Palomuuri tai palomuuri on joukko laitteita tai ohjelmistoja, jotka ohjaavat ja suodattavat sen läpi kulkevia verkkopaketteja OSI-mallin eri tasoilla määritettyjen sääntöjen mukaisesti.

Palomuurin päätehtävä on suojata tietokoneverkkoja tai yksittäisiä solmuja luvattomalta käytöltä. Myös palomuureja kutsutaan usein suodattimiksi, koska niiden päätehtävänä ei ole päästää läpi (suodattaa) paketteja, jotka eivät täytä konfiguraatiossa määriteltyjä kriteerejä (kuva 6.1).

Palomuurilla on useita nimiä. Katsotaanpa niitä.

Palomuuri (saksa: Brandmauer) on saksan kielestä lainattu termi, joka on analoginen englannin kielen palomuurille sen alkuperäisessä merkityksessä (seinä, joka erottaa viereisiä rakennuksia ja suojaa tulen leviämiseltä). Mielenkiintoista on, että tietotekniikan alalla sanaa "palomuuri" käytetään saksaksi.

Palomuuri, palomuuri, palomuuri - muodostuu translitteraatiosta englanninkielisestä termistä firewall, joka vastaa termiä palomuuri, ei tällä hetkellä ole virallinen lainasana venäjän kielellä.

Kuva 6.1 Tyypillinen ME:n sijoitus yritysverkkoon

Nykyaikaisessa Internetissä on päivittäin käytössä kaksi selkeästi erilaista palomuurityyppiä. Ensimmäistä tyyppiä kutsutaan oikeammin pakettisuodatusreitittimeksi. Tämän tyyppinen palomuuri toimii useisiin verkkoihin yhdistetyssä koneessa ja soveltaa jokaiseen pakettiin sääntöjoukkoa, joka määrittää, lähetetäänkö paketti edelleen vai estetäänkö se. Toinen tyyppi, joka tunnetaan nimellä välityspalvelin, on toteutettu demoneina, jotka suorittavat todennuksen ja pakettien edelleenlähetyksen, mahdollisesti koneessa, jossa on useita verkkoyhteyksiä, joissa pakettien edelleenlähetys on poistettu käytöstä ytimessä.

Joskus näitä kahta palomuurityyppiä käytetään yhdessä, joten vain tietty kone (tunnetaan nimellä linnakeisäntä) saa lähettää paketteja suodatusreitittimen kautta sisäiseen verkkoon. Välityspalvelinpalvelut toimivat suojatulla isännällä, joka on yleensä turvallisempi kuin tavalliset todennusmekanismit.

Palomuurit ovat eri muotoisia ja kokoisia, ja joskus ne ovat vain kokoelma useita eri tietokoneita. Tässä palomuurilla tarkoitetaan tietokonetta tai tietokoneita luotettujen verkkojen (esimerkiksi sisäisten) ja ei-luotettavien verkkojen (esimerkiksi Internet) välillä, joka tarkastaa kaiken niiden välisen liikenteen. Tehokkailla palomuurilla on seuraavat ominaisuudet:

· Kaikkien yhteyksien on mentävä palomuurin läpi. Sen tehokkuus heikkenee huomattavasti, jos on olemassa vaihtoehtoinen verkkoreitti - luvaton liikenne välittyy palomuurin ohi.

· Palomuuri sallii vain luvan liikenteen. Jos se ei pysty selvästi erottamaan valtuutettua ja luvatonta liikennettä tai jos se on määritetty sallimaan vaaralliset tai tarpeettomat yhteydet, sen hyödyllisyys vähenee huomattavasti. Kun palomuuri epäonnistuu tai on ylikuormitettu, sen tulee aina siirtyä epäonnistuneeseen tai suljettuun tilaan. On parempi katkaista liitännät kuin jättää järjestelmät suojaamatta.

· Palomuurin tulee vastustaa itseään vastaan ​​kohdistuvia hyökkäyksiä, koska sitä suojaavia lisälaitteita ei asenneta.

Palomuuria voidaan verrata ulko-oven lukkoon. Se voi olla maailman turvallisin, mutta jos ovi ei ole lukossa, tunkeilijat voivat helposti avata sen. Palomuuri suojaa verkkoa luvattomalta käytöltä, kuten lukko suojaa huoneen sisäänkäyntiä. Jättäisitkö arvotavarat kotiin, jos ulko-ovesi lukko ei olisi kiinni?

Palomuuri on vain osa yleistä tietoturva-arkkitehtuuria. Sillä on kuitenkin erittäin tärkeä rooli verkkorakenteessa ja, kuten kaikilla muilla laitteilla, sillä on hyvät ja huonot puolensa.

Palomuurin edut:

· Palomuurit ovat erinomainen tapa toteuttaa yrityksen tietoturvakäytäntöjä. Ne tulisi konfiguroida rajoittamaan yhteyksiä johdon mielipiteen perusteella.

· Palomuurit rajoittavat pääsyä tiettyihin palveluihin. Esimerkiksi julkinen pääsy web-palvelimelle voidaan sallia, mutta telnet ja muut ei-julkiset palvelut eivät välttämättä ole sallittuja. Useimmat palomuurit tarjoavat valikoivan pääsyn todennuksen kautta.

· Palomuurien tarkoitus on hyvin erityinen, joten turvallisuuden ja käytettävyyden välillä ei tarvitse tehdä kompromisseja.

· Palomuurit ovat erinomainen auditointityökalu. Jos kiintolevytilaa tai etäkirjaustukea on riittävästi, he voivat kirjata tietoja kaikesta läpi kulkevasta liikenteestä.

· Palomuureilla on erittäin hyvät ominaisuudet ilmoittaa henkilöstölle tietyistä tapahtumista.

Palomuurien huonot puolet:

· Palomuurit eivät estä sitä, mikä on valtuutettu. Niiden avulla voidaan muodostaa normaaleja yhteyksiä valtuutetuista sovelluksista, mutta jos sovellukset muodostavat uhan, palomuuri ei pysty estämään hyökkäystä käsittelemällä yhteyttä valtuutettuna. Esimerkiksi palomuurit sallivat sähköpostin kulkea sähköpostipalvelimen läpi, mutta eivät havaitse viruksia viesteistä.

· Palomuurien tehokkuus riippuu säännöistä, joita ne on määritetty valvomaan. Säännöt eivät saa olla liian löysät.

· Palomuurit eivät estä manipulointihyökkäyksiä tai valtuutetun käyttäjän hyökkäyksiä, jotka käyttävät osoitettaan tarkoituksella ja haitallisesti.

· Palomuurit eivät kestä huonoja hallintakäytäntöjä tai huonosti suunniteltuja suojauskäytäntöjä.

· Palomuurit eivät estä hyökkäyksiä, ellei liikenne kulje niiden läpi.

Jotkut ihmiset ovat ennustaneet palomuurien aikakauden loppua, joilla on vaikeuksia erottaa valtuutettu ja luvaton sovellusliikenne. Monet sovellukset, kuten pikaviestit, ovat yhä enemmän mobiili- ja usean portin yhteensopivia. Tällä tavalla he voivat ohittaa palomuurin portin kautta, joka on avoinna toiselle valtuutetulle palvelulle. Lisäksi yhä useammat sovellukset ohjaavat liikennettä muiden valtuutettujen porttien kautta, jotka ovat todennäköisimmin käytettävissä. Esimerkkejä tällaisista suosituista sovelluksista ovat HTTP-Tunnel (www.http-tunnel.com) ja SocksCap (www.socks.permeo.com). Lisäksi kehitetään sovelluksia, jotka on suunniteltu erityisesti ohittamaan palomuurit, kuten etätietokoneen ohjaussovellus GoToMyPC (www.gotomypc.com).

