ഫയർവാളുകൾ അല്ലെങ്കിൽ ഫയർവാളുകൾ. എന്താണ് ഫയർവാൾ? അത് എന്തിനുവേണ്ടിയാണ് വേണ്ടത്? സുരക്ഷാ പാരാമീറ്ററുകൾ ക്രമീകരിക്കുന്നതിനുള്ള ഉദാഹരണങ്ങൾ

14.9 ഫയർവാളുകൾ

ഇൻറർനെറ്റിലേക്ക് കണക്റ്റുചെയ്‌ത ആളുകളിൽ നിന്നുള്ള ഫയർവാളുകളോടുള്ള (ഫയർവാൾ) താൽപ്പര്യം വർദ്ധിച്ചുകൊണ്ടിരിക്കുകയാണ്, കൂടാതെ പ്രാദേശിക നെറ്റ്‌വർക്കിനായുള്ള ആപ്ലിക്കേഷനുകൾ പോലും ഉയർന്ന സുരക്ഷ നൽകുന്ന പ്രത്യക്ഷപ്പെട്ടു. ഈ വിഭാഗത്തിൽ ഫയർവാളുകൾ എന്താണെന്നും അവ എങ്ങനെ ഉപയോഗിക്കാമെന്നും അവ നടപ്പിലാക്കുന്നതിനായി FreeBSD കേർണൽ നൽകുന്ന കഴിവുകൾ എങ്ങനെ പ്രയോജനപ്പെടുത്താമെന്നും രൂപരേഖ തയ്യാറാക്കാൻ ഞങ്ങൾ പ്രതീക്ഷിക്കുന്നു.

14.9.1. എന്താണ് ഫയർവാൾ?

ആധുനിക ഇൻറർനെറ്റിൽ എല്ലാ ദിവസവും ഉപയോഗിക്കുന്ന രണ്ട് തരം ഫയർവാളുകൾ ഉണ്ട്. ആദ്യ തരം കൂടുതൽ ശരിയായി വിളിക്കപ്പെടുന്നു പാക്കറ്റ് ഫിൽട്ടറിംഗ് റൂട്ടർ . ഇത്തരത്തിലുള്ള ഫയർവാൾ ഒന്നിലധികം നെറ്റ്‌വർക്കുകളിലേക്ക് കണക്റ്റുചെയ്തിരിക്കുന്ന ഒരു മെഷീനിൽ പ്രവർത്തിക്കുന്നു, കൂടാതെ ഓരോ പാക്കറ്റിനും പാക്കറ്റ് ഫോർവേഡ് ചെയ്‌തിട്ടുണ്ടോ ബ്ലോക്ക് ചെയ്‌തിട്ടുണ്ടോ എന്ന് നിർണ്ണയിക്കുന്ന ഒരു കൂട്ടം നിയമങ്ങൾ പ്രയോഗിക്കുന്നു. എന്നറിയപ്പെടുന്ന രണ്ടാമത്തെ തരം പ്രോക്സി സെര്വര് , കേർണലിൽ പാക്കറ്റ് ഫോർവേഡിംഗ് പ്രവർത്തനരഹിതമാക്കിയ ഒന്നിലധികം നെറ്റ്‌വർക്ക് കണക്ഷനുകളുള്ള ഒരു മെഷീനിൽ, പ്രാമാണീകരണവും പാക്കറ്റ് ഫോർവേഡിംഗും നടത്തുന്ന ഡെമണുകളായി നടപ്പിലാക്കുന്നു.

ചിലപ്പോൾ ഈ രണ്ട് തരം ഫയർവാളുകളും ഒരുമിച്ചാണ് ഉപയോഗിക്കുന്നത്, അങ്ങനെ ഒരു പ്രത്യേക യന്ത്രം മാത്രം (അറിയപ്പെടുന്നത് കൊത്തള ഹോസ്റ്റ് ) ആന്തരിക നെറ്റ്‌വർക്കിലേക്ക് ഫിൽട്ടറിംഗ് റൂട്ടർ വഴി പാക്കറ്റുകൾ അയയ്‌ക്കാൻ അനുവദിച്ചിരിക്കുന്നു. സാധാരണ പ്രാമാണീകരണ സംവിധാനങ്ങളേക്കാൾ കൂടുതൽ സുരക്ഷിതമായ ഒരു സുരക്ഷിത ഹോസ്റ്റിലാണ് പ്രോക്സി സേവനങ്ങൾ പ്രവർത്തിക്കുന്നത്.

