Tulemüür või tulemüür on riist- või tarkvara komplekt, mis juhib ja filtreerib seda läbivaid võrgupakette OSI mudeli erinevatel tasanditel vastavalt kindlaksmääratud reeglitele.
Tulemüüri põhiülesanne on kaitsta arvutivõrke või üksikuid sõlme volitamata juurdepääsu eest. Samuti nimetatakse tulemüüre sageli filtriteks, kuna nende põhiülesanne on mitte lasta läbi (filtreerida) pakette, mis ei vasta konfiguratsioonis määratletud kriteeriumidele (joonis 6.1).
Tulemüüril on mitu nime. Vaatame neid.
Firewall (saksa: Brandmauer) on saksa keelest laenatud termin, mis on ingliskeelse tulemüüri analoog selle algses tähenduses (sein, mis eraldab külgnevaid hooneid, kaitseb tule leviku eest). Huvitav on see, et arvutitehnoloogia valdkonnas kasutatakse saksa keeles sõna "tulemüür".
Tulemüür, tulemüür, tulemüür – moodustatud ingliskeelse termini firewall transliteratsiooni teel, mis on samaväärne terminiga firewall, ei ole praegu vene keeles ametlik laen.
Joonis 6.1 ME tüüpiline paigutus ettevõtte võrgus
Kaasaegses Internetis kasutatakse iga päev kahte selgelt eristatavat tulemüüri tüüpi. Esimest tüüpi nimetatakse õigemini pakettide filtreerimise ruuteriks. Seda tüüpi tulemüür töötab mitme võrguga ühendatud masinas ja rakendab igale paketile reeglistiku, mis määrab, kas pakett saadetakse edasi või blokeeritakse. Teist tüüpi, tuntud kui puhverserver, rakendatakse deemonitena, mis teostavad autentimist ja pakettide edastamist, võib-olla mitme võrguühendusega masinas, kus pakettide edastamine on tuumas keelatud.
Mõnikord kasutatakse neid kahte tüüpi tulemüüre koos, nii et ainult kindlal masinal (tuntud kui bastioni hostil) on lubatud saata pakette läbi filtreerimisruuteri sisevõrku. Puhverserveri teenused töötavad turvalises hostis, mis on tavaliselt turvalisem kui tavalised autentimismehhanismid.
Tulemüürid on erineva kuju ja suurusega ning mõnikord on need vaid mitme erineva arvuti kogum. Siin viitab tulemüür usaldusväärsete võrkude (näiteks sisevõrkude) ja ebausaldusväärsete võrkude (nt Internet) vahel olevale arvutile või arvutitele, mis kontrollivad kogu nende vahelist liiklust. Tõhusatel tulemüüridel on järgmised omadused:
· Kõik ühendused peavad läbima tulemüüri. Selle tõhusus väheneb oluliselt, kui on olemas alternatiivne võrgumarsruut – volitamata liiklus edastatakse tulemüürist mööda.
· Tulemüür lubab ainult lubatud liiklust. Kui see ei suuda selgelt eristada lubatud ja volitamata liiklust või kui see on konfigureeritud lubama ohtlikke või mittevajalikke ühendusi, väheneb selle kasulikkus oluliselt. Kui tulemüür ebaõnnestub või on ülekoormatud, peaks see alati lülituma ebaõnnestunud või suletud olekusse. Parem on ühendused katkestada kui jätta süsteemid kaitseta.
· Tulemüür peab seisma vastu enda vastu suunatud rünnakutele, kuna selle kaitseks pole paigaldatud lisaseadmeid.
Tulemüüri võib võrrelda välisukse lukuga. See võib olla maailma kõige turvalisem, kuid kui uks pole lukus, võivad sissetungijad selle hõlpsalt avada. Tulemüür kaitseb võrku volitamata juurdepääsu eest, nagu lukk kaitseb ruumi sissepääsu. Kas jätaksite väärtesemed koju, kui välisukse lukk poleks turvaline?
Tulemüür on vaid osa üldisest turbearhitektuurist. Siiski mängib see võrgustruktuuris väga olulist rolli ja nagu igal teisel seadmel, on sellel oma eelised ja puudused.
Tulemüüri eelised:
· Tulemüürid on suurepärane vahend ettevõtte turvapoliitika rakendamiseks. Need peaksid olema konfigureeritud piirama ühendusi, lähtudes juhtkonna arvamusest selles küsimuses.
· Tulemüürid piiravad juurdepääsu teatud teenustele. Näiteks võib olla lubatud avalik juurdepääs veebiserverile, kuid telnet ja muud mitteavalikud teenused ei pruugi olla lubatud. Enamik tulemüüre pakub autentimise kaudu valikulist juurdepääsu.
· Tulemüüride eesmärk on väga konkreetne, mistõttu pole vaja teha järeleandmisi turvalisuse ja kasutatavuse vahel.
· Tulemüürid on suurepärane audititööriist. Piisava kõvakettaruumi või kauglogimise toega saavad nad logida teavet mis tahes läbiva liikluse kohta.
· Tulemüüridel on väga head võimalused töötajate teavitamiseks konkreetsetest sündmustest.
Tulemüüride puudused:
· Tulemüürid ei blokeeri seda, mis on lubatud. Need võimaldavad luua tavalisi ühendusi volitatud rakendustest, kuid kui rakendused kujutavad endast ohtu, ei saa tulemüür rünnakut ära hoida, käsitledes ühendust volitatud kujul. Näiteks lubavad tulemüürid meili postiserveri kaudu, kuid ei tuvasta sõnumites viirusi.
· Tulemüüride tõhusus sõltub reeglitest, mille jõustamiseks need on konfigureeritud. Reeglid ei tohiks olla liiga lõdvad.
· Tulemüürid ei takista sotsiaalse manipuleerimise rünnakuid ega volitatud kasutaja rünnakuid, kes kasutavad oma aadressi tahtlikult ja pahatahtlikult.
· Tulemüürid ei talu halbu haldustavasid ega halvasti kavandatud turbepoliitikaid.
· Tulemüürid ei takista rünnakuid, kui liiklus neid ei läbi.
Mõned inimesed on ennustanud tulemüüride ajastu lõppu, millel on raskusi volitatud ja volitamata rakenduste liikluse eristamisega. Paljud rakendused, näiteks kiirsuhtlus, muutuvad üha mobiilsemaks ja ühilduvamaks mitme pordiga. Nii saavad nad tulemüürist mööda minna pordi kaudu, mis on avatud teisele volitatud teenusele. Lisaks suunavad üha enam rakendusi liiklust teiste volitatud portide kaudu, mis on kõige tõenäolisemalt juurdepääsetavad. Sellised populaarsed rakendused on näiteks HTTP-Tunnel (www.http-tunnel.com) ja SocksCap (www.socks.permeo.com). Lisaks töötatakse välja rakendusi, mis on spetsiaalselt loodud tulemüüridest mööda hiilimiseks, näiteks arvuti kaugjuhtimisrakendus GoToMyPC (www.gotomypc.com).