Palomuurit eivät kuitenkaan kaadu ilman taistelua. Suurten valmistajien nykyiset ohjelmistojulkaisut sisältävät edistyneitä tunkeutumisen estotyökaluja ja sovelluskerroksen suojausominaisuuksia. Nämä palomuurit havaitsevat ja suodattavat luvattoman liikenteen, kuten pikaviestisovellukset, jotka yrittävät tunkeutua muille valtuutetuille palveluille avoinna oleviin portteihin. Lisäksi palomuurit vertaavat nyt suorituskykytuloksia julkaistuihin protokollastandardeihin ja eri toimintojen merkkejä (samankaltaisia ​​kuin virustorjuntaohjelmistoja) havaitakseen ja estääkseen lähetettyjen pakettien sisältämiä hyökkäyksiä. Näin ollen ne ovat edelleen ensisijainen keino suojata verkkoja. Jos palomuurin tarjoama sovellussuojaus on kuitenkin riittämätön tai ei pysty oikein erottamaan valtuutettua ja luvatonta liikennettä, tulee harkita vaihtoehtoisia kompensoivia suojausmenetelmiä.

Palomuuri voi olla reititin, henkilökohtainen tietokone, erityisesti suunniteltu kone tai joukko isäntiä, jotka on erityisesti määritetty suojaamaan yksityistä verkkoa protokollilta ja palveluilta, joita voidaan käyttää haitallisesti luotetun verkon ulkopuolella.

Suojausmenetelmä riippuu palomuurista itsestään sekä sille määritetyistä käytännöistä tai säännöistä. Nykyään käytössä on neljä palomuuritekniikkaa:

· Eräsuodattimet.

· Sovellusyhdyskäytävät.

· Silmukkatason yhdyskäytävät.

· Mukautuvat paketintarkastuslaitteet.

Ennen kuin tutkit palomuurien toimintoja, tutustutaan Transmission Control and Internet Protocol (TCP/IP) -ohjelmistoon.

TCP/IP tarjoaa menetelmän tietojen siirtämiseksi tietokoneesta toiseen verkon kautta. Palomuurin tarkoitus on ohjata TCP/IP-pakettien siirtoa isäntien ja verkkojen välillä.

TCP/IP on joukko protokollia ja sovelluksia, jotka suorittavat erillisiä toimintoja Open Systems Interconnection (OSI) -mallin tiettyjen kerrosten mukaisesti. TCP/IP lähettää itsenäisesti datalohkoja verkon yli pakettien muodossa, ja jokainen TCP/IP-mallin kerros lisää pakettiin otsikon. Käytetystä tekniikasta riippuen palomuuri käsittelee näiden otsikoiden sisältämiä tietoja kulunvalvontatarkoituksiin. Jos se tukee sovellusten rajaamista sovellusyhdyskäytävinä, pääsynhallinta voidaan saavuttaa myös itse paketin rungossa olevilla tiedoilla.

Tietovirtojen hallinta koostuu niiden suodattamisesta ja muuntamisesta tiettyjen sääntöjen mukaisesti. Koska nykyaikaisissa palomuureissa suodatus voidaan suorittaa Open Systems Interconnection (OSI) -referenssimallin eri tasoilla, on palomuuri edullista esittää suodatinjärjestelmänä. Jokainen suodatin tekee sen läpi kulkevien tietojen analyysin perusteella päätöksen - hypätä pidemmälle, heittää se näytön taakse, estää tai muuntaa tiedot (kuva 6.2).

Kuva 6.2 Suodatuskaavio ME:ssä.

ME:n olennainen toiminto on tiedonvaihdon kirjaaminen. Lokien ylläpitämisen avulla järjestelmänvalvoja voi tunnistaa epäilyttävät toiminnot ja virheet palomuurin kokoonpanossa ja päättää muuttaa palomuurin sääntöjä.

Näytön luokitus

OSI:n eri tasoilla toiminnan mukaan erotetaan seuraava ME:iden luokitus:

· Siltanäytöt (OSI-taso 2).

· Suodatusreitittimet (OSI-tasot 3 ja 4).

· Istuntotason yhdyskäytävät (OSI-taso 5).

· Sovellustason yhdyskäytävät (OSI-taso 7).

· Monimutkaiset näytöt (OSI-tasot 3-7).

Kuva 6.3 OSI-malli

Bridge ME

Tämä palomuuriluokka, joka toimii OSI-mallin kerroksessa 2, tunnetaan myös nimellä läpinäkyvät palomuurit, piilotetut palomuurit ja varjopalomuurit. Bridged ME:t ilmestyivät suhteellisen äskettäin ja edustavat lupaavaa suuntaa palomuuriteknologian kehityksessä. Ne suodattavat liikennettä datalinkkitasolla, ts. ME:t työskentelevät kehysten kanssa. Tällaisten ME:iden etuja ovat:

· Yrityksen verkkoasetuksia ei tarvitse muuttaa, eikä ME-verkkoliitäntöjen lisämäärityksiä tarvita.

· Korkea suorituskyky. Koska nämä ovat yksinkertaisia ​​laitteita, ne eivät vaadi paljon resursseja. Resursseja tarvitaan joko koneiden ominaisuuksien parantamiseen tai datan syvempään analysointiin.

· Läpinäkyvyys. Tämän laitteen avain on sen toiminta OSI-mallin kerroksessa 2. Tämä tarkoittaa, että verkkoliitännällä ei ole IP-osoitetta. Tämä ominaisuus on tärkeämpi kuin asennuksen helppous. Ilman IP-osoitetta tätä laitetta ei voi käyttää verkossa, ja se on näkymätön ulkomaailmalle. Jos tällaista ME:tä ei ole saatavilla, niin kuinka sitä vastaan ​​hyökätään? Hyökkääjät eivät edes tiedä, että jokaista heidän pakettiaan tarkastaa palomuuri.

Suodata reitittimet

Reititin on kone, joka välittää paketteja kahden tai useamman verkon välillä. Pakettisuodatusreititin on ohjelmoitu vertaamaan jokaista pakettia sääntöluetteloon ennen kuin se päättää, lähetetäänkö se edelleen vai ei.

Pakettisuodattava palomuuri (ME pakettisuodatuksella)

Palomuurit pitävät verkot turvassa suodattamalla verkkoyhteydet kunkin paketin TCP/IP-otsikoiden perusteella. He tutkivat nämä otsikot ja käyttävät niitä salliakseen ja reitittääkseen paketin määränpäähänsä tai estääkseen sen hylkäämällä tai hylkäämällä sen (eli pudottamalla paketin ja ilmoittamalla siitä lähettäjälle).

Pakettisuodattimet eroavat toisistaan ​​seuraavien tietojen perusteella:

· Lähteen IP-osoite;

Kohteen IP-osoite;

· käytetty verkkoprotokolla (TCP, UDP tai ICMP);

· TCP- tai UDP-lähdeportti;

· kohde-TCP- tai UDP-portti;

· ICMP-sanoman tyyppi (jos protokolla on ICMP).

Hyvä pakettisuodatin voi luottaa myös tietoihin, jotka eivät sisälly suoraan paketin otsikkoon, kuten mihin rajapintaan paketti vastaanotetaan. Pohjimmiltaan pakettisuodatin sisältää epäluotettavan tai "likaisen" rajapinnan, joukon suodattimia ja luotetun rajapinnan. "Likainen" puoli rajaa epäluotettavaa verkkoa ja vastaanottaa liikenteen ensin. Kun liikenne kulkee sen läpi, se käsitellään palomuurin käyttämien suodattimien mukaisesti (näitä suodattimia kutsutaan säännöiksi). Niistä riippuen liikenne joko hyväksytään ja lähetetään edelleen "puhtaan" rajapinnan kautta määränpäähän tai pudotetaan tai hylätään. Se, mikä rajapinta on "likainen" ja mikä "puhdas", riippuu tietyn paketin kulkusuunnasta (laadukkaat pakettisuodattimet koskevat sekä lähtevää että tulevaa liikennettä).

Pakettisuodattimien käyttöönottostrategiat vaihtelevat, mutta perustekniikoita on noudatettava.