ഫ്രീബിഎസ്ഡി ഒരു ഫിൽട്ടർ പാക്കേജുമായാണ് (IPFW എന്നറിയപ്പെടുന്നത്) കേർണലിൽ നിർമ്മിച്ചിരിക്കുന്നത്, അത് ഈ വിഭാഗത്തിന്റെ ബാക്കി ഭാഗങ്ങളിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കും. മൂന്നാം കക്ഷി സോഫ്‌റ്റ്‌വെയറിൽ നിന്ന് ഫ്രീബിഎസ്‌ഡിയിൽ പ്രോക്‌സി സെർവറുകൾ നിർമ്മിക്കാൻ കഴിയും, എന്നാൽ ഈ വിഭാഗത്തിൽ അവയിൽ പലതും ഉൾപ്പെടുത്തിയിട്ടുണ്ട്.

14.9.1.1. പാക്കറ്റ് ഫിൽട്ടറിംഗ് ഉള്ള റൂട്ടറുകൾ

രണ്ടോ അതിലധികമോ നെറ്റ്‌വർക്കുകൾക്കിടയിൽ പാക്കറ്റുകൾ കൈമാറുന്ന ഒരു യന്ത്രമാണ് റൂട്ടർ. ഓരോ പാക്കറ്റും ഫോർവേഡ് ചെയ്യണോ വേണ്ടയോ എന്ന് തീരുമാനിക്കുന്നതിന് മുമ്പ് നിയമങ്ങളുടെ പട്ടികയുമായി താരതമ്യം ചെയ്യാൻ ഒരു പാക്കറ്റ് ഫിൽട്ടറിംഗ് റൂട്ടർ പ്രോഗ്രാം ചെയ്തിട്ടുണ്ട്. മിക്ക ആധുനിക റൂട്ടിംഗ് സോഫ്‌റ്റ്‌വെയറുകളിലും ഫിൽട്ടറിംഗ് കഴിവുകൾ ഉണ്ട്, ഡിഫോൾട്ടായി എല്ലാ പാക്കറ്റുകളും ഫോർവേഡ് ചെയ്യപ്പെടും. ഫിൽട്ടറുകൾ പ്രവർത്തനക്ഷമമാക്കാൻ, നിങ്ങൾ ഒരു കൂട്ടം നിയമങ്ങൾ നിർവ്വചിക്കേണ്ടതുണ്ട്.

ഒരു പാക്കറ്റ് അനുവദിക്കണമോ എന്ന് നിർണ്ണയിക്കാൻ, പാക്കറ്റ് ഹെഡറുകളുടെ ഉള്ളടക്കവുമായി പൊരുത്തപ്പെടുന്ന നിയമങ്ങളുടെ ഒരു കൂട്ടം ഫയർവാൾ തിരയുന്നു. ഒരു പൊരുത്തം കണ്ടെത്തിക്കഴിഞ്ഞാൽ, ആ നിയമത്തിന് നൽകിയിരിക്കുന്ന പ്രവർത്തനം നടപ്പിലാക്കും. പാക്കറ്റ് ഡ്രോപ്പ് ചെയ്യുകയോ പാക്കറ്റ് ഫോർവേഡ് ചെയ്യുകയോ സോഴ്സ് വിലാസത്തിലേക്ക് ഒരു ICMP സന്ദേശം അയയ്‌ക്കുകയോ ചെയ്യാം. നിയമങ്ങൾ ഒരു പ്രത്യേക ക്രമത്തിൽ നോക്കുന്നതിനാൽ ആദ്യ മത്സരം മാത്രമേ കണക്കാക്കൂ. അതിനാൽ, നിയമങ്ങളുടെ ഒരു പട്ടികയെ "നിയമങ്ങളുടെ ശൃംഖല" എന്ന് വിളിക്കാം. » .