Tulemüürid ei tööta aga ilma võitluseta. Suuremate tarnijate praegused tarkvaraväljaanded sisaldavad täiustatud sissetungi ennetamise tööriistu ja rakenduskihi varjestusvõimalusi. Need tulemüürid tuvastavad ja filtreerivad volitamata liiklust, näiteks kiirsuhtlusrakendusi, mis üritavad tungida portidesse, mis on avatud teistele volitatud teenustele. Lisaks võrdlevad tulemüürid nüüd jõudlust avaldatud protokollistandardite ja erinevate tegevuste tunnustega (sarnaselt viirusetõrjetarkvaraga), et tuvastada ja blokeerida edastatud pakettides sisalduvaid ründeid. Seega jäävad need võrkude kaitsmise peamiseks vahendiks. Kui aga tulemüüri pakutav rakenduste kaitse on ebapiisav või ei suuda õigesti eristada volitatud ja volitamata liiklust, tuleks kaaluda alternatiivseid kompenseerivaid turbemeetodeid.
Tulemüür võib olla ruuter, personaalarvuti, spetsiaalselt loodud masin või hostide kogum, mis on spetsiaalselt konfigureeritud kaitsma privaatvõrku protokollide ja teenuste eest, mida võidakse pahatahtlikult kasutada väljaspool usaldusväärset võrku.
Kaitsemeetod sõltub tulemüürist endast, aga ka sellel konfigureeritud reeglitest või reeglitest. Tänapäeval on kasutusel neli tulemüüritehnoloogiat:
· Partiifiltrid.
· Rakenduste lüüsid.
· Loop tasemel lüüsid.
· Adaptiivsed pakettide kontrollimise seadmed.
Enne tulemüüride funktsioonide uurimist heitkem pilk edastuse juhtimise ja Interneti-protokolli (TCP/IP) komplektile.
TCP/IP pakub meetodit andmete edastamiseks ühest arvutist teise võrgu kaudu. Tulemüüri eesmärk on juhtida TCP/IP-pakettide edastamist hostide ja võrkude vahel.
TCP/IP on protokollide ja rakenduste kogum, mis täidavad erinevaid funktsioone vastavalt avatud süsteemide vastastikuse ühenduse (OSI) mudeli konkreetsetele kihtidele. TCP/IP edastab iseseisvalt andmeplokke üle võrgu pakettide kujul ja iga TCP/IP mudeli kiht lisab paketile päise. Olenevalt kasutatavast tehnoloogiast töötleb tulemüür nendes päistes sisalduvat teavet juurdepääsu kontrollimise eesmärgil. Kui see toetab rakenduste piiritlemist rakenduse lüüsidena, saab juurdepääsu kontrolli saavutada ka paketi kehas sisalduvate andmete endi abil.
Infovoogude juhtimine seisneb nende filtreerimises ja teisendamises vastavalt etteantud reeglistikule. Kuna tänapäevastes tulemüürides saab filtreerimist läbi viia erinevatel Open Systems Interconnection (OSI) võrdlusmudeli tasanditel, on tulemüüri mugav kujutada filtrite süsteemina. Iga filter teeb seda läbivate andmete analüüsi põhjal otsuse – jätta edasi, visata see ekraani taha, blokeerida või teisendada andmed (joonis 6.2).
Joonis 6.2 Filtreerimisskeem ME-s.
ME lahutamatu funktsioon on teabevahetuse logimine. Logide pidamine võimaldab administraatoril tuvastada kahtlased toimingud ja vead tulemüüri konfiguratsioonis ning otsustada tulemüürireegleid muuta.
Ekraani klassifikatsioon
Vastavalt OSI erinevatel tasanditel toimimisele eristatakse järgmist ME klassifikatsiooni:
· Sildekraanid (OSI tase 2).
· Ruuterite filtreerimine (OSI tasemed 3 ja 4).
· Seansitaseme lüüsid (OSI tase 5).
· Rakenduse taseme lüüsid (OSI tase 7).
· Keerulised ekraanid (OSI tasemed 3-7).
Joon.6.3 OSI mudel
Sild ME-d
See tulemüüride klass, mis töötab OSI mudeli 2. kihil, on tuntud ka kui läbipaistvad tulemüürid, peidetud tulemüürid ja varitulemüürid. Sild-ME-d ilmusid suhteliselt hiljuti ja kujutavad endast paljutõotavat suunda tulemüüritehnoloogiate arendamisel. Nad filtreerivad liiklust andmesideühenduse tasemel, st. ME-d töötavad raamidega. Selliste ME-de eelised hõlmavad järgmist:
· Ettevõtte võrguseadeid pole vaja muuta, ME võrguliideste täiendavat konfigureerimist pole vaja.
· Suur jõudlus. Kuna tegemist on lihtsate seadmetega, ei nõua need palju ressursse. Ressursid on vajalikud kas masinate võimekuse parandamiseks või andmete sügavamaks analüüsimiseks.
· Läbipaistvus. Selle seadme võtmeks on selle toimimine OSI mudeli 2. kihis. See tähendab, et võrguliidesel pole IP-aadressi. See funktsioon on olulisem kui seadistamise lihtsus. Ilma IP-aadressita pole see seade võrgus ligipääsetav ja välismaailmale nähtamatu. Kui sellist ME-d pole, siis kuidas seda rünnata? Ründajad isegi ei tea, et iga nende paketti kontrollib tulemüür.
Filtri ruuterid
Ruuter on masin, mis edastab pakette kahe või enama võrgu vahel. Pakettide filtreerimise ruuter on programmeeritud võrdlema iga paketti reeglite loendiga, enne kui otsustab, kas see edastada või mitte.
Pakettfiltri tulemüür (ME koos pakettfiltrimisega)
Tulemüürid hoiavad võrke turvalisena, filtreerides võrguühendusi iga paketi TCP/IP-päiste alusel. Nad uurivad neid päiseid ja kasutavad neid paketi lubamiseks ja suunamiseks sihtkohta või blokeerimiseks, loobudes sellest või lükates tagasi (st paketi kukutades ja saatjat teavitades).
Pakettfiltrid teevad vahet järgmiste andmete põhjal:
· Lähte IP-aadress;
Sihtkoha IP-aadress;
· kasutatav võrguprotokoll (TCP, UDP või ICMP);
· TCP või UDP allika port;
· sihtkoha TCP või UDP port;
· ICMP sõnumi tüüp (kui protokoll on ICMP).
Hea paketifilter võib tugineda ka teabele, mis ei sisaldu otseselt paketi päises, näiteks millisel liidesel pakett vastu võetakse. Põhimõtteliselt sisaldab pakettfilter ebausaldusväärset ehk "määrdunud" liidest, filtrite komplekti ja usaldusväärset liidest. "Mustane" pool piirneb ebausaldusväärse võrguga ja võtab kõigepealt vastu liiklust. Kui liiklus seda läbib, töödeldakse seda tulemüüri kasutatavate filtrite komplekti järgi (neid filtreid nimetatakse reegliteks). Olenevalt neist võetakse liiklus vastu ja saadetakse edasi läbi "puhta" liidese sihtkohta või katkestatakse või lükatakse tagasi. Milline liides on “määrdunud” ja milline “puhas”, sõltub konkreetse paketi liikumissuunast (kvaliteetsed paketifiltrid kehtivad nii väljamineva kui ka sissetuleva liikluse puhul).
Pakettfiltrite rakendamise strateegiad on erinevad, kuid järgida tuleb põhivõtteid.