· Sääntöjen rakentaminen - tarkimmista yleisimpiin. Useimmat pakettisuodattimet käsittelevät alhaalta ylös -sääntöjoukkoja ja pysähtyvät, kun vastaavuus löytyy. Tarkempien suodattimien lisääminen sääntöjoukon yläosaan tekee mahdottomaksi yleissäännön piilottaa tietyn säännön alempana suodatinjoukossa.

· Sijoita aktiivisimmat säännöt suodatinsarjan yläosaan. Pakettien pakottaminen vie huomattavan osan suorittimen ajasta ja. Kuten aiemmin mainittiin, pakettisuodatin lopettaa paketin käsittelyn, kun se havaitsee, että se vastaa sääntöä. Suosittujen sääntöjen sijoittaminen ensimmäiselle tai toiselle sijalle 30. tai 31. sijasta säästää suorittimen aikaa, joka tarvittaisiin yli 30 säännön erän käsittelemiseen. Kun tarvitaan tuhansien pakettien käsittelyä kerralla, suorittimen tehon säästämistä ei pidä laiminlyödä.

Tarkkojen ja oikeiden pakettisuodatussääntöjen määrittäminen on erittäin monimutkainen prosessi. Pakettisuodattimien edut ja haitat tulee arvioida. Tässä on joitain etuja.

· Korkea suorituskyky. Suodatus voidaan suorittaa lineaarisella nopeudella, joka on verrattavissa nykyaikaisten prosessorien nopeuteen.

· Takaisinmaksu. Pakettisuodattimet ovat suhteellisen edullisia tai jopa ilmaisia. Useimmissa reitittimissä on käyttöjärjestelmiinsä integroitu pakettisuodatusominaisuus.

· Läpinäkyvyys. Käyttäjän ja sovelluksen toimintoja ei tarvitse säätää sen varmistamiseksi, että paketit kulkevat pakettisuodattimen läpi.

· Laajat liikenteenhallintaominaisuudet. Yksinkertaisilla pakettisuodattimilla voidaan pudottaa ilmeisen ei-toivottua liikennettä verkon kehällä ja eri sisäisten aliverkkojen välillä (esim. reunareitittimien avulla pudotetaan paketteja, joiden lähdeosoitteet vastaavat sisäverkkoa (puhumme huijauspaketteista), "yksityinen" IP-osoitteet (RFC 1918) ja riippuvat paketit).

Katsotaanpa pakettisuodattimien haittoja.

· Suorat yhteydet epäluotettavien solmujen ja luotettujen solmujen välillä ovat sallittuja.

· Alhainen skaalautuvuus. Sääntöjoukkojen kasvaessa on yhä vaikeampaa välttää "tarpeettomat" yhteydet. Sääntöjen monimutkaisuuden mukana tulee skaalautuvuusongelma. Jos et voi nopeasti skannata sääntöjoukkoa nähdäksesi muutosten vaikutuksen, sinun on yksinkertaistettava sitä.

· Mahdollisuus avata suuria portteja. Joidenkin protokollien dynaamisen luonteen vuoksi on avattava suuri porttialue, jotta protokollat ​​toimivat oikein. Pahin tapaus tässä on FTP-protokolla. FTP vaatii saapuvan yhteyden palvelimelta asiakkaalle, ja pakettisuodattimien on avattava useita portteja tällaisen tiedonsiirron mahdollistamiseksi.

· Alttius tietojen huijaushyökkäyksille. Tiedonkorvaushyökkäykset (huijaus) sisältävät tyypillisesti väärien tietojen liittämisen TCP/IP-otsikkoon. Hyökkäykset, joihin liittyy lähdeosoitteiden huijausta ja pakettien peittämistä jo muodostettujen yhteyksien varjolla, ovat yleisiä.

Session Gateway

Piiritason yhdyskäytävä on palomuuri, joka eliminoi suoran vuorovaikutuksen valtuutetun asiakkaan ja ulkoisen isännän välillä. Se hyväksyy ensin luotetulta asiakkaalta tiettyjä palveluita koskevan pyynnön ja varmistaa, että pyydetty istunto on kelvollinen, muodostaa yhteyden ulkoiseen isäntään.

Tämän jälkeen yhdyskäytävä yksinkertaisesti kopioi paketit molempiin suuntiin suodattamatta niitä. Tällä tasolla on mahdollista käyttää verkko-osoitteiden muunnostoimintoa (NAT, verkko-osoitteiden käännös). Sisäinen osoitteenmuunnos suoritetaan suhteessa kaikkiin paketeihin, jotka kulkevat sisäisestä verkosta ulkoiseen. Näissä paketeissa sisäisen verkon lähettävien tietokoneiden IP-osoitteet muunnetaan automaattisesti yhdeksi suojaavaan palomuuriin liittyväksi IP-osoitteeksi. Tämän seurauksena palomuuri lähettää kaikki sisäisestä verkosta lähtevät paketit, mikä eliminoi suoran yhteyden sisäisen ja ulkoisen verkon välillä. Istuntokerroksen yhdyskäytävän IP-osoitteesta tulee ainoa aktiivinen IP-osoite, joka tavoittaa ulkoisen verkon.

Ominaisuudet:

· Toimii tasolla 4.

· Välittää TCP-yhteydet portin perusteella.

· Halpa mutta turvallisempi kuin pakettisuodatin.

· Yleensä vaatii käyttäjän tai konfigurointiohjelman toimiakseen täysin.

· Esimerkki: SOCKS-palomuuri.

Sovellusyhdyskäytävä

Sovellustason yhdyskäytävät – palomuuri, joka eliminoi suoran vuorovaikutuksen valtuutetun asiakkaan ja ulkoisen isännän välillä suodattamalla kaikki saapuvat ja lähtevät paketit OSI-mallin sovellustasolla.

Sovelluksiin liittyvät väliohjelmistot ohjaavat tiettyjen TCP/IP-palvelujen tuottamat tiedot yhdyskäytävän kautta.

Mahdollisuudet:

· Käyttäjien tunnistaminen ja todennus yrittäessään muodostaa yhteyttä ME:n kautta;

· Viestivirran suodatus, esimerkiksi dynaaminen virustarkistus ja tiedon läpinäkyvä salaus;

· Tapahtumaan ilmoittautuminen ja niihin reagoiminen;

· Ulkoisesta verkosta pyydettyjen tietojen välimuisti.

Tällä tasolla on mahdollista käyttää välitystoimintoja (välityspalvelinta).

Jokaiselle käsitellylle sovelluskerroksen protokollalle voit syöttää ohjelmistovälittäjät - HTTP-välittäjän, FTP-välittäjän jne. Jokaisen TCP/IP-palvelun välittäjä on keskittynyt viestien käsittelyyn ja palvelukohtaisten suojaustoimintojen suorittamiseen. Aivan kuten istuntotason yhdyskäytävä, sovellusyhdyskäytävä sieppaa saapuvat ja lähtevät paketit sopivien seulontaagenttien avulla, kopioi ja välittää tietoa yhdyskäytävän kautta ja toimii välittäjäpalvelimena eliminoiden suorat yhteydet sisäisten ja ulkoisten verkkojen välillä. Sovellusyhdyskäytävän käyttämät välityspalvelimet eroavat kuitenkin tärkeillä tavoilla istuntoyhdyskäytävien kanavavälityspalvelimista. Ensinnäkin sovellusyhdyskäytävän välittäjät liittyvät sovelluskohtaisiin ohjelmistopalvelimiin) ja toiseksi he voivat suodattaa viestivirtaa OSI-mallin sovelluskerroksessa.

Ominaisuudet:

· Toimii tasolla 7.

· Sovelluskohtainen.

· Kohtuullisen kallis ja hidas, mutta turvallisempi ja mahdollistaa käyttäjien toiminnan kirjaamisen.

· Edellyttää käyttäjän tai konfigurointiohjelman toimiakseen täysin.

· Esimerkki: Web (http) välityspalvelin.