പാക്കറ്റ് തിരഞ്ഞെടുക്കൽ മാനദണ്ഡം നിങ്ങൾ ഉപയോഗിക്കുന്ന സോഫ്‌റ്റ്‌വെയറിനെ ആശ്രയിച്ചിരിക്കുന്നു, എന്നാൽ സാധാരണയായി നിങ്ങൾക്ക് പാക്കറ്റിന്റെ ഉറവിട ഐപി വിലാസം, ലക്ഷ്യസ്ഥാന ഐപി വിലാസം, പാക്കറ്റിന്റെ ഉറവിട പോർട്ട് നമ്പർ, ലക്ഷ്യസ്ഥാന പോർട്ട് നമ്പർ (പിന്തുണയ്ക്കുന്ന പ്രോട്ടോക്കോളുകൾക്കായി) എന്നിവയെ അടിസ്ഥാനമാക്കി നിയമങ്ങൾ നിർവചിക്കാം. പോർട്ടുകൾ), അല്ലെങ്കിൽ പാക്കറ്റിന്റെ തരം പോലും (UDP , TCP, ICMP, മുതലായവ).

14.9.1.2. പ്രോക്സി സെർവറുകൾ

സാധാരണ സിസ്റ്റം ഡെമണുകൾ ഉള്ള കമ്പ്യൂട്ടറുകളാണ് പ്രോക്സി സെർവറുകൾ ( ടെൽനെറ്റ്, ftpd, മുതലായവ) പ്രത്യേക സെർവറുകൾ ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുന്നു. ഈ സെർവറുകളെ വിളിക്കുന്നു പ്രോക്സി സെർവറുകൾ , അവർ സാധാരണയായി ഇൻകമിംഗ് കണക്ഷനുകളിൽ മാത്രമേ പ്രവർത്തിക്കൂ. ഇത് പ്രവർത്തിപ്പിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു (ഉദാഹരണത്തിന്) ടെൽനെറ്റ്ഫയർവാളിലെ പ്രോക്‌സി സെർവർ, ഉപയോഗിച്ച് ലോഗിൻ ചെയ്യുന്നത് സാധ്യമാക്കുക ടെൽനെറ്റ്ഫയർവാളിലേക്ക്, പ്രാമാണീകരണ സംവിധാനം കടന്നുപോകുകയും, ആന്തരിക നെറ്റ്‌വർക്കിലേക്കുള്ള പ്രവേശനം നേടുകയും ചെയ്യുന്നു (അതുപോലെ, ബാഹ്യ നെറ്റ്‌വർക്കിലേക്ക് ആക്‌സസ് ചെയ്യാൻ പ്രോക്‌സി സെർവറുകൾ ഉപയോഗിക്കാം).

പ്രോക്‌സി സെർവറുകൾ സാധാരണയായി മറ്റ് സെർവറുകളെ അപേക്ഷിച്ച് മികച്ച രീതിയിൽ പരിരക്ഷിതമാണ്, മാത്രമല്ല ഒറ്റത്തവണ പാസ്‌വേഡ് സംവിധാനങ്ങൾ ഉൾപ്പെടെയുള്ള വിപുലമായ പ്രാമാണീകരണ സംവിധാനങ്ങളുമുണ്ട്, അതിനാൽ നിങ്ങൾ ഏത് പാസ്‌വേഡ് ഉപയോഗിച്ചുവെന്ന് ആർക്കെങ്കിലും അറിയാമെങ്കിലും, അതിലേക്ക് ആക്‌സസ് നേടാൻ അവർക്ക് അത് ഉപയോഗിക്കാൻ കഴിയില്ല. സിസ്റ്റം. കാരണം പാസ്‌വേഡ് അതിന്റെ ആദ്യ ഉപയോഗത്തിന് തൊട്ടുപിന്നാലെ കാലഹരണപ്പെടും. പ്രോക്‌സി സെർവർ സ്ഥിതിചെയ്യുന്ന കമ്പ്യൂട്ടറിലേക്ക് പാസ്‌വേഡ് നേരിട്ട് ആക്‌സസ് നൽകാത്തതിനാൽ, സിസ്റ്റം ബാക്ക്‌ഡോർ ചെയ്യുന്നത് വളരെ ബുദ്ധിമുട്ടാണ്.