· Reeglite ülesehitus – kõige spetsiifilisemast kuni kõige üldisemani. Enamik pakettfiltreid töötleb alt-üles reeglikomplekte ja peatub, kui vaste leitakse. Spetsiifilisemate filtrite sisestamine reeglikomplekti ülaossa muudab üldreegli jaoks võimatuks konkreetse reegli peitmise filtrikomplekti allapoole.
· Kõige aktiivsemate reeglite paigutamine filtrikomplekti ülaossa. Pakettidest põgenemine võtab märkimisväärse osa CPU ajast ja. Nagu varem mainitud, lõpetab paketifilter paketi töötlemise, kui tuvastab, et see vastab reeglile. Populaarsete reeglite paigutamine esimesele või teisele positsioonile, mitte 30. või 31. positsioonile, säästab protsessori aega, mis kulub rohkem kui 30 reeglist koosneva partii töötlemiseks. Kui on vaja töödelda tuhandeid pakette korraga, ei tohiks tähelepanuta jätta ka protsessori võimsuse säästmist.
Konkreetsete ja õigete pakettide filtreerimise reeglite määratlemine on väga keeruline protsess. Pakettfiltrite eeliseid ja puudusi tuleks hinnata. Siin on mõned eelised.
· Suur jõudlus. Filtreerimist saab teostada lineaarse kiirusega, mis on võrreldav tänapäevaste protsessorite kiirusega.
· Tasumine. Pakettfiltrid on suhteliselt odavad või isegi tasuta. Enamiku ruuterite operatsioonisüsteemidesse on integreeritud pakettide filtreerimise võimalused.
· Läbipaistvus. Kasutaja ja rakenduse toiminguid ei pea kohandama, et tagada pakettide läbimine pakettfiltrist.
· Laialdased liikluskorralduse võimalused. Lihtsate pakettfiltrite abil saab ära visata ilmselgelt soovimatu liikluse võrgu perimeetril ja erinevate sisemiste alamvõrkude vahel (näiteks servaruuterite abil sisevõrgule vastavate lähteaadressidega pakettide kukutamine (räägime võltspakettidest), "privaatne" IP-aadressid (RFC 1918) ja rippuvad paketid).
Vaatame pakettfiltrite puudusi.
· Lubatud on otseühendused ebausaldusväärsete ja usaldusväärsete sõlmede vahel.
· Madal skaleeritavus. Reeglikogumite kasvades muutub "tarbetute" ühenduste vältimine üha keerulisemaks. Reeglite keerukusega kaasneb mastaapsuse probleem. Kui te ei saa muudatuste mõju nägemiseks reeglikomplekti kiiresti skannida, peate seda lihtsustama.
· Võimalus avada suurt hulka porte. Mõnede protokollide dünaamilise olemuse tõttu tuleb protokollide nõuetekohaseks toimimiseks avada suur hulk porte. Halvim juhtum on siin FTP-protokoll. FTP nõuab sissetulevat ühendust serverist kliendiga ja pakettfiltrid peavad sellise andmeedastuse võimaldamiseks avama suure hulga porte.
· Vastuvõtlikkus andmete võltsimise rünnakutele. Andmete asendamise rünnakud (spoofing) hõlmavad tavaliselt valeteabe lisamist TCP/IP päisesse. Rünnakud, mis hõlmavad lähteaadresside võltsimist ja pakettide maskeerimist juba loodud ühenduste osaks olemise varjus, on tavalised.
Seansi värav
Circuit-level gateway on tulemüür, mis välistab otsese suhtluse volitatud kliendi ja välise hosti vahel. Esmalt võtab see vastu usaldusväärse kliendi päringu teatud teenuste jaoks ja pärast taotletud seansi kehtivuse kontrollimist loob ühenduse välise hostiga.
Pärast seda kopeerib lüüs paketid lihtsalt mõlemas suunas ilma neid filtreerimata. Sellel tasemel on võimalik kasutada võrguaadressi tõlkimise funktsiooni (NAT, võrguaadressi tõlkimine). Siseaadressi tõlkimine toimub kõigi sisevõrgust välisvõrku liikuvate pakettide suhtes. Nende pakettide puhul teisendatakse sisevõrgus olevate saatvate arvutite IP-aadressid automaatselt üheks varjestava tulemüüriga seotud IP-aadressiks. Selle tulemusena saadab kõik sisevõrgust pärinevad paketid tulemüüri, mis välistab otsese kontakti sise- ja välisvõrkude vahel. Seansikihi lüüsi IP-aadressist saab ainus aktiivne IP-aadress, mis jõuab välisvõrku.
Iseärasused:
· Töötab 4. tasemel.
· Edastab TCP-ühendusi pordi alusel.
· Odav, kuid turvalisem kui pakettfilter.
· Üldiselt nõuab täielikuks toimimiseks kasutaja või konfiguratsiooniprogramm.
· Näide: SOCKS tulemüür.
Rakenduse värav
Rakenduse tasemel lüüsid – tulemüür, mis välistab otsese interaktsiooni volitatud kliendi ja välise hosti vahel, filtreerides kõik sissetulevad ja väljaminevad paketid OSI mudeli rakendustasandil.
Rakendustega seotud vahevaraprogrammid edastavad lüüsi kaudu konkreetsete TCP/IP-teenuste loodud teavet.
Võimalused:
· Kasutajate tuvastamine ja autentimine ME kaudu ühenduse loomisel;
· Sõnumivoo filtreerimine, näiteks dünaamiline viirusekontroll ja teabe läbipaistev krüpteerimine;
· Ürituste registreerimine ja sündmustele reageerimine;
· Välisvõrgust küsitud andmete vahemällu salvestamine.
Sellel tasemel on võimalik kasutada vahendusfunktsioone (puhverserverit).
Iga käsitletava rakenduskihi protokolli jaoks saate sisestada tarkvara vahendajad - HTTP vahendaja, FTP vahendaja jne. Iga TCP/IP-teenuse vahendaja on keskendunud sõnumite töötlemisele ja sellele teenusele omaste turvafunktsioonide täitmisele. Nii nagu seansitasemel lüüs, püüab ka rakenduse lüüs sobivate sõelumisagentide abil kinni sissetulevad ja väljaminevad paketid, kopeerib ja edastab teavet lüüsi kaudu ning toimib vaheserverina, välistades otseühendused sise- ja välisvõrkude vahel. Rakenduse lüüsi kasutatavad puhverserverid erinevad aga olulisel määral seansi lüüside kanalipuhverserveritest. Esiteks on rakenduse lüüsi puhverserverid seotud rakendusspetsiifiliste tarkvaraserveritega ja teiseks saavad nad filtreerida sõnumivoogu OSI mudeli rakenduskihis.
Iseärasused:
· Töötab 7. tasemel.
· Rakendusspetsiifiline.
· Mõõdukalt kallis ja aeglane, kuid turvalisem ja võimaldab kasutaja tegevust logida.
· Nõuab kasutaja- või konfiguratsiooniprogrammi täielikuks toimimiseks.
· Näide: veebi (http) puhverserver.
MINA eksperdi tase
Olekupõhise kontrolli tulemüür on eksperditasemel tulemüür, mis kontrollib vastuvõetud pakettide sisu kolmel OSI mudeli tasemel: võrk, seanss ja rakendus. See ülesanne kasutab spetsiaalseid pakettide filtreerimise algoritme, mis võrdlevad iga paketti teadaoleva volitatud pakettide mustriga.