ME asiantuntijataso

Tilallinen tarkastuspalomuuri on asiantuntijatason palomuuri, joka tarkistaa vastaanotettujen pakettien sisällön kolmella OSI-mallin tasolla: verkko, istunto ja sovellus. Tämä tehtävä käyttää erityisiä pakettisuodatusalgoritmeja, jotka vertaavat jokaista pakettia tunnettuun valtuutettujen pakettien malliin.

Ominaisuudet:

· Suodatus 3 tasoa.

· Oikeustarkastus tasolla 4.

· Tason 5 tarkastus.

· Korkeat kustannukset, turvallisuus ja monimutkaisuus.

· Esimerkki: CheckPoint Firewall-1.

Jotkut nykyaikaiset palomuurit käyttävät yllä olevien menetelmien yhdistelmää ja tarjoavat lisämenetelmiä sekä verkkojen että järjestelmien suojaamiseen.

"Henkilökohtainen" MINÄ

Tämän palomuuriluokan avulla tietoturvaa voidaan laajentaa entisestään sallimalla hallita, minkä tyyppisillä järjestelmän toiminnoilla tai prosesseilla on pääsy verkkoresursseihin. Nämä palomuurit voivat käyttää erilaisia ​​allekirjoituksia ja ehtoja salliakseen tai estääkseen liikenteen. Tässä on joitain henkilökohtaisten ME:iden yhteisiä piirteitä:

· Sovellustason esto - salli vain tiettyjen sovellusten tai kirjastojen suorittaa verkkotoimintoja tai hyväksyä saapuvia yhteyksiä

· Allekirjoitukseen perustuva esto – valvo jatkuvasti verkkoliikennettä ja estä kaikki tunnetut hyökkäykset. Lisäohjaimet lisäävät tietoturvan hallinnan monimutkaisuutta, koska henkilökohtaisella palomuurilla voi olla suojattu suuri määrä järjestelmiä. Se lisää myös vaurioiden ja haavoittuvuuden riskiä huonon kokoonpanon vuoksi.

Dynaaminen MINÄ

Dynaamiset palomuurit yhdistävät vakiopalomuurit (lueteltu yllä) ja tunkeutumisen havaitsemistekniikat mahdollistaakseen tiettyä allekirjoitusta vastaavien verkkoyhteyksien nopean eston sallien samalla yhteydet muista lähteistä samaan porttiin. Voit esimerkiksi estää verkkomatojen toiminnan häiritsemättä normaalia liikennettä.

ME-liitäntäkaaviot:

· Yhtenäinen paikallisverkon suojausjärjestelmä

· Suojattujen suljettujen ja suojaamattomien avointen aliverkkojen kaavio

· Järjestelmä erillisellä suljetun ja avoimen aliverkon suojauksella.

Yksinkertaisin ratkaisu on, että palomuuri yksinkertaisesti suojaa paikallista verkkoa globaalilta. Samanaikaisesti WWW-palvelin, FTP-palvelin, sähköpostipalvelin ja muut palvelimet on suojattu palomuurilla. Tässä tapauksessa on syytä kiinnittää paljon huomiota siihen, että estetään tunkeutuminen suojattuihin lähiverkon asemiin helposti saavutettavien WWW-palvelimien avulla.

Kuva 6.4 Yhtenäisen paikallisverkon suojauksen kaavio

Paikallisverkkoon pääsyn estämiseksi WWW-palvelinresurssien avulla on suositeltavaa liittää julkiset palvelimet palomuurin eteen. Tällä menetelmällä on korkeampi suojaus paikallisverkossa, mutta alhaisempi suojaustaso WWW- ja FTP-palvelimille.

Kuva 6.5 Kaavio suojatuista suljetuista ja suojaamattomista avoimista aliverkoista

Aiheeseen liittyvää tietoa.

Verkko tarvitsee suojaa ulkoisilta uhilta. Tietovarkaudet, luvaton käyttö ja vauriot voivat vaikuttaa verkon toimintaan ja aiheuttaa vakavia menetyksiä. Käytä erityisiä ohjelmia ja laitteita suojautuaksesi tuhoisilta vaikutuksilta. Tässä katsauksessa puhumme palomuurista ja tarkastelemme sen päätyyppejä.

Palomuurien tarkoitus

Palomuurit (palomuurit) tai palomuurit ovat laitteisto- ja ohjelmistotoimia, jotka estävät ulkopuolelta tulevia negatiivisia vaikutuksia. Palomuuri toimii kuin suodatin: koko liikennevirrasta seulotaan vain sallittu liikenne. Tämä on ensimmäinen puolustuslinja sisäisten verkkojen ja ulkoisten verkkojen, kuten Internetin, välillä. Tekniikka on ollut käytössä 25 vuotta.

Palomuurien tarve syntyi, kun kävi selväksi, että täydellisen verkkoyhteyden periaate ei enää toimi. Tietokoneet alkoivat ilmestyä paitsi yliopistoissa ja laboratorioissa. PC-tietokoneiden ja Internetin leviämisen myötä tuli välttämättömäksi erottaa sisäiset verkot vaarallisista ulkoisista suojautuaksesi tunkeilijoilta ja suojataksesi tietokonettasi hakkeroilta.

Yritysverkon suojaamiseksi asennetaan laitteistopalomuuri - tämä voi olla erillinen laite tai osa reitittimestä. Tätä käytäntöä ei kuitenkaan aina sovelleta. Vaihtoehtoinen tapa on asentaa suojausta tarvitsevaan tietokoneeseen palomuuriohjelmisto. Esimerkki on Windowsin sisäänrakennettu palomuuri.

On järkevää käyttää ohjelmistopalomuuria yrityksen kannettavassa tietokoneessa, jota käytät suojatussa yritysverkossa. Organisaation seinien ulkopuolella löydät itsesi suojaamattomasta ympäristöstä - asennettu palomuuri suojaa sinua työmatkoilla, kahviloissa ja ravintoloissa työskennellessäsi.

Miten se toimii palomuuri

Liikenteen suodatus tapahtuu ennalta määritettyjen turvasääntöjen perusteella. Tätä tarkoitusta varten luodaan erityinen taulukko, johon syötetään kuvaus hyväksyttävistä ja ei-hyväksyttävistä tiedoista. Palomuuri ei salli liikennettä, jos jokin taulukon estosäännöistä laukeaa.

Palomuurit voivat estää tai sallia pääsyn eri parametrien perusteella: IP-osoitteet, verkkotunnukset, protokollat ​​ja porttinumerot sekä niiden yhdistelmät.

• IP-osoitteet. Jokaisella IP-protokollaa käyttävällä laitteella on yksilöllinen osoite. Voit määrittää tietyn osoitteen tai alueen estääksesi pakettien vastaanottoyritykset. Tai päinvastoin - anna pääsy vain tiettyyn IP-osoitteiden piiriin.
• Portit. Nämä ovat pisteet, jotka antavat sovelluksille pääsyn verkkoinfrastruktuuriin. Esimerkiksi ftp-protokolla käyttää porttia 21 ja portti 80 on tarkoitettu sovelluksille, joita käytetään verkkosivustojen selaamiseen. Tämä antaa meille mahdollisuuden estää pääsyn tiettyihin sovelluksiin ja palveluihin.
• Verkkotunnuksen nimi. Internet-resurssin osoite on myös suodatusparametri. Voit estää liikenteen yhdeltä tai useammalta sivustolta. Käyttäjä suojataan sopimattomalta sisällöltä ja verkkoa haitallisilta vaikutuksilta.
• pöytäkirja. Palomuuri on määritetty sallimaan yhden protokollan liikenne tai estämään pääsy johonkin niistä. Protokollatyyppi ilmaisee suojausparametrien joukon ja tehtävän, jonka sen käyttämä sovellus suorittaa.

ITU:n tyypit

1. Välityspalvelin

Yksi ITU:n perustajista, joka toimii porttina sovelluksille sisäisten ja ulkoisten verkkojen välillä. Välityspalvelimilla on muita toimintoja, mukaan lukien tietosuoja ja välimuisti. Lisäksi ne eivät salli suoria yhteyksiä verkon rajojen ulkopuolelta. Lisäominaisuuksien käyttö voi rasittaa kohtuuttomasti suorituskykyä ja vähentää suorituskykyä.