പ്രോക്‌സി സെർവറുകൾക്ക് സാധാരണയായി ആക്‌സസ് കൂടുതൽ നിയന്ത്രിക്കാനുള്ള ഒരു മാർഗമുണ്ട്, അതിനാൽ ചില ഹോസ്റ്റുകൾക്ക് മാത്രമേ സെർവറുകൾ ആക്‌സസ് ചെയ്യാൻ കഴിയൂ. ഏതൊക്കെ ഉപയോക്താക്കൾക്കും കമ്പ്യൂട്ടറുകൾക്കും ആക്‌സസ് ചെയ്യാനാകുമെന്ന് വ്യക്തമാക്കാൻ മിക്കവരും അഡ്മിനിസ്ട്രേറ്ററെ അനുവദിക്കുന്നു. വീണ്ടും, ലഭ്യമായ ഓപ്ഷനുകൾ പ്രധാനമായും ഉപയോഗിക്കുന്ന സോഫ്റ്റ്വെയറിനെ ആശ്രയിച്ചിരിക്കുന്നു.

14.9.2. IPFW നിങ്ങളെ എന്ത് ചെയ്യാൻ അനുവദിക്കുന്നു?

FreeBSD ഉപയോഗിച്ച് അയച്ചിരിക്കുന്ന IPFW സോഫ്‌റ്റ്‌വെയർ, കേർണലിൽ സ്ഥിതി ചെയ്യുന്ന ഒരു പാക്കറ്റ് ഫിൽട്ടറിംഗ്, അക്കൌണ്ടിംഗ് സിസ്റ്റമാണ്, കൂടാതെ ഒരു ഉപയോക്തൃ കോൺഫിഗറേഷൻ യൂട്ടിലിറ്റി സജ്ജീകരിച്ചിരിക്കുന്നു, ipfw (8). റൂട്ടിംഗിനായി കേർണൽ ഉപയോഗിക്കുന്ന നിയമങ്ങൾ നിർവ്വചിക്കാനും കാണാനും അവ നിങ്ങളെ അനുവദിക്കുന്നു.

IPFW രണ്ട് അനുബന്ധ ഭാഗങ്ങൾ ഉൾക്കൊള്ളുന്നു. ഫയർവാൾ പാക്കറ്റുകൾ ഫിൽട്ടർ ചെയ്യുന്നു. IP പാക്കറ്റ് അക്കൗണ്ടിംഗ് ഭാഗം ഫയർവാൾ ഭാഗത്ത് ഉപയോഗിച്ചിരിക്കുന്നതുപോലെയുള്ള നിയമങ്ങളെ അടിസ്ഥാനമാക്കി റൂട്ടർ ഉപയോഗം ട്രാക്ക് ചെയ്യുന്നു. ഇത് അഡ്മിനിസ്ട്രേറ്ററെ നിർണ്ണയിക്കാൻ അനുവദിക്കുന്നു, ഉദാഹരണത്തിന്, ഒരു പ്രത്യേക കമ്പ്യൂട്ടറിൽ നിന്ന് റൂട്ടറിന് ലഭിക്കുന്ന ട്രാഫിക്കിന്റെ അളവ് അല്ലെങ്കിൽ അത് ഫോർവേഡ് ചെയ്യുന്ന WWW ട്രാഫിക്കിന്റെ അളവ്.

IPFW നടപ്പിലാക്കിയ രീതി കാരണം, ഇൻകമിംഗ്, ഔട്ട്‌ഗോയിംഗ് കണക്ഷനുകൾ ഫിൽട്ടർ ചെയ്യുന്നതിന് റൂട്ടർ ഇതര കമ്പ്യൂട്ടറുകളിൽ നിങ്ങൾക്ക് ഇത് ഉപയോഗിക്കാം. ഇത് IPFW ന്റെ കൂടുതൽ പൊതുവായ ഉപയോഗത്തിന്റെ ഒരു പ്രത്യേക സാഹചര്യമാണ്, ഈ സാഹചര്യത്തിൽ അതേ കമാൻഡുകളും ടെക്നിക്കുകളും ഉപയോഗിക്കുന്നു.

