Базы данныхИнтернетКомпьютерыОперационные системыПрограммированиеСетиСвязьРазное
Поиск по сайту:
Подпишись на рассылку:

Назад в раздел

Проблемы брандмауэров

div.main {margin-left: 20pt; margin-right: 20pt} Проблемы брандмауэров:
риск - цена гибкости

Рынок брандмауэров, развивавшийс с целью компенсировать невозможность обеспечения серьезной защиты в чувствительных сетях путем фильтрации пакетов, раскололся надвое: брандмауэры на основе представителей (proxy) и те, которые рассчитаны на оценку соответствия (stateful inspection).

Все брандмауэры призваны быть "привратниками", выпуская пользователей защищенной сети в большой и опасный незащищенный мир. Однако эту задачу они выполняют по-разному, каждый - со своим уровнем гибкости доступа пользователей к удаленной информации и своим риском взлома защиты хакером.

Если компании совершенно необходимо, чтобы у пользователей был доступ к граничным протоколам Internet, то единственно возможное решение - применить технологию оценки соответствия. С другой стороны, не стихают дебаты на тему, сможет ли какой-либо хитрый хакер найти способ "подавить" эти брандмауэры путем размаркировки пакетов.

Первые брандмауэры были основаны на использовании программных агентов-представителей; большинство предлагаемых сегодня продуктов созданы именно по этой технологии.

Системы на базе представителей должны детально распознавать специфические IP-протоколы, такие, как FTP и HTTP. Любые пакеты, проходящие через брандмауэр, анализируются, для того чтобы убедиться, представляют ли они собой именно то, что значится в их описании. Например, пакеты, описанные как пакеты протокола HTTP, но на самом деле включающие данные Telnet, пропущены не будут.

Представители обеспечивают высокую степень безопасности, но несколько ограничены в своих возможностях взаимодействия с новыми IP-протоколами, наводнившими Internet.

Повление новых служб, таких, как RealAudio, требует от поставщиков брандмауэров встраивать в свои продукты еще один компонент ПО.

Некоторые поставщики гораздо активнее других стремятся сохранить современность своих брандмауэров путем добавления агентов для работы с новыми протоколами. Несколько брандмауэров все еще не совместимы со спецификацией SSL (Secure Socket Layer), применяемой для кодированных транзакций, к примеру в WWW. Некоторые IP-протоколы, включая User Datagram Protocol, просто не обрабатываются брандмауэрами на базе программных агентов, так как состоят из последовательностей пакетов, не образующих продолжительных сессий, которые можно отследить.

Этот недостаток можно исправить, увеличив число представителей и оставив определенные порты открытыми для любых пакетов. Но это делает бессмысленным само существование брандмауэра.

Регистриру весь IP-трафик, проходящий через брандмауэр, ПО, использующее технологию оценки соответствия, избавляется от необходимости детально распознавать различные IP-протоколы, а лишь убеждается в том, что пакеты, приходящие снаружи, были прежде запрошены изнутри.

Такой подход представлет собой в общих чертах обновленное средство фильтрации пакетов, объединенное с "историческим контекстом".

Брандмауэры, отслеживающие состояние, количество которых стало возрастать в последнее время, обеспечивают хороший уровень безопасности и бо'льшую степень гибкости в поддержке новых протоколов, чем представители. Чтобы создать описание нового протокола, достаточно нажать несколько кнопок и задать число портов и типы IP-данных.

КАК РАЗВИВАЛИСЬ БРАНДМАУЭРНЫЕ ТЕХНОЛОГИИ

Фильтраци пакетов

Анализируется отдельно каждый пакет, контекст не рассматривается Работает на сетевом уровне; используется большинством маршрутизаторов Требует оставлть несколько портов открытыми для заранее определенных служб Не может работать в защищенном режиме с протоколами, не контролирующими наличие логического соединения, такими, как UDP

Брандмауэры на базе представителей

Распознают с высокой точностью IP-протоколы, делая возможным анализ на уровне приложения; высокая степень безопасности Недостаточно гибки. Требуют нового ПО для новых протоколов Internet Не способны работать в защищенном режиме с протоколами, не контролирующими наличие логического соединения

Брандмауэры, производщие оценку состояния

Анализируют пакеты, основываясь на контексте предыдущих передач, хранимых в базе данных; создают запись состояния Допускают работу с протоколами, не контролирующими наличие логического соединения с некоторой степенью защиты Дают наибольшую гибкость для работы с растущим числом протоколов Internet

  • Главная
  • Новости
  • Новинки
  • Скрипты
  • Форум
  • Ссылки
  • О сайте




  • Emanual.ru – это сайт, посвящённый всем значимым событиям в IT-индустрии: новейшие разработки, уникальные методы и горячие новости! Тонны информации, полезной как для обычных пользователей, так и для самых продвинутых программистов! Интересные обсуждения на актуальные темы и огромная аудитория, которая может быть интересна широкому кругу рекламодателей. У нас вы узнаете всё о компьютерах, базах данных, операционных системах, сетях, инфраструктурах, связях и программированию на популярных языках!
     Copyright © 2001-2024
    Реклама на сайте