2. Palomuuri istunnon tilan ohjauksella

Näytöt, joilla on mahdollisuus seurata istuntojen tilaa, ovat jo vakiintunutta tekniikkaa. Päätökseen hyväksyä tai estää tiedot vaikuttavat tila, portti ja protokolla. Tällaiset versiot valvovat kaikkea toimintaa välittömästi yhteyden avaamisen jälkeen, kunnes se suljetaan. Järjestelmä päättää, estääkö liikenteen vai ei, järjestelmänvalvojan asettamien sääntöjen ja kontekstin perusteella. Toisessa tapauksessa ITU:n aiemmista yhteyksistä toimittamat tiedot otetaan huomioon.

3. ITU:n yhtenäinen uhkien hallinta (UTM)

Monimutkainen laite. Yleensä tällainen palomuuri ratkaisee 3 ongelmaa:

• tarkkailee istunnon tilaa;
• estää tunkeutumisen;
• suorittaa virustarkistuksen.

Joskus UTM-versioon päivitetyt palomuurit sisältävät muita toimintoja, esimerkiksi: pilvihallinta.

4. Seuraavan sukupolven palomuuri (NGFW)

Vastaus nykyaikaisiin uhkiin. Hyökkääjät kehittävät jatkuvasti hyökkäysteknologioita, löytävät uusia haavoittuvuuksia, parantavat haittaohjelmia ja vaikeuttavat sovellustason hyökkäysten torjumista. Tällainen palomuuri ei vain suodata paketteja ja valvoo istuntojen tilaa. Se on hyödyllinen tietoturvan ylläpitämisessä seuraavien ominaisuuksien vuoksi:

• ottaa huomioon sovelluksen ominaisuudet, mikä mahdollistaa haittaohjelmien tunnistamisen ja neutraloinnin;
• puolustus tartunnan saaneiden järjestelmien jatkuvia hyökkäyksiä vastaan;
• päivitetty tietokanta, joka sisältää kuvaukset sovelluksista ja uhista;
• Valvoo liikennettä, joka on salattu SSL-protokollalla.

5. Uuden sukupolven palomuuri aktiivisella uhkien suojauksella

Tämäntyyppinen palomuuri on NGFW:n parannettu versio. Tämä laite auttaa suojautumaan kehittyneitä uhkia vastaan. Lisätoiminnot voivat:

• harkitse kontekstia ja tunnista resurssit, jotka ovat eniten vaarassa;
• torjua nopeasti hyökkäykset tietoturvaautomaation avulla, joka hallitsee itsenäisesti suojausta ja asettaa käytännöt;
• tunnistaa häiritsevä tai epäilyttävä toiminta käyttämällä tapahtumien korrelaatiota verkossa ja tietokoneissa;

Tämä NGFW-palomuurin versio sisältää yhtenäiset käytännöt, jotka yksinkertaistavat hallintaa huomattavasti.

ITU:n haitat

Palomuurit suojaavat verkkoa tunkeilijoilta. Sinun on kuitenkin otettava niiden kokoonpano vakavasti. Ole varovainen: jos teet virheen määrittäessäsi pääsyparametreja, aiheutat vahinkoa ja palomuuri pysäyttää tarpeellisen ja tarpeettoman liikenteen ja verkko muuttuu käyttökelvottomaksi.

Palomuurin käyttö voi heikentää verkon suorituskykyä. Muista, että he sieppaavat kaiken saapuvan liikenteen tarkastusta varten. Kun verkon koko on suuri, liian kova yrittäminen turvallisuuden takaamiseksi ja uusien sääntöjen käyttöönotto johtaa verkon hitaaseen toimintaan.

Usein palomuuri ei yksin riitä suojaamaan verkkoa täysin ulkoisilta uhilta. Siksi sitä käytetään yhdessä muiden ohjelmien, kuten virustentorjuntaohjelman, kanssa.

Ohjeet

Siirry Windows-käyttöjärjestelmän Käynnistä-päävalikkoon. Valitse "Ohjauspaneeli" ja siirry "Windowsin palomuuri" -kohtaan. Voit myös suorittaa sen määrityksen komentoriviltä kirjoittamalla seuraavan tekstin: "control.exe /nimi Microsoft.WindowsFirewall".

Katso avautuvasta ikkunasta. Vasemmalla on paneeli, joka koostuu useista osista, jotka vastaavat erilaisista palomuurin asetuksista näyttö A. Siirry "Julkinen profiili"- ja "Yksityinen profiili" -välilehdille, joissa "Lähtevät yhteydet" -merkinnän vierestä on poistettava valinta "Estä" -vaihtoehdosta. Napsauta "Käytä"- ja "OK"-painikkeita ja sulje ikkuna. Tämän jälkeen voit aloittaa Internet-yhteyden määrittämisen erilaisille tietokoneellesi asennetuille palveluille ja ohjelmille.

Avaa palomuuri siirtymällä "Lisäasetukset" -välilehteen näyttö tehostetussa suojaustilassa. Näyttöön tuleva ikkuna koostuu työkalupalkista ja kolmesta osasta. Valitse vasemmasta kentästä "Säännöt lähteville yhteyksille" ja valitse oikeasta kentästä "Luo sääntö". Tämä avaa ohjatun säännön luontitoiminnon.

Valitse sääntötyyppi, jonka haluat lisätä palomuuriasetuksiin näyttö A. Voit valita kaikille tietokoneyhteyksille tai määrittää tietyn ohjelman määrittämällä polun siihen. Napsauta "Seuraava" -painiketta siirtyäksesi "Ohjelma" -kohtaan, jossa määritämme jälleen polun sovellukseen.

Siirry kohtaan Toimi. Täällä voit sallia tai estää yhteyden. Voit myös muodostaa suojatun yhteyden, jossa se tarkistetaan IPSecillä. Samalla voit määrittää omat sääntösi napsauttamalla "Muokkaa"-painiketta. Määritä sen jälkeen säännöllesi "Profiili" ja keksi sille nimi. Napsauta "Valmis"-painiketta tallentaaksesi asetukset.

Näytön välkkymisen aste, kun näyttö on päällä, riippuu monitorin kuvan virkistystaajuudelle asetetuista parametreista. "Vikistystaajuuden" käsite koskee LCD-näyttöjen lamppuja, nämä asetukset eivät ole tärkeitä. Useimpien lamppumonitoreiden näyttö päivitetään kerran minuutissa. Jos nämä asetukset eivät sovi sinulle, poista ne välkkyä näyttö seuraamalla useita vaiheita.

Ohjeet

Kutsu näyttökomponentti. Voit tehdä tämän avaamalla "Ohjauspaneeli" "Käynnistä" -valikon kautta. Napsauta "Suunnittelu ja teemat" -luokassa hiiren vasemmalla painikkeella "Näyttö" -kuvaketta tai valitse mikä tahansa käytettävissä olevista tehtävistä ikkunan yläosassa. Jos tietokoneesi ohjauspaneelilla on klassinen ulkoasu, valitse etsimäsi kuvake heti.

On myös toinen tapa: napsauta hiiren kakkospainikkeella mitä tahansa "Työpöydän" osaa, joka ei sisällä tiedostoja ja kansioita. Valitse avattavasta valikosta "Ominaisuudet" napsauttamalla sitä hiiren vasemmalla painikkeella. Uusi "Näytön ominaisuudet" -valintaikkuna avautuu.

Siirry avautuvassa ikkunassa "Asetukset" -välilehteen ja napsauta "Lisäasetukset" -painiketta, joka sijaitsee ikkunan alaosassa. Tämä toiminto tuo esiin ylimääräisen "Ominaisuudet: Näytön liitäntämoduuli ja [näytönohjainkortin nimi]" -valintaikkunan.

Siirry uudessa ikkunassa "Näyttö"-välilehteen ja valitse "Piilota tilat, joita näyttö ei voi käyttää" -kohdan vieressä oleva valintaruutu. Tämä auttaa sinua välttämään mahdolliset ongelmat: jos näyttö on asennettu väärin, näyttökuva saattaa olla epävakaa. Myös väärin valittu taajuus voi johtaa laitteen toimintahäiriöön.