14.9.3. FreeBSD-യിൽ IPFW പ്രവർത്തനക്ഷമമാക്കുന്നു

IPFW സിസ്റ്റത്തിന്റെ ഭൂരിഭാഗവും കേർണലിൽ വസിക്കുന്നതിനാൽ, ആവശ്യമായ കഴിവുകളെ ആശ്രയിച്ച്, കേർണൽ കോൺഫിഗറേഷൻ ഫയലിലേക്ക് നിങ്ങൾ ഒന്നോ അതിലധികമോ പാരാമീറ്ററുകൾ ചേർക്കുകയും കേർണൽ പുനർനിർമ്മിക്കുകയും ചെയ്യേണ്ടതുണ്ട്. ഈ നടപടിക്രമത്തിന്റെ വിശദമായ വിവരണത്തിനായി കേർണൽ പുനർനിർമ്മിക്കുന്നതിനെക്കുറിച്ചുള്ള അധ്യായം (അധ്യായം 8) കാണുക.

ശ്രദ്ധ:ഡിഫോൾട്ട് ഐപിഎഫ്ഡബ്ല്യു റൂൾ ഏതിൽ നിന്നും ഏതിലേക്കും ഐപി നിരസിക്കുക എന്നതാണ്. ആക്‌സസ് അനുവദിക്കുന്നതിന് ബൂട്ട് സമയത്ത് നിങ്ങൾ മറ്റ് നിയമങ്ങളൊന്നും ചേർത്തില്ലെങ്കിൽ, തുടർന്ന് പ്രവേശനം തടയുക റീബൂട്ടിന് ശേഷം കേർണലിൽ ഫയർവാൾ പ്രവർത്തനക്ഷമമാക്കിയ സെർവറിലേക്ക്. ആദ്യം ഫയർവാൾ ചേർക്കുമ്പോൾ /etc/rc.conf ഫയലിൽ firewall_type=open എന്ന് വ്യക്തമാക്കാൻ ഞങ്ങൾ നിർദ്ദേശിക്കുന്നു, തുടർന്ന് അതിന്റെ പ്രവർത്തനക്ഷമത പരിശോധിച്ച ശേഷം /etc/rc.firewall ഫയലിലെ നിയമങ്ങൾ എഡിറ്റ് ചെയ്യുക. ലോഗിൻ ചെയ്യുന്നതിനുപകരം, ലോക്കൽ കൺസോളിൽ നിന്ന് ഫയർവാൾ ആദ്യം കോൺഫിഗർ ചെയ്യുക എന്നതാണ് ഒരു അധിക മുൻകരുതൽ. ssh. കൂടാതെ, IPFIREWALL, IPFIREWALL_DEFAULT_TO_ACCEPT പാരാമീറ്ററുകൾ ഉപയോഗിച്ച് കേർണൽ നിർമ്മിക്കാൻ സാധിക്കും. ഈ സാഹചര്യത്തിൽ, ഡിഫോൾട്ട് ഐപിഎഫ്ഡബ്ല്യു റൂൾ മാറ്റപ്പെടും, ഏതെങ്കിലും ഒന്നിൽ നിന്ന് ഐപി അനുവദിക്കും, ഇത് സാധ്യമായ തടയൽ തടയും.

IPFW-യുമായി ബന്ധപ്പെട്ട നാല് കേർണൽ കോൺഫിഗറേഷൻ ഓപ്ഷനുകൾ ഉണ്ട്:

ഓപ്ഷനുകൾ IPFIREWALL

കേർണലിൽ പാക്കറ്റ് ഫിൽട്ടറിംഗ് കോഡ് ഉൾപ്പെടുന്നു.