Iseärasused:
· Filtreerimine 3 taset.
· Õigsuse kontroll 4. tasemel.
· 5. taseme ülevaatus.
· Kõrge kulude, turvalisuse ja keerukuse tase.
· Näide: CheckPointi tulemüür-1.
Mõned kaasaegsed tulemüürid kasutavad ülaltoodud meetodite kombinatsiooni ja pakuvad täiendavaid meetodeid nii võrkude kui ka süsteemide kaitsmiseks.
"Isiklik" MINA
See tulemüüride klass võimaldab turvalisust veelgi laiendada, võimaldades kontrollida, mis tüüpi süsteemi funktsioonidel või protsessidel on juurdepääs võrguressurssidele. Need tulemüürid võivad liikluse lubamiseks või keelamiseks kasutada erinevat tüüpi allkirju ja tingimusi. Siin on mõned isiklike ME-de ühised omadused:
· Rakenduse tasemel blokeerimine – lubage ainult teatud rakendustel või teegidel teha võrgutoiminguid või vastu võtta sissetulevaid ühendusi
· Allkirjapõhine blokeerimine – jälgige pidevalt võrguliiklust ja blokeerige kõik teadaolevad rünnakud. Täiendavad juhtelemendid muudavad turbehalduse keerukamaks potentsiaalselt suure arvu süsteemide tõttu, mida võib kaitsta isiklik tulemüür. Samuti suurendab see halva konfiguratsiooni tõttu kahjustuste ja haavatavuse ohtu.
Dünaamiline MINA
Dünaamilised tulemüürid ühendavad standardsed tulemüürid (loetletud ülal) ja sissetungimise tuvastamise tehnikad, et tagada konkreetsele signatuurile vastavate võrguühenduste tõkestamine, võimaldades samal ajal ühendusi teistest allikatest samasse porti. Näiteks saate blokeerida võrguusside tegevuse ilma tavalist liiklust häirimata.
ME ühendusskeemid:
· Ühtne kohaliku võrgu kaitseskeem
· Kaitstud suletud ja kaitsmata avatud alamvõrkude skeem
· Skeem suletud ja avatud alamvõrkude eraldi kaitsega.
Lihtsaim lahendus on see, et tulemüür lihtsalt kaitseb kohalikku võrku globaalse võrgu eest. Samas on tulemüüriga kaitstud ka WWW-server, FTP-server, meiliserver ja muud serverid. Sel juhul tuleb palju tähelepanu pöörata sellele, et vältida tungimist kohtvõrgu kaitstud jaamadesse, kasutades kergesti ligipääsetavaid WWW-servereid.
Joon.6.4 Ühtse kohtvõrgu kaitse skeem
WWW-serveri ressursse kasutades kohalikule võrgule juurdepääsu takistamiseks on soovitatav ühendada avalikud serverid tulemüüri ees. Sellel meetodil on kohaliku võrgu turvalisus kõrgem, kuid WWW- ja FTP-serverite jaoks madalam.
Joonis 6.5 Kaitstud suletud ja kaitsmata avatud alamvõrkude skeem
Seotud Informatsioon.
Võrk vajab kaitset väliste ohtude eest. Andmete vargus, volitamata juurdepääs ja kahjustused võivad mõjutada võrgu toimimist ja põhjustada tõsiseid kaotusi. Kasutage spetsiaalseid programme ja seadmeid, et kaitsta end hävitavate mõjude eest. Selles ülevaates räägime tulemüürist ja vaatame selle peamisi tüüpe.
Tulemüüride eesmärk
Tulemüürid (tulemüürid) ehk tulemüürid on riist- ja tarkvarameetmed, mis takistavad väljastpoolt tulevaid negatiivseid mõjusid. Tulemüür töötab nagu filter: kogu liiklusvoost sõelutakse välja ainult lubatud liiklus. See on esimene kaitseliin sisemiste võrkude ja välisvõrkude, näiteks Interneti, vahel. Tehnoloogiat on kasutatud 25 aastat.
Tulemüüride vajadus tekkis siis, kui selgus, et täieliku võrguühenduse põhimõte enam ei tööta. Arvutid hakkasid ilmuma mitte ainult ülikoolides ja laborites. Arvutite ja Interneti levikuga tekkis vajadus sisevõrgud eraldada ebaturvalistest välistest, et kaitsta end sissetungijate eest ja kaitsta arvutit häkkimise eest.
Ettevõtte võrgu kaitsmiseks on installitud riistvaraline tulemüür - see võib olla eraldi seade või ruuteri osa. Seda praktikat ei rakendata aga alati. Alternatiivne võimalus on installida kaitset vajavasse arvutisse tarkvara tulemüür. Näiteks võib tuua Windowsi sisseehitatud tulemüüri.
Tarkvaralist tulemüüri on mõttekas kasutada ettevõtte sülearvutis, mida kasutate turvalises ettevõtte võrgus. Väljaspool organisatsiooni seinu satute kaitsmata keskkonda – paigaldatud tulemüür kaitseb teid ärireisidel, kohvikutes ja restoranides töötades.
Kuidas see töötab tulemüür
Liikluse filtreerimine toimub eelnevalt kehtestatud turvareeglite alusel. Selleks luuakse spetsiaalne tabel, kuhu sisestatakse edastamiseks vastuvõetavate ja mitteaktsepteeritavate andmete kirjeldus. Tulemüür ei luba liiklust, kui käivitatakse üks tabelist pärit blokeerimisreeglitest.
Tulemüürid võivad juurdepääsu keelata või lubada erinevate parameetrite alusel: IP-aadressid, domeeninimed, protokollid ja pordinumbrid, aga ka nende kombinatsioon.
- IP-aadressid. Igal IP-protokolli kasutaval seadmel on kordumatu aadress. Pakettide vastuvõtmise katsete peatamiseks saate määrata konkreetse aadressi või vahemiku. Või vastupidi - andke juurdepääs ainult teatud IP-aadresside ringile.
- Sadamad. Need on punktid, mis annavad rakendustele juurdepääsu võrgu infrastruktuurile. Näiteks ftp-protokoll kasutab porti 21 ja port 80 on mõeldud veebisaitide sirvimiseks kasutatavate rakenduste jaoks. See annab meile võimaluse takistada juurdepääsu teatud rakendustele ja teenustele.
- Domeeninimi. Interneti-ressursi aadress on ka filtreerimisparameeter. Saate blokeerida liikluse ühelt või mitmelt saidilt. Kasutajat kaitstakse sobimatu sisu eest ja võrku kahjulike mõjude eest.
- Protokoll. Tulemüür on konfigureeritud lubama ühe protokolli liiklust või blokeerima juurdepääsu ühele neist. Protokolli tüüp näitab turvaparameetrite komplekti ja ülesannet, mida see rakendus täidab.
ITU tüübid
1. Puhverserver
Üks ITU asutajatest, mis toimib sise- ja välisvõrkude vaheliste rakenduste väravana. Puhverserveritel on muid funktsioone, sealhulgas andmekaitse ja vahemällu salvestamine. Lisaks ei võimalda need otseühendusi väljastpoolt võrgu piire. Lisafunktsioonide kasutamine võib jõudlust liigselt koormata ja läbilaskevõimet vähendada.