Käytä "Näyttöasetukset"-osion avattavaa luetteloa ja aseta "Päivitystaajuus"-kenttään näyttö» tarvitsemasi arvo. Mitä suurempi virkistystaajuus näyttö, sitä vähemmän näyttö vilkkuu. Oletustaajuus on 100 Hz, vaikka näyttösi voi tukea eri taajuutta. Tarkista nämä tiedot asiakirjoista tai valmistajan verkkosivustolta.

Kun olet tehnyt tarvittavat muutokset, napsauta "Käytä"-painiketta näytön ominaisuusikkunassa. Kun sinua pyydetään vahvistamaan uudet asetukset, vastaa kyllä. Napsauta OK-painiketta. Sinulle jää yksi "Ominaisuudet: Näyttö" -ikkuna. Sulje se OK-painikkeella tai [x]-kuvakkeella ikkunan oikeassa yläkulmassa.

Jos virkistystaajuutta muutettaessa näyttö työpöydän ulkonäkö muuttuu, määritetään ominaisuusikkunassa näyttö helppolukuinen resoluutio, napsauta "Käytä"-painiketta ja sulje ikkuna. Säädä näytön työalueen kokoa käyttämällä näytön rungon säätöpainikkeita. Älä unohda napsauttaa "Degauss" -painiketta lopussa.

Internettyö näyttö, tai palomuuri, on suunniteltu hallitsemaan ohjelmien toimintaa verkossa ja suojaamaan käyttöjärjestelmää ja käyttäjätietoja ulkoisilta hyökkäyksiltä. On monia ohjelmia, joilla on samanlaiset toiminnot, eivätkä ne aina ole tehokkaita. Tarkistaaksesi verkkosi laadun näyttö ja käytä 2ip Firewall Tester -ohjelmaa.

Ohjeet

Etsi hakukoneen avulla latauslinkki 2ip Firewall Tester -apuohjelmaan. Tarkista ladatut tiedostot virustorjuntaohjelmalla ja suorita sovellus. Pääsääntöisesti ohjelma on asennettava tietokoneen kiintolevylle. Tämän jälkeen työpöydälle ilmestyy pikakuvake, jolla voit käynnistää sen.

Ohjelmaikkuna on melko yksinkertainen ja sisältää viestirivin ja kaksi painiketta Ohje ja Testi. Varmista, että tietokoneessasi on Internet-yhteys, ja napsauta Testaa-painiketta. Apuohjelma yrittää kommunikoida ulkoisen palvelimen kanssa. Jos yhteys on muodostettu (viesti näkyy punaisilla kirjaimilla), palomuurisi ei toimi. On myös syytä huomata, että suurin osa tästä ohjelmistosta on asennettu oletusarvoisesti englanninkielisellä käyttöliittymällä. Voit vaihtaa venäjäksi siirtymällä ohjelman asetuksiin. Muista tallentaa kaikki ohjelmassa tehdyt muutokset.

Jos yhteyttä ei voida muodostaa ja yhdyskäytäväohjelma näyttö ja lähetti pyynnön sallia tämä yhteys, mikä tarkoittaa, että palomuuri toimii. Salli meidän muodostaa kertaluonteinen yhteys. Monimutkaisempaa palomuuritarkistusta varten nimeä 2ip Firewall Tester -apuohjelman käynnistystiedosto uudelleen sen ohjelman nimeksi, jonka Internet-yhteyden tiedetään olevan sallittu. Esimerkiksi Internet Explorer. Nimeä apuohjelma iexplore.exe tehdäksesi tämän, suorita se uudelleen ja napsauta Testaa-painiketta. Jos yhteys on muodostettu, Internet-verkkosi näyttö on melko alhainen suojaustaso.

Jos yhteyttä ei muodosteta, yhdyskäytäväohjelmasi näyttö ja suorittaa tehtävänsä viidellä pisteellä. Voit selata Internetin verkkosivustoja turvallisesti, koska tietokoneesi on luotettavasti suojattu erilaisilta uhilta. Yleensä tällaisella ohjelmistolla on joustavat asetukset järjestelmässä.

Video aiheesta

Joskus tietokoneen ääressä istuessa saattaa huomata, että kuva näytöllä tärisee, "kelluu" omituisella tavalla tai alkaa ilmestyä odottamatta. Tämä ongelma on laajalle levinnyt. Mutta syyt siihen ovat erilaisia. Kannattaa selvittää, miksi näyttö tärisee.

Useimmiten tärisevän näytön syy on vaihtelevien sähkömagneettisten kenttien lähteen läsnäolo työhuoneessa tai huoneistossa. Tämä voidaan tarkistaa erittäin helposti liikuttamalla näyttöä. Jos se pysähtyy, ongelma liittyy sähkömagneettisiin kenttiin. Niiden lähteitä työssä ovat erilaiset sähköasennukset, muuntaja-asemat ja voimajohdot. Kotona ne korvataan televisiolla, jääkaapilla, mikroaaltouunilla ja muilla kodinkoneilla.

Toiseksi yleisin näytön tärinän syy on näytön riittämätön virransyöttö. Yleensä näyttö on kytketty pilottiin, joka itsensä lisäksi "syöttää" myös järjestelmäyksikön, modeemin, television, kattokruunun ja paljon muuta, käyttäjän maun mukaan. Kannattaa yrittää sammuttaa jotkin näistä laitteista ja katsoa, ​​onko näytön värinä vähentynyt. Jos ei, niin ehkä ongelma on itse pilotissa, tavassa, jolla se suodattaa sähköä. Voit yrittää vain vaihtaa sen.

Harvin yleinen syy (vaikkakin se, joka tulee useimmiten mieleen) on itse näytössä oleva ongelma, esimerkiksi skannerin rikki tai virtalähteen ongelma. Tällaisissa tapauksissa kokemattoman käyttäjän on parempi olla kiipeämättä näytön sisään. Paras ratkaisu tässä tilanteessa olisi ottaa yhteyttä päteviin asiantuntijoihin.

Joskus yllä olevat ongelmat voivat johtua alhaisesta näytön virkistystaajuudesta. Oletusarvoisesti joidenkin monitorien taajuus on asetettu noin 60 Hz:iin. Tämä ei vain tee näytön tärisemistä havaittavaksi, vaan on myös erittäin haitallista näköllesi. Siksi kannattaa käyttää "Ohjauspaneelia" löytääksesi "Näyttö"-valikkokohdan ja asettaa sen taajuudelle 75 Hz. Tällä taajuudella näytön tärinä saattaa kadota kokonaan.

Huomio: kuvataan!

Ota kuvakaappaus käynnistämällä sovellus tietokoneellasi napsauttamalla työpöydällä olevaa pikakuvaketta (yleensä se luodaan automaattisesti asennuksen aikana) tai etsimällä se ohjelmaluettelosta ("Käynnistä"-painikkeen kautta). Valitse sen jälkeen avautuvasta työikkunasta tarvitsemasi toiminto. Tässä ohjelmassa voit kaapata näytön: koko näytön, ikkunaelementin, vierivän ikkunan, valitun alueen, kiinteän alueen, satunnaisen alueen tai ottaa kuvakaappauksen edellisestä valinnasta.

Työkalurivi avautuu myös, kun napsautat "Tiedosto" -painiketta ohjelman päävalikossa.

Vaihtoehtojen nimistä on selvää, mikä työikkunan osa korostetaan näytön ottamisen aikana. Voit ottaa valokuvan koko näytöstä tai mistä tahansa sen osasta yhdellä napsautuksella. Täällä voit myös asettaa tietyn alueen tai osan näytöstä, joka vastaa aiemmin määritettyjä parametreja. Yleensä voit ottaa kuvakaappauksen aivan kaikesta.