ഓപ്ഷനുകൾ IPFIREWALL_VERBOSE

വഴി പാക്കറ്റ് ലോഗിംഗ് പ്രാപ്തമാക്കുന്നു syslogd (8). ഈ പരാമീറ്റർ കൂടാതെ, പാക്കറ്റുകൾ ലോഗ് ചെയ്യുന്നതിനുള്ള ഫിൽട്ടറിംഗ് നിയമങ്ങളിൽ നിങ്ങൾ വ്യക്തമാക്കിയാലും, അത് പ്രവർത്തിക്കില്ല.

ഓപ്ഷനുകൾ IPFIREWALL_VERBOSE_LIMIT=10

ഓരോ നിയമവും വഴി ലോഗിൻ ചെയ്ത പാക്കറ്റുകളുടെ എണ്ണം പരിമിതപ്പെടുത്തുന്നു syslogd (8). നിങ്ങൾക്ക് ഫയർവാളിന്റെ പ്രവർത്തനം ലോഗ് ചെയ്യണമെങ്കിൽ ഈ ഓപ്‌ഷൻ ഉപയോഗിക്കാം, എന്നാൽ സിസ്‌ലോഗ് ഒരു DoS ആക്രമണത്തിന് വിധേയമാക്കാൻ ആഗ്രഹിക്കുന്നില്ല.

ശൃംഖലയിലെ നിയമങ്ങളിലൊന്ന് പരാമീറ്റർ വ്യക്തമാക്കിയ പരിധിയിൽ എത്തുമ്പോൾ, ആ നിയമത്തിനായുള്ള ലോഗിംഗ് ഓഫാകും. ലോഗിംഗ് പ്രവർത്തനക്ഷമമാക്കാൻ, നിങ്ങൾ യൂട്ടിലിറ്റി ഉപയോഗിച്ച് അനുബന്ധ കൌണ്ടർ പുനഃസജ്ജമാക്കേണ്ടതുണ്ട് ipfw (8) :

# ipfw പൂജ്യം 4500

ലോഗിംഗ് പുനരാരംഭിക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്ന നിയമത്തിന്റെ സംഖ്യയാണ് 4500.

ഓപ്ഷനുകൾ IPFIREWALL_DEFAULT_TO_ACCEPT

"നിരസിക്കുക" എന്നതിൽ നിന്ന് "അനുവദിക്കുക" എന്നതിലേക്ക് സ്ഥിരസ്ഥിതി നിയമം മാറ്റുന്നു. IPFIREWALL പിന്തുണയോടെ കേർണൽ ലോഡുചെയ്തിട്ടുണ്ടെങ്കിലും ഫയർവാൾ ഇതുവരെ ക്രമീകരിച്ചിട്ടില്ലെങ്കിൽ, ഇത് തടയുന്നത് തടയുന്നു. നിങ്ങൾ ഉപയോഗിക്കുകയാണെങ്കിൽ ഈ ഓപ്ഷൻ ഉപയോഗപ്രദമാണ് ipfw (8)ചില പ്രശ്നങ്ങൾ ഉണ്ടാകുമ്പോൾ അവയ്ക്കുള്ള പരിഹാരമായി. എന്നിരുന്നാലും, ക്രമീകരണം ജാഗ്രതയോടെ ഉപയോഗിക്കുക, കാരണം അത് ഫയർവാൾ തുറക്കുകയും അതിന്റെ സ്വഭാവം മാറ്റുകയും ചെയ്യുന്നു.

അഭിപ്രായം: FreeBSD-യുടെ മുൻ പതിപ്പുകളിൽ IPFIREWALL_ACCT ഓപ്ഷൻ ഉൾപ്പെടുന്നു. കോഡ് സ്വയമേവ അക്കൗണ്ടിംഗ് പ്രവർത്തനക്ഷമമാക്കുന്നതിനാൽ ഈ ഓപ്ഷൻ ഒഴിവാക്കിയിരിക്കുന്നു.

14.9.4. IPFW സജ്ജീകരിക്കുന്നു

യൂട്ടിലിറ്റി ഉപയോഗിച്ചാണ് IPFW സോഫ്റ്റ്‌വെയർ ക്രമീകരിച്ചിരിക്കുന്നത് ipfw (8). ഈ കമാൻഡിന്റെ വാക്യഘടന വളരെ സങ്കീർണ്ണമാണെന്ന് തോന്നുന്നു, പക്ഷേ അതിന്റെ ഘടന മനസ്സിലാക്കിയാൽ അത് താരതമ്യേന ലളിതമാകും.