2. Seansi oleku kontrolliga tulemüür
Seansside oleku jälgimise võimalusega ekraanid on juba väljakujunenud tehnoloogia. Andmete vastuvõtmise või blokeerimise otsust mõjutavad olek, port ja protokoll. Sellised versioonid jälgivad kogu tegevust kohe pärast ühenduse avamist kuni selle sulgemiseni. Süsteem otsustab, kas liiklus blokeerida või mitte, lähtudes administraatori määratud reeglitest ja kontekstist. Teisel juhul võetakse arvesse ITU poolt varasematest ühendustest saadud andmeid.
3. ITU ühtne ohuhaldus (UTM)
Keeruline seade. Reeglina lahendab selline tulemüür 3 probleemi:
- jälgib seansi olekut;
- takistab sissetungimist;
- teostab viirusetõrjet.
Mõnikord sisaldavad UTM-i versioonile uuendatud tulemüürid muid funktsioone, näiteks pilvehaldust.
4. Järgmise põlvkonna tulemüür (NGFW)
Vastus kaasaegsetele ohtudele. Ründajad arendavad pidevalt ründetehnoloogiaid, leiavad uusi turvaauke, täiustavad pahavara ja muudavad rakendustaseme rünnakute tõrjumise keerulisemaks. Selline tulemüür mitte ainult ei filtreeri pakette ja jälgib seansside olekut. See on kasulik teabeturbe säilitamisel järgmiste funktsioonide tõttu:
- võttes arvesse rakenduse funktsioone, mis võimaldab tuvastada ja neutraliseerida pahatahtlikke programme;
- kaitse nakatunud süsteemide pidevate rünnakute eest;
- uuendatud andmebaas, mis sisaldab rakenduste ja ohtude kirjeldusi;
- Liikluse jälgimine, mis on krüptitud SSL-protokolli abil.
5. Uue põlvkonna tulemüür aktiivse ohukaitsega
Seda tüüpi tulemüür on NGFW täiustatud versioon. See seade aitab kaitsta arenenud ohtude eest. Täiendavad funktsioonid võivad:
- kaaluge konteksti ja tehke kindlaks ressursid, mis on kõige enam ohustatud;
- tõrjub kiiresti rünnakud läbi turvaautomaatika, mis haldab iseseisvalt kaitset ja määrab poliitikad;
- tuvastada häiriv või kahtlane tegevus, kasutades võrgus ja arvutites olevate sündmuste korrelatsiooni;
See NGFW tulemüüri versioon tutvustab ühtseid eeskirju, mis lihtsustavad oluliselt haldust.
ITU puudused
Tulemüürid kaitsevad võrku sissetungijate eest. Siiski peate nende konfiguratsiooni tõsiselt võtma. Olge ettevaatlik: kui teete juurdepääsu parameetrite seadistamisel vea, tekitate kahju ja tulemüür peatab vajaliku ja ebavajaliku liikluse ning võrk muutub töövõimetuks.
Tulemüüri kasutamine võib põhjustada võrgu jõudluse vähenemist. Pidage meeles, et nad peatavad kontrollimiseks kogu sissetuleva liikluse. Kui võrk on suur, muutub turvalisuse jõustamiseks liiga kõvasti pingutamine ja rohkemate reeglite kehtestamine võrgu aeglaseks.
Sageli ei piisa ainult tulemüürist võrgu täielikuks kaitsmiseks väliste ohtude eest. Seetõttu kasutatakse seda koos teiste programmidega, näiteks viirusetõrjega.
Juhised
Minge Windowsi operatsioonisüsteemi peamenüüsse Start. Valige jaotis "Juhtpaneel" ja minge üksusesse "Windowsi tulemüür". Selle konfiguratsiooni saate käivitada ka käsurealt, sisestades järgmise teksti: "control.exe /nimi Microsoft.WindowsFirewall".
Vaadake avanevat akent. Vasakul on paneel, mis koosneb mitmest sektsioonist, mis vastutavad erinevate tulemüüri sätete eest ekraan A. Minge vahekaartidele "Avalik profiil" ja "Privaatne profiil", kus pealdise "Väljuvad ühendused" kõrval peate tühjendama valiku "Blokeeri" märke. Klõpsake nuppe "Rakenda" ja "OK", seejärel sulgege aken. Pärast seda saate alustada Interneti-juurdepääsu seadistamist erinevatele personaalarvutisse installitud teenustele ja programmidele.
Tulemüüri käivitamiseks minge vahekaardile "Täpsemad sätted". ekraan täiustatud turvarežiimis. Ilmuv aken koosneb tööriistaribast ja kolmest osast. Valige vasakpoolsel väljal jaotis "Väljuvate ühenduste reeglid" ja seejärel märkige parempoolsel väljal "Loo reegel". See avab reegli loomise viisardi.
Valige reegli tüüp, mille soovite tulemüüri seadetesse lisada ekraan A. Saate valida kõigi arvutiühenduste jaoks või konfigureerida konkreetse programmi, määrates selle tee. Üksuse "Programm" juurde liikumiseks klõpsake nuppu "Järgmine", kus määrame uuesti rakenduse tee.
Minge jaotisse Tegevus. Siin saate ühenduse lubada või blokeerida. Samuti saate luua turvalise ühenduse, mille puhul seda kontrollitakse IPSeciga. Samal ajal, klõpsates nuppu "Kohanda", saate määrata oma reeglid. Pärast seda määrake oma reegli jaoks "Profiil" ja leidke sellele nimi. Seadete salvestamiseks klõpsake nuppu "Valmis".
Ekraani vilkumise määr sõltub ekraanil pildi värskendussageduse jaoks määratud parameetritest. Värskendussageduse kontseptsioon kehtib LCD-monitoride puhul, need sätted pole olulised. Enamiku lampmonitoride ekraani uuendatakse kord minutis. Kui need seaded teile ei sobi, eemaldage need virvendus ekraan järgides mitmeid samme.
Juhised
Helistage komponendile Screen. Selleks avage menüü "Start" kaudu "Juhtpaneel". Kategoorias „Disain ja teemad” vasakklõpsake ikooni „Ekraan” või valige akna ülaosas mõni saadaolevatest ülesannetest. Kui teie arvuti juhtpaneel on klassikalise välimusega, valige kohe otsitav ikoon.
On veel üks võimalus: paremklõpsake töölaua mis tahes osal, mis on vaba failidest ja kaustadest. Valige rippmenüüst "Atribuudid", klõpsates sellel vasakklõpsuga. Avaneb uus dialoogiboks "Kuva atribuudid".
Avanevas aknas minge vahekaardile "Valikud" ja klõpsake akna allosas asuvat nuppu "Täpsemalt". See toiming avab täiendava dialoogiboksi "Atribuudid: monitori ühendusmoodul ja [videokaardi nimi]".
Uues aknas minge vahekaardile "Monitor" ja märkige ruut "Peida režiimid, mida monitor ei saa kasutada". See aitab vältida võimalikke probleeme: kui ekraan on valesti paigaldatud, võib monitori pilt olla ebastabiilne. Samuti võib valesti valitud sagedus põhjustada seadme talitlushäireid.