Lisäksi ohjelmassa on pieni lista kuvankäsittelyyn tarvittavista työkaluista: väripaletti, suurennusikkuna, viivain, jolla voit laskea etäisyyden pisteestä toiseen millimetrin tarkkuudella, astemittari, limitys ja jopa liusketaulu, jonka avulla voit tehdä muistiinpanoja ja piirustuksia suoraan näytölle.

Jos haluat suorittaa lisätoimia, napsauta "Pää"-painiketta, minkä jälkeen näytölle tulee lisäpaneeli tietyillä työkaluilla. Niiden avulla voit rajata kuvaa, asettaa sen koon, korostaa tietyn osan värillä, peittää tekstiä, valita fontin ja täyttövärin.

Päävalikon Näytä-painikkeella voit muuttaa mittakaavaa, työskennellä viivaimen kanssa ja mukauttaa seulottujen asiakirjojen ulkonäköä: kaskadi, mosaiikki.

Kun olet ottanut kuvakaappauksen, napsauta "Tiedosto" -painiketta sovelluksen yläpalkissa ja valitse "Tallenna nimellä" -vaihtoehto avattavasta valikosta. Tämän jälkeen oikealle avautuu lisäikkuna, jossa sinun on valittava tiedostotyyppi: PNG, BMP, JPG, GIF, PDF. Sitten on vain määritettävä kansio, johon tiedosto tallennetaan.

verkko on suunniteltu estämään kaikki liikenne paitsi valtuutetut tiedot. Tämä eroaa reitittimestä, jonka tehtävänä on toimittaa liikenne määränpäähänsä mahdollisimman nopeasti.

On olemassa mielipide, että reititin voi myös toimia palomuurina. Näiden laitteiden välillä on kuitenkin yksi perustavanlaatuinen ero: reititin on suunniteltu reitittämään liikennettä nopeasti, ei estämään sitä. Palomuuri on turvalaite, joka sallii tietyn liikenteen tietovirrasta, ja reititin on verkkolaite, joka voidaan määrittää estämään tietty liikenne.

Lisäksi palomuureilla on yleensä laaja valikoima asetuksia. Palomuurin liikenteen kulkua voidaan konfiguroida palveluiden, lähettäjän ja vastaanottajan IP-osoitteiden sekä palvelua pyytävien käyttäjien tunnuksilla. Palomuurit mahdollistavat keskitetyn turvallisuuden hallinta. Yhdessä kokoonpanossa järjestelmänvalvoja voi määrittää sallitun saapuvan liikenteen kaikille organisaation sisäisille järjestelmille. Tämä ei poista tarvetta päivittää ja määrittää järjestelmiä, mutta se vähentää todennäköisyyttä, että yksi tai useampi järjestelmä määritetään väärin ja altistaa kyseiset järjestelmät hyökkäykselle väärin määritettyä palvelua vastaan.

Palomuurityyppien määrittely

Palomuureja on kahta päätyyppiä: sovellustason palomuurit ja sovellustason palomuurit. pakettien suodatus. Ne perustuvat erilaisiin toimintaperiaatteisiin, mutta oikein konfiguroituna molemmat laitetyypit tarjoavat oikeat suojaustoiminnot kielletyn liikenteen estämiseksi. Kuten seuraavissa osissa näet, näiden laitteiden tarjoama suojausaste riippuu siitä, miten niitä käytetään ja miten ne on määritetty.

Sovelluskerroksen palomuurit

Sovelluskerroksen palomuurit tai välityspalvelinnäytöt ovat ohjelmistopaketteja, jotka perustuvat toimintaan yleiskäyttöiset järjestelmät(kuten Windows NT ja Unix) tai palomuurilaitteistoilla. Palomuuri siinä on useita rajapintoja, yksi kullekin verkolle, johon se on kytketty. Käytäntösäännöt määräävät, kuinka liikennettä siirretään verkosta toiseen. Jos sääntö ei nimenomaisesti salli liikenteen läpikulkua, palomuuri hylkää tai hylkää paketit.

Turvallisuuspolitiikan säännöt niitä parannetaan pääsymoduulien avulla. Sovelluskerroksen palomuurissa jokaisella sallitulla protokollalla on oltava oma pääsymoduuli. Parhaat pääsymoduulit ovat ne, jotka on rakennettu erityisesti ratkaistavaa protokollaa varten. Esimerkiksi FTP-käyttömoduuli kohdistaa FTP-protokollan ja voi määrittää, onko liikenne tämän protokollan mukaista ja sallivatko suojauskäytännöt.

Sovelluskerroksen palomuuria käytettäessä kaikki yhteydet kulkevat sen läpi (katso kuva 10.1). Kuten kuvasta näkyy, yhteys alkaa asiakasjärjestelmästä ja siirtyy palomuurin sisäiseen rajapintaan. Palomuuri hyväksyy yhteyden, analysoi paketin sisällön ja käytetyn protokollan sekä määrittää, onko liikenne turvallisuuspolitiikan sääntöjen mukainen. Jos on, niin sitten palomuuri käynnistää uuden yhteyden ulkoisen käyttöliittymänsä ja palvelinjärjestelmän välille.

Sovellustason palomuurit käyttävät saapuvan yhteyden moduuleja yhteyksiä. Moduuli Palomuurin kulunvalvonta hyväksyy saapuvan yhteyden ja käsittelee komennot ennen liikenteen lähettämistä vastaanottajalle. Siten, palomuuri Suojaa järjestelmiä sovelluspohjaisilta hyökkäyksiltä.

Riisi. 10.1.

Huom

Tämä olettaa, että palomuurin käyttömoduuli itsessään ei ole alttiina hyökkäyksille. Jos ohjelmisto ei ole huolellisesti kehitetty, se voi olla väärä väite.

Tämän tyyppisen arkkitehtuurin lisäetu on, että se tekee liikenteen "piilottamisesta" muiden palvelujen sisällä erittäin vaikeaa, ellei mahdotonta. Esimerkiksi jotkin järjestelmän ohjausohjelmat, kuten NetBus ja

Palomuurityyppejä on useita riippuen seuraavista ominaisuuksista:

tarjoaako suoja yhteyden yhden solmun ja verkon välillä vai kahden tai useamman eri verkon välillä;

tapahtuuko tietovirran ohjaus verkkokerroksessa vai OSI-mallin korkeammilla tasoilla;

valvotaanko aktiivisten yhteyksien tiloja vai ei.

Hallittujen tietovirtojen kattavuuden mukaan palomuurit jaetaan:

perinteinen verkko (tai palomuuri) - ohjelma (tai käyttöjärjestelmän olennainen osa) yhdyskäytävässä (verkkojen välistä liikennettä välittävä laite) tai laitteistoratkaisu, joka ohjaa saapuvia ja lähteviä tietovirtoja yhdistettyjen verkkojen välillä (hajautetut verkkoobjektit) ;

henkilökohtainen palomuuri on käyttäjän tietokoneelle asennettu ohjelma, joka on suunniteltu suojaamaan vain tätä tietokonetta luvattomalta käytöltä.

Riippuen OSI-tasosta, jolla pääsynhallinta tapahtuu, palomuurit voivat toimia:

verkon tasolla, kun suodatus tapahtuu pakettien lähettäjän ja vastaanottajan osoitteiden, OSI-mallin siirtokerroksen porttinumeroiden ja ylläpitäjän määrittämien staattisten sääntöjen perusteella;

istuntotasolla(tunnetaan myös nimellä valtiollinen), kun sovellusten välisiä istuntoja valvotaan ja TCP/IP-määrityksiä rikkovia paketteja ei välitetä, käytetään usein haitallisissa toimissa - resurssien skannaus, hakkerointi virheellisten TCP/IP-toteutusten kautta, katkeavat/hitaat yhteydet, tiedonsyöttö;

sovellustaso(tai sovellustasolla), kun suodatus suoritetaan paketin sisällä lähetetyn sovellusdatan analyysin perusteella. Tämäntyyppisten näyttöjen avulla voit estää ei-toivotun ja mahdollisesti haitallisen tiedon siirron käytäntöjen ja asetusten perusteella.