യൂട്ടിലിറ്റി നിലവിൽ നാല് വ്യത്യസ്ത തരം കമാൻഡുകൾ ഉപയോഗിക്കുന്നു: കൂട്ടിച്ചേർക്കൽ/ഇല്ലാതാക്കൽ, ലിസ്റ്റിംഗ്, ഫ്ലഷിംഗ്, ക്ലിയറിംഗ്. പാക്കറ്റുകൾ എങ്ങനെ സ്വീകരിക്കുന്നു, ഉപേക്ഷിക്കുന്നു, ലോഗിൻ ചെയ്യുന്നു എന്ന് നിർണ്ണയിക്കുന്ന നിയമങ്ങൾ സൃഷ്ടിക്കാൻ ചേർക്കുക/ഡ്രോപ്പ് ഉപയോഗിക്കുന്നു. ഒരു കൂട്ടം നിയമങ്ങളുടെയും (ചെയിൻ എന്നും അറിയപ്പെടുന്നു) പാക്കറ്റ് കൗണ്ടറുകളുടെയും (അക്കൗണ്ടിംഗ്) ഉള്ളടക്കം നിർണ്ണയിക്കാൻ ലുക്ക്അപ്പ് ഉപയോഗിക്കുന്നു. ഒരു ചെയിനിലെ എല്ലാ നിയമങ്ങളും ഇല്ലാതാക്കാൻ റീസെറ്റ് ഉപയോഗിക്കുന്നു. ഒന്നോ അതിലധികമോ കൗണ്ടറുകൾ പൂജ്യത്തിലേക്ക് പുനഃസജ്ജമാക്കാൻ ക്ലിയർ ഉപയോഗിക്കുന്നു.

14.9.4.1. IPFW നിയമങ്ങൾ മാറ്റുന്നു

ipfw [-N] കമാൻഡ് [നമ്പർ] പ്രവർത്തന വിലാസ പ്രോട്ടോക്കോൾ [പാരാമീറ്ററുകൾ]

കമാൻഡിന്റെ ഈ ഫോം ഉപയോഗിക്കുമ്പോൾ ഒരു ഫ്ലാഗ് ലഭ്യമാണ്:

പ്രദർശിപ്പിക്കുമ്പോൾ വിലാസങ്ങളും സേവനങ്ങളുടെ പേരുകളും പരിഹരിക്കുന്നു.

നിർവചിക്കാവുന്നത് ടീംഒരു ചെറിയ അദ്വിതീയ രൂപത്തിലേക്ക് ചുരുക്കാം. നിലവിലുള്ള ടീമുകൾ :

ഫിൽട്ടറിംഗ്/അക്കൗണ്ടിംഗ് ലിസ്റ്റിലേക്ക് ഒരു നിയമം ചേർക്കുന്നു

ഫിൽട്ടറിംഗ്/അക്കൗണ്ടിംഗ് ലിസ്റ്റിൽ നിന്ന് ഒരു നിയമം നീക്കം ചെയ്യുന്നു

IPFW-യുടെ മുൻ പതിപ്പുകൾ പാക്കറ്റ് ഫിൽട്ടറിംഗിനും അക്കൗണ്ടിംഗിനും പ്രത്യേക എൻട്രികൾ ഉപയോഗിച്ചിരുന്നു. ആധുനിക പതിപ്പുകൾ ഓരോ നിയമത്തിനും പാക്കറ്റുകൾ കണക്കിലെടുക്കുന്നു.

ഒരു മൂല്യം വ്യക്തമാക്കിയിട്ടുണ്ടെങ്കിൽ നമ്പർ, ചെയിനിൽ ഒരു പ്രത്യേക സ്ഥാനത്ത് ഒരു നിയമം സ്ഥാപിക്കാൻ ഇത് ഉപയോഗിക്കുന്നു. അല്ലാത്തപക്ഷം, മുമ്പത്തെ നിയമത്തേക്കാൾ 100 ഉയർന്ന സംഖ്യയിൽ ചെയിനിന്റെ അവസാനം റൂൾ സ്ഥാപിച്ചിരിക്കുന്നു (ഇതിൽ സ്ഥിരസ്ഥിതി റൂൾ നമ്പർ 65535 ഉൾപ്പെടുന്നില്ല).