Kasutage jaotise „Monitori sätted” rippmenüüd, määrake välja „Värskendussagedus” väärtuseks ekraan» väärtus, mida vajate. Mida kõrgem on värskendussagedus ekraan, seda vähem monitor vilgub. Vaikimisi sagedus on 100 Hz, kuigi teie monitor võib toetada teistsugust sagedust. Kontrollige seda teavet dokumentatsioonist või tootja veebisaidilt.
Pärast vajalike muudatuste tegemist klõpsake monitori atribuutide aknas nuppu "Rakenda". Kui teil palutakse uued sätted kinnitada, vastake jaatavalt. Klõpsake nuppu OK. Teile jääb üks aken "Atribuudid: ekraan". Sulgege see, kasutades nuppu OK või ikooni [x] akna paremas ülanurgas.
Kui värskendussageduse muutmisel ekraan töölaua välimus muutub, määrake see atribuutide aknas ekraan eraldusvõimet, mida on lihtne lugeda, klõpsake nuppu "Rakenda" ja sulgege aken. Reguleerige tööala suurust ekraanil, kasutades monitori korpusel olevaid reguleerimisnuppe. Ärge unustage klõpsata lõpus nuppu "Degauss".
Internetitöö ekraan, ehk tulemüür, on mõeldud võrgus olevate programmide töö juhtimiseks ning operatsioonisüsteemi ja kasutajaandmete kaitsmiseks väliste rünnakute eest. Sarnaste funktsioonidega programme on palju ja need ei ole alati tõhusad. Võrgu kvaliteedi kontrollimiseks ekraan ja kasutage programmi 2ip Firewall Tester.
Juhised
Otsige otsingumootori abil üles utiliidi 2ip Firewall Tester allalaadimislink. Kontrollige allalaaditud faile viirusetõrjeprogrammiga ja käivitage rakendus. Reeglina peab programm olema installitud arvuti kõvakettale. Pärast seda ilmub töölauale otsetee, mille abil saate selle käivitada.
Programmi aken on üsna lihtne ja sisaldab sõnumirida ning kahte nuppu Abi ja Test. Veenduge, et teie arvutil oleks Interneti-juurdepääs, ja klõpsake nuppu Testi. Utiliit proovib suhelda välise serveriga. Kui ühendus on loodud (teade kuvatakse punaste tähtedega), siis teie tulemüür ei tööta. Samuti väärib märkimist, et suurem osa sellest tarkvarast on vaikimisi installitud ingliskeelse liidesega. Vene keele muutmiseks avage programmi seaded. Ärge unustage salvestada kõiki programmis tehtud muudatusi.
Kui ühendust ei saa luua ja lüüsi programm ekraan ja esitas taotluse selle ühenduse lubamiseks, mis tähendab, et tulemüür töötab. Lubage meil luua ühekordne ühendus. Tulemüüri keerukamaks kontrollimiseks nimetage utiliidi 2ip Firewall Tester käivitusfail ümber selle programmi nimeks, mille Interneti-juurdepääs on teadaolevalt lubatud. Näiteks Internet Explorer. Selleks pange utiliidile nimi iexplore.exe, käivitage see uuesti ja klõpsake nuppu Test. Kui ühendus on loodud, siis teie Interneti-ühendus ekraan on üsna madala kaitsetasemega.
Kui ühendust ei looda, siis teie lüüsiprogramm ekraan ja täidab oma ülesandeid viie punktiga. Saate turvaliselt Internetis veebisaite sirvida, sest teie personaalarvuti on erinevate ohtude eest usaldusväärselt kaitstud. Reeglina on sellisel tarkvaral süsteemis paindlikud sätted.
Video teemal
Mõnikord võid arvuti taga istudes märgata, et pilt ekraanil väriseb, omapäraselt “hõljub” või hakkab ootamatult paistma. See probleem on laialt levinud. Kuid selle põhjused on erinevad. Tasub välja mõelda, miks ekraan väriseb.
Kõige sagedamini on ekraani värisemise põhjuseks vahelduvate elektromagnetväljade allika olemasolu tööruumis või korteris. Seda saab monitori liigutades väga lihtsalt kontrollida. Kui see peatub, on probleem seotud konkreetselt elektromagnetväljadega. Nende allikateks tööl on erinevad elektripaigaldised, trafoalajaamad ja elektriliinid. Kodus asendab neid televiisor, külmkapp, mikrolaineahi ja muu kodutehnika.
Teine levinum ekraani värisemise põhjus on monitori ebapiisav toiteallikas. Reeglina on monitor ühendatud piloodiga, mis lisaks iseendale "toidab" ka süsteemiseadet, modemit, telerit, lühtrit ja palju muud, olenevalt kasutaja maitsest. Tasub proovida mõned neist seadmetest välja lülitada ja vaadata, kas pildi värin monitoril on vähenenud. Kui ei, siis võib-olla on probleem piloodis endas, viisis, kuidas see elektrit filtreerib. Võite proovida seda lihtsalt muuta.
Kõige vähem levinud põhjus (kuigi see, mis kõige sagedamini meelde tuleb) on probleem monitoris endas, näiteks katkine skanner või probleem selle toiteallikaga. Sellistel juhtudel on kogenematul kasutajal parem monitori sisse mitte ronida. Parim lahendus selles olukorras oleks pöörduda kvalifitseeritud spetsialistide poole.
Mõnikord võivad ülaltoodud probleemid olla põhjustatud madalast ekraani värskendussagedusest. Vaikimisi on mõne monitori sagedus seatud umbes 60 Hz peale. See mitte ainult ei muuda ekraani värisemist märgatavaks, vaid on ka teie nägemisele äärmiselt kahjulik. Seetõttu tasub “Juhtpaneeli” abil leida menüüpunkt “Ekraan” ja seada seal sageduseks 75 Hz. Sellel sagedusel võib ekraani värin täielikult kaduda.
Tähelepanu: filmime!
Ekraanipildi tegemiseks käivitage rakendus arvutis, klõpsates töölaual oleval otseteel (tavaliselt luuakse see installiprotsessi käigus automaatselt) või leides selle programmide loendist (nupu “Start” kaudu). Pärast seda valige avanevas tööaknas vajalik funktsioon. Selles programmis saate jäädvustada ekraani: kogu ekraani, aknaelemendi, keritava akna, valitud ala, fikseeritud ala, juhusliku ala või teha ekraanipildi eelmisest valikust.
Tööriistariba avaneb ka siis, kui klõpsate programmi peamenüüs nuppu "Fail".
Valikute nimedest on selge, milline tööakna osa ekraanipildi tegemisel esile tõstetakse. Saate ühe klõpsuga pildistada kogu ekraani või selle mis tahes osa. Samuti saate siin määrata konkreetse ala või ekraani osa, mis vastab eelnevalt määratud parameetritele. Üldiselt saate ekraanipilti teha absoluutselt kõike.
Lisaks on programmis väike nimekiri pilditöötluseks vajalikest tööriistadest: värvipalett, suurendusaken, joonlaud, millega saab millimeetri täpsusega arvutada kaugust ühest punktist teise, nurgamõõtja, kattuvus ja isegi tahvel, mis võimaldab teha märkmeid ja jooniseid otse ekraanile.
