet, laajakaistayhdyskäytävät ja langattomat reitittimet sisältää laitteiston palomuurit, jotka suojaavat jokaista verkon tietokonetta. Laitteistopalomuurit käyttävät erilaisia ​​suojaustyyppejä verkon suojaamiseen: pakettisuodatusta, tilallista pakettien tarkistusta, verkko-osoitteiden muuntamista ja sovellustason yhdyskäytäviä.

Pakettisuodatuspalomuuri tarkistaa kaikki järjestelmään ja järjestelmästä lähetetyt datapaketit. Se välittää tietoja verkonvalvojan määrittelemien sääntöjen perusteella. Tämä laitteistopalomuuri tarkastaa paketin otsikon ja suodattaa paketit lähdeosoitteen, kohdeosoitteen ja portin perusteella. Jos paketti ei täytä sääntöjä tai täyttää estokriteerit, se ei saa kulkea tietokoneen tai verkon läpi.

Dynaaminen pakettisuodatus tai tilallinen pakettitarkastus, tämä on monimutkaisempi suojausmenetelmä. Tämä palomuuri tarkkailee, mistä paketti tuli selvittääkseen, mitä sille tehdään. Se tarkistaa, onko tiedot lähetetty vastauksena lisätietopyyntöön vai ilmestyivätkö ne vain itsestään. Paketit, jotka eivät vastaa määritettyä yhteystilaa, hylätään.

Toinen tapa varmistaa tietoturva on verkko-osoitteen muunnos (NAT) -reititin. Se piilottaa tietokoneen tai tietokoneiden verkon ulkomaailmalta ja esittelee sellaisen yleisölle Internet-yhteyttä varten. Palomuurin IP-osoite on ainoa kelvollinen osoite tässä skenaariossa, ja se on ainoa IP-osoite, joka esitetään kaikille verkon tietokoneille. Jokaiselle verkon sisäisen puolen tietokoneelle on määritetty oma IP-osoite, joka on voimassa vain verkon sisällä. Tämä suojausvaihtoehto on erittäin tehokas, koska sen avulla voit käyttää vain yhtä julkista IP-osoitetta tietopakettien lähettämiseen ja vastaanottamiseen. Mikä puolestaan ​​​​minimoi merkittävästi haittaohjelmien leviämisen mahdollisuuden. Tämä laitteistopalomuuri on yleensä toteutettu erillisellä verkossa olevalla tietokoneella, jonka ainoana tehtävänä on toimia . Se on melko monimutkainen ja sitä pidetään yhtenä turvallisimmista laitteistopalomuurityypeistä.

Palomuurien perusongelmat.

On useita yleisiä ongelmia ongelmia, joita voi ilmetä palomuurin käytön seurauksena. Yleisin ongelma on, että haittaohjelmien lisäksi palomuuri estää usein normaalin tarvitsemamme liikenteen. Joillakin sivustoilla saattaa olla rajoitettu pääsy tai eivät avaudu, koska ne oli diagnosoitu väärin. Varsin usein ongelmia syntyy verkkopelejä, koska palomuuri tunnistaa usein tällaisen liikenteen haitalliseksi ja estää ohjelmia toimimasta. Tämän perusteella on syytä huomioida, että vaikka palomuuri onkin erittäin hyödyllinen asia, se on konfiguroitava oikein, jotta se ei pilaa elämää kielloillaan.

Luokat: , // alkaen

Aiheeseen liittyviä julkaisuja