Suodatus verkkotasolla

Saapuvien ja lähtevien pakettien suodatus suoritetaan seuraavien pakettien TCP- ja IP-otsikoiden kenttien sisältämien tietojen perusteella: lähettäjän IP-osoite; Vastaanottajan IP-osoite; lähettäjän portti; vastaanottajan portti.

Suodatus voidaan toteuttaa useilla tavoilla estämään yhteydet tiettyihin tietokoneisiin tai portteihin. Voit esimerkiksi estää yhteydet, jotka tulevat sellaisten tietokoneiden ja verkkojen tietyistä osoitteista, joita pidetään epäluotettavina.

suhteellisen alhaiset kustannukset;

joustavuus suodatussääntöjen määrittelyssä;

pieni viive pakettien läpikulussa.

Vikoja:

ei kerää pirstoutuneita paketteja;

pakettien välisiä suhteita (yhteyksiä) ei voi mitenkään seurata.?

Istuntotason suodatus

Aktiivisten yhteyksien valvonnasta riippuen palomuurit voivat olla:

valtioton(yksinkertainen suodatus), jotka eivät valvo nykyisiä yhteyksiä (esim. TCP), vaan suodattavat tietovirtaa pelkästään staattisten sääntöjen perusteella;

tilallinen, tilallinen pakettitarkastus (SPI)(kontekstitietoinen suodatus), valvoo nykyisiä yhteyksiä ja välittää vain ne paketit, jotka täyttävät vastaavien protokollien ja sovellusten logiikan ja algoritmit.

SPI:llä varustetut palomuurit mahdollistavat tehokkaamman torjunnan erilaisia ​​DoS-hyökkäyksiä ja joidenkin verkkoprotokollien haavoittuvuuksia vastaan. Lisäksi ne varmistavat H.323:n, SIP:n, FTP:n jne. kaltaisten protokollien toiminnan, jotka käyttävät monimutkaisia ​​vastaanottajien välisiä tiedonsiirtomalleja, joita on vaikea kuvata staattisilla säännöillä ja jotka eivät usein ole yhteensopivia tavallisten tilattomien palomuurien kanssa.

Tällaisen suodatuksen etuja ovat:

pakettien sisällön analyysi;

kerroksen 7 protokollien toiminnasta ei vaadita tietoja.

Vikoja:

sovellustason tietojen analysointi on vaikeaa (mahdollisesti ALG:n avulla - Application level gateway).

Sovellustason yhdyskäytävä, ALG (application level gateway) on NAT-reitittimen komponentti, joka ymmärtää sovellusprotokollan ja kun tämän protokollan paketit kulkevat sen läpi, se muokkaa niitä siten, että NAT:n takana olevat käyttäjät voivat käyttää protokollaa.

ALG-palvelu tukee sovellustason protokollia (kuten SIP, H.323, FTP jne.), joiden verkko-osoitteiden käännös ei ole sallittu. Tämä palvelu määrittää sovellustyypin sisäisestä verkkorajapinnasta tulevissa paketeissa ja suorittaa niiden mukaisesti osoitteen/portin muunnoksen ulkoisen liitännän kautta.

SPI (Stateful Packet Inspection) -teknologia tai protokollan tilan huomioiva paketintarkastustekniikka on nykyään edistynyt liikenteenohjausmenetelmä. Tämä tekniikka mahdollistaa tietojen ohjauksen sovellustasolle asti ilman erillistä välityssovellusta tai välityspalvelinsovellusta jokaiselle suojatulle protokollalle tai verkkopalvelulle.

Historiallisesti palomuurit ovat kehittyneet yleiskäyttöisistä pakettisuodattimista protokollakohtaisiin väliohjelmistoihin tilalliseen tarkastukseen. Aiemmat tekniikat vain täydensivät toisiaan, mutta eivät tarjonneet kattavaa yhteyksien valvontaa. Pakettisuodattimilla ei ole pääsyä yhteyden ja sovelluksen tilatietoihin, joita tarvitaan lopullisen suojauspäätöksen tekemiseen. Middleware-ohjelmat käsittelevät vain sovellustason tietoja, mikä usein luo erilaisia ​​mahdollisuuksia järjestelmän hakkerointiin. Tilallinen tarkastusarkkitehtuuri on ainutlaatuinen, koska sen avulla voit käsitellä kaikkea mahdollista yhdyskäytäväkoneen läpi kulkevaa tietoa: pakettidataa, yhteyden tilatietoa, sovelluksen tarvitsemaa dataa.

Esimerkki mekanismistavaltiollinenTarkastus. Palomuuri valvoo FTP-istuntoa tutkimalla tietoja sovellustasolla. Kun asiakas pyytää palvelinta avaamaan käänteisen yhteyden (FTP PORT -komento), palomuuri poimii portin numeron kyseisestä pyynnöstä. Luettelo tallentaa asiakas- ja palvelinosoitteet ja porttinumerot. Kun FTP-datayhteyden muodostamisyritys havaitaan, palomuuri skannaa luettelon ja tarkistaa, onko yhteys todella vastaus kelvolliseen asiakaspyyntöön. Yhteysluetteloa ylläpidetään dynaamisesti niin, että vain tarvittavat FTP-portit ovat avoinna. Heti kun istunto suljetaan, portit estetään, mikä tarjoaa korkean turvallisuustason.

Riisi. 2.12. Esimerkki Stateful Inspection -mekanismista, joka toimii FTP-protokollan kanssa

Sovellustason suodatus

Suojatakseen useita pakettisuodatukseen sisältyviä haavoittuvuuksia palomuurien on käytettävä sovellusohjelmia yhteyksien suodattamiseen palveluihin, kuten Telnet, HTTP, FTP. Tällaista sovellusta kutsutaan välityspalvelinpalveluksi, ja isäntä, jolla välityspalvelinpalvelu toimii, kutsutaan sovellustason yhdyskäytäväksi. Tällainen yhdyskäytävä eliminoi suoran vuorovaikutuksen valtuutetun asiakkaan ja ulkoisen isännän välillä. Yhdyskäytävä suodattaa kaikki saapuvat ja lähtevät paketit sovelluskerroksessa (sovelluskerros - verkkomallin ylin kerros) ja voi analysoida tietosisältöä, kuten HTTP-sanoman sisältämän URL-osoitteen tai FTP-sanoman sisältämän komennon. Joskus on tehokkaampaa suodattaa paketit itse datan sisältämien tietojen perusteella. Pakettisuodattimet ja linkkitason suodattimet eivät käytä tietovirran sisältöä suodatuspäätöksiä tehdessään, mutta sovellustason suodatus voi tehdä niin. Sovellustason suodattimet voivat käyttää paketin otsikon tietoja sekä sisältötietoja ja käyttäjätietoja. Järjestelmänvalvojat voivat käyttää sovellustason suodatusta hallitakseen pääsyä käyttäjän identiteetin ja/tai käyttäjän suorittaman tietyn tehtävän perusteella. Sovellustason suodattimissa voit asettaa sääntöjä sovelluksen antamien komentojen perusteella. Järjestelmänvalvoja voi esimerkiksi estää tiettyä käyttäjää lataamasta tiedostoja tiettyyn tietokoneeseen FTP:n avulla tai sallia käyttäjän isännöidä tiedostoja FTP:n kautta samassa tietokoneessa.

Tällaisen suodatuksen etuja ovat:

yksinkertaiset suodatussäännöt;

mahdollisuus järjestää suuri määrä tarkastuksia. Sovellustason suojaus mahdollistaa suuren määrän lisätarkastuksia, mikä vähentää hakkeroinnin todennäköisyyttä ohjelmiston reikien avulla;

kyky analysoida sovellustietoja.

Vikoja:

suhteellisen alhainen suorituskyky verrattuna pakettisuodatukseen;

välityspalvelimen on ymmärrettävä protokollansa (käytön mahdottomuus tuntemattomien protokollien kanssa)?;

Yleensä se toimii monimutkaisissa käyttöjärjestelmissä.