Edasiste toimingute tegemiseks klõpsake nuppu "Peamine", mille järel ilmub ekraanile lisapaneel konkreetse tööriistakomplektiga. Nende abiga saate pilti kärpida, määrata selle suuruse, teatud osa värviga esile tõsta, teksti üle kanda, valida fondi ja täitevärvi.
Põhimenüü nupp "Vaade" võimaldab teil muuta skaalat, töötada joonlauaga ja kohandada sõelutud dokumentide välimust: kaskaad, mosaiik.
Pärast ekraanipildi tegemist klõpsake rakenduse ülemisel ribal nuppu "Fail" ja valige rippmenüüst "Salvesta nimega". Pärast seda avaneb paremal küljel täiendav aken, kus peate valima failitüübi: PNG, BMP, JPG, GIF, PDF. Seejärel jääb üle vaid määrata kaust, kuhu fail salvestada.
võrk, mis on loodud blokeerima kogu liiklust, välja arvatud lubatud andmed. See erineb ruuterist, mille ülesanne on liiklus võimalikult kiiresti sihtkohta toimetada.On arvamus, et ruuter võib mängida ka tulemüüri rolli. Siiski on nende seadmete vahel üks põhimõtteline erinevus: ruuter on loodud liikluse kiireks suunamiseks, mitte blokeerimiseks. Tulemüür on turvaseade, mis lubab andmevoost teatud liiklust, ja ruuter on võrguseade, mida saab konfigureerida teatud liiklust blokeerima.
Lisaks on tulemüüridel tavaliselt lai valik seadistusi. Liikluse läbimist tulemüüris saab konfigureerida teenuste, saatja ja saaja IP-aadresside ning teenust taotlevate kasutajate ID-de järgi. Tulemüürid võimaldavad tsentraliseeritud turvahaldus. Ühes konfiguratsioonis saab administraator konfigureerida lubatud sissetuleva liikluse kõigi organisatsiooni sisesüsteemide jaoks. See ei välista vajadust süsteemide värskendamise ja konfigureerimise järele, kuid vähendab tõenäosust, et üks või mitu süsteemi on valesti konfigureeritud ja võivad need süsteemid valesti konfigureeritud teenuse vastu rünnata.
Tulemüüri tüüpide määratlemine
Tulemüüre on kahte peamist tüüpi: rakendustaseme tulemüürid ja rakendustaseme tulemüürid. pakettide filtreerimine. Need põhinevad erinevatel tööpõhimõtetel, kuid õigesti seadistatuna pakuvad mõlemat tüüpi seadmed õigeid turbefunktsioone keelatud liikluse blokeerimiseks. Nagu näete järgmistest jaotistest, sõltub nende seadmete pakutava kaitse ulatus nende rakendamisest ja konfigureerimisest.
Rakenduskihi tulemüürid
Rakenduskihi tulemüürid ehk puhverserveri ekraanid on tarkvarapaketid, mis põhinevad toimimisel üldotstarbelised süsteemid(nagu Windows NT ja Unix) või tulemüüri riistvaraplatvormidel. Tulemüür sellel on mitu liidest, üks iga võrgu jaoks, millega see on ühendatud. Reeglite kogum määrab, kuidas liiklus ühest võrgust teise edastatakse. Kui reegel ei luba selgesõnaliselt liiklust läbida, tulemüür lükkab tagasi või viskab paketid ära.
Turvapoliitika reeglid on täiustatud juurdepääsumoodulite kasutamisega. Rakenduskihi tulemüüris peab igal lubatud protokollil olema oma juurdepääsumoodul. Parimad juurdepääsumoodulid on need, mis on loodud spetsiaalselt lahendatava protokolli jaoks. Näiteks FTP-pääsumoodul sihib FTP-protokolli ja saab määrata, kas liikluse edastamine vastab sellele protokollile ja kas see liiklus on turvapoliitika reeglitega lubatud.
Rakenduskihi tulemüüri kasutamisel läbivad kõik ühendused selle (vt joonis 10.1). Nagu joonisel näidatud, algab ühendus klientsüsteemist ja läheb tulemüüri sisemisse liidesesse. Tulemüür võtab ühendust, analüüsib paketi sisu ja kasutatud protokolli ning teeb kindlaks, kas liiklus vastab turvapoliitika reeglitele. Kui jah, siis tulemüür algatab uue ühenduse oma välisliidese ja serverisüsteemi vahel.
Rakenduskihi tulemüürid kasutavad sissetulevaid juurdepääsumooduleid ühendused. Moodul Tulemüüris asuv juurdepääsukontroll võtab vastu sissetuleva ühenduse ja töötleb käsud enne liikluse adressaadile saatmist. Seega tulemüür Kaitseb süsteeme rakenduspõhiste rünnakute eest.
Riis.
10.1.
Märge See eeldab, et tulemüüri pääsumoodul ise ei ole rünnakute suhtes haavatav. Kui tarkvara
pole hoolikalt välja töötatud, võib see olla vale väide.
Seda tüüpi arhitektuuri täiendav eelis on see, et see muudab liikluse "peitmise" muude teenuste sees väga keeruliseks, kui mitte võimatuks. Näiteks mõned süsteemijuhtimisprogrammid nagu NetBus ja
Tulemüüre on mitut tüüpi, sõltuvalt järgmistest omadustest:
kas kilp tagab ühenduse ühe sõlme ja võrgu või kahe või enama erineva võrgu vahel;
kas andmevoo juhtimine toimub võrgukihil või OSI mudeli kõrgematel tasanditel;
kas aktiivsete ühenduste olekuid jälgitakse või mitte.
Sõltuvalt kontrollitud andmevoogude katvusest jaotatakse tulemüürid:
traditsiooniline võrk (või tulemüür) - programm (või operatsioonisüsteemi lahutamatu osa) lüüsis (seade, mis edastab liiklust võrkude vahel) või riistvaralahendus, mis juhib sissetulevaid ja väljaminevaid andmevooge ühendatud võrkude vahel (jaotatud võrguobjektid) ;
isiklik tulemüür on kasutaja arvutisse installitud programm, mis on loodud kaitsma ainult seda arvutit volitamata juurdepääsu eest.
Sõltuvalt OSI tasemest, millel juurdepääsu kontroll toimub, võivad tulemüürid töötada: võrgu tasandil
, kui filtreerimine toimub pakettide saatja ja saaja aadresside, OSI mudeli transpordikihi pordinumbrite ja administraatori määratud staatiliste reeglite alusel; seansi tasemel (tuntud ka kui), kui jälgitakse rakenduste vahelisi seansse ja TCP/IP spetsifikatsioone rikkuvaid pakette ei edastata, kasutatakse sageli pahatahtlikes operatsioonides – ressursside skannimine, häkkimine ebaõigete TCP/IP juurutuste kaudu, katkenud/aeglased ühendused, andmete sisestamine;
rakenduse tase(või rakenduse tasemel), kui filtreerimine põhineb paketis edastatud rakenduse andmete analüüsil. Seda tüüpi ekraanid võimaldavad blokeerida soovimatu ja potentsiaalselt kahjuliku teabe edastamise reeglite ja sätete alusel.
Filtreerimine võrgu tasemel
Sissetulevate ja väljaminevate pakettide filtreerimine toimub pakettide TCP ja IP päiste järgmistes väljades sisalduva teabe alusel: saatja IP-aadress; Saaja IP-aadress; saatja port; vastuvõtja port.
Filtreerimist saab rakendada mitmel viisil, et blokeerida ühendusi konkreetsete arvutite või portidega. Näiteks saate blokeerida ebausaldusväärseks peetavate arvutite ja võrkude konkreetsetelt aadressidelt pärinevad ühendused.
suhteliselt madalad kulud;
paindlikkus filtreerimisreeglite määratlemisel;
väike viivitus pakettide läbimisel.
Puudused:
ei kogu killustatud pakette;
pakettidevahelisi suhteid (ühendusi) pole võimalik kuidagi jälgida.?
Seansitaseme filtreerimine
Sõltuvalt aktiivsete ühenduste jälgimisest võivad tulemüürid olla:
kodakondsuseta(lihtne filtreerimine), mis ei jälgi praeguseid ühendusi (näiteks TCP), vaid filtreerivad andmevoogu ainult staatiliste reeglite alusel;
olekupõhine, olekupõhine pakettide kontroll (SPI)(kontekstiteadlik filtreerimine), jälgib jooksvaid ühendusi ja edastab ainult neid pakette, mis vastavad vastavate protokollide ja rakenduste loogikale ja algoritmidele.
SPI-ga tulemüürid võimaldavad tõhusamalt võidelda erinevat tüüpi DoS-rünnakute ja mõne võrguprotokolli haavatavusega. Lisaks tagavad need protokollide nagu H.323, SIP, FTP jne toimimise, mis kasutavad adressaatide vahel keerulisi andmeedastusskeeme, mida on raske staatiliste reeglitega kirjeldada ja mis sageli ei ühildu standardsete olekuteta tulemüüridega.
Sellise filtreerimise eelised hõlmavad järgmist:
pakettide sisuanalüüs;
kihi 7 protokollide toimimise kohta teavet pole vaja.
Puudused:
rakenduse taseme andmeid on raske analüüsida (võimalik, et kasutades ALG-d – Application level gateway).
Rakenduse taseme lüüs, ALG (rakenduse taseme lüüs) on NAT-ruuteri komponent, mis mõistab rakendusprotokolli ja kui selle protokolli paketid seda läbivad, muudab see neid nii, et NAT-i taga olevad kasutajad saavad seda protokolli kasutada.
ALG-teenus pakub tuge rakendustaseme protokollidele (nagu SIP, H.323, FTP jne), mille puhul võrguaadressi tõlkimine pole lubatud. See teenus määrab sisevõrgu liidesest tulevate pakettide rakenduse tüübi ja teostab vastavalt välise liidese kaudu nende jaoks aadressi/pordi tõlke.
Protokolli olekut arvestav SPI (Stateful Packet Inspection) tehnoloogia ehk pakettide kontrollimise tehnoloogia on tänapäeval arenenud liikluskontrolli meetod. See tehnoloogia võimaldab teil juhtida andmeid kuni rakenduse tasemeni, ilma et oleks vaja iga kaitstud protokolli või võrguteenuse jaoks eraldi vahendajat või puhverserveri rakendust.
Ajalooliselt on tulemüürid arenenud üldotstarbelistest pakettfiltritest protokollispetsiifiliste vahevaradeni kuni olekupõhise kontrollini. Varasemad tehnoloogiad ainult täiendasid üksteist, kuid ei andnud ühenduste üle terviklikku kontrolli. Pakettfiltritel puudub juurdepääs ühenduse ja rakenduse oleku teabele, mis on vajalik lõpliku turvaotsuse tegemiseks. Vahevara programmid töötlevad ainult rakenduse tasemel andmeid, mis loob sageli erinevaid võimalusi süsteemi häkkimiseks. Olekupõhise kontrolli arhitektuur on ainulaadne, kuna see võimaldab teil käsitleda kogu võimalikku lüüsimasinat läbivat teavet: andmeid paketist, andmeid ühenduse oleku kohta, rakendusele vajalikke andmeid.
Mehhanismi näideRiigituÜlevaatus. Tulemüür jälgib FTP seanssi, uurides andmeid rakenduse tasemel. Kui klient palub serveril pöördühenduse avada (FTP PORT käsk), eraldab tulemüür sellest päringust pordi numbri. Loend salvestab kliendi ja serveri aadressid ning pordi numbrid. Kui tuvastatakse FTP-andmeühenduse loomise katse, kontrollib tulemüür loendit ja kontrollib, kas ühendus on tõepoolest vastus kehtivale kliendipäringule. Ühenduste loendit hoitakse dünaamiliselt, nii et avatud on ainult vajalikud FTP-pordid. Niipea kui seanss suletakse, blokeeritakse pordid, mis tagab kõrge turvalisuse.
Riis. 2.12. Näide olekupõhise kontrolli mehhanismist, mis töötab koos FTP-protokolliga
Rakenduse tasemel filtreerimine
Et kaitsta mitmeid pakettfiltreerimisele omaseid haavatavusi, peavad tulemüürid kasutama rakendusprogramme, et filtreerida ühendusi selliste teenustega nagu Telnet, HTTP, FTP. Sellist rakendust nimetatakse puhverserveriks ja hosti, millel puhverserveri teenus töötab, rakendustaseme lüüsiks. Selline lüüs välistab otsese suhtluse volitatud kliendi ja välise hosti vahel. Lüüs filtreerib kõik sissetulevad ja väljaminevad paketid rakendusekihis (rakenduse kiht – võrgumudeli ülemine kiht) ning saab analüüsida andmesisu, näiteks HTTP-sõnumis sisalduvat URL-i või FTP-sõnumis sisalduvat käsku. Mõnikord on tõhusam pakette filtreerida andmetes endas sisalduva teabe põhjal. Pakettfiltrid ja lingitaseme filtrid ei kasuta filtreerimisotsuste tegemisel teabevoo sisu, kuid rakenduse tasemel filtreerimine saab seda teha. Rakendustaseme filtrid saavad kasutada nii paketi päisest pärinevat teavet kui ka andmesisu ja kasutajateavet. Administraatorid saavad kasutada rakenduse tasemel filtreerimist, et juhtida juurdepääsu kasutaja identiteedi ja/või konkreetse ülesande alusel, mida kasutaja üritab täita. Rakenduse taseme filtrites saate määrata reegleid, mis põhinevad rakenduse antud käskudel. Näiteks võib administraator takistada konkreetsel kasutajal FTP abil faile konkreetsesse arvutisse alla laadimast või lubada kasutajal samas arvutis faile hostida FTP kaudu.
Sellise filtreerimise eelised hõlmavad järgmist:
lihtsad filtreerimisreeglid;
võimalus korraldada suur hulk kontrolle. Rakenduse tasemel kaitse võimaldab teha suurt hulka lisakontrolle, mis vähendab tarkvara aukude abil häkkimise tõenäosust;
võime analüüsida rakenduste andmeid.
Puudused:
suhteliselt madal jõudlus võrreldes pakettfiltrimisega;
puhverserver peab mõistma oma protokolli (tundmatute protokollidega kasutamise võimatus)?;
Reeglina töötab see keeruliste operatsioonisüsteemide all.