IPFIREWALL_VERBOSE ഓപ്‌ഷൻ ഉപയോഗിച്ചാണ് കേർണൽ നിർമ്മിച്ചിരിക്കുന്നതെങ്കിൽ, ലോഗ് പാരാമീറ്റർ ഉപയോഗിച്ച്, സിസ്റ്റം കൺസോളിലേക്ക് അനുബന്ധ നിയമങ്ങൾ ഔട്ട്‌പുട്ട് വിവരങ്ങൾ നൽകുന്നു.

നിലവിലുള്ള പ്രവർത്തനങ്ങൾ :

പാക്കറ്റ് ഉപേക്ഷിച്ച് ഹോസ്റ്റോ പോർട്ടോ ലഭ്യമല്ലെന്ന് സൂചിപ്പിക്കുന്ന ഉറവിട വിലാസത്തിലേക്ക് ഒരു ICMP പാക്കറ്റ് അയയ്ക്കുക.

പതിവുപോലെ പാക്കറ്റ് ഒഴിവാക്കുക. (പര്യായങ്ങൾ: പാസ്, പെർമിറ്റ്, സ്വീകരിക്കുക)

പാക്കേജ് ഉപേക്ഷിക്കുക. ഉറവിടത്തിലേക്ക് ICMP സന്ദേശമൊന്നും നൽകുന്നില്ല (പാക്കറ്റ് ഒരിക്കലും ലക്ഷ്യത്തിലെത്താത്തതുപോലെ).

പാക്കറ്റ് കൌണ്ടർ അപ്ഡേറ്റ് ചെയ്യുക, എന്നാൽ അതിന് അനുവദിക്കുക/നിഷേധിയ്ക്കുക എന്ന നിയമങ്ങൾ പ്രയോഗിക്കരുത്. ശൃംഖലയിലെ അടുത്ത നിയമം ഉപയോഗിച്ച് തിരയൽ തുടരും.

ഓരോന്നും നടപടിഒരു ചെറിയ തനതായ പ്രിഫിക്സായി എഴുതാം.

ഇനിപ്പറയുന്നവ നിർവചിക്കാം പ്രോട്ടോക്കോളുകൾ :

എല്ലാ IP പാക്കറ്റുകളുമായും പൊരുത്തപ്പെടുന്നു

ICMP പാക്കറ്റുകളുമായി പൊരുത്തപ്പെടുന്നു

TCP പാക്കറ്റുകളുമായി പൊരുത്തപ്പെടുന്നു

UDP പാക്കറ്റുകളുമായി പൊരുത്തപ്പെടുന്നു

ഫീൽഡ് വിലാസങ്ങൾരൂപപ്പെടുന്നത് ഇതുപോലെയാണ്:

ഉറവിടം വിലാസം/മാസ്ക് [തുറമുഖം] ലക്ഷ്യം വിലാസം/മാസ്ക് [തുറമുഖം]

നിങ്ങൾക്ക് വ്യക്തമാക്കാം തുറമുഖംകൂടെ മാത്രം പ്രോട്ടോക്കോളുകൾ പിന്തുണയ്ക്കുന്ന പോർട്ടുകൾ (UDP, TCP).

വഴി പാരാമീറ്റർ ഓപ്ഷണൽ ആണ്, കൂടാതെ പ്രാദേശിക IP ഇന്റർഫേസിന്റെ ഐപി വിലാസമോ ഡൊമെയ്ൻ നാമമോ ഇന്റർഫേസിന്റെ പേരോ അടങ്ങിയിരിക്കാം (ഉദാഹരണത്തിന് ed0), ആ ഇന്റർഫേസിലൂടെ കടന്നുപോകുന്ന പാക്കറ്റുകളുമായി മാത്രം പൊരുത്തപ്പെടുന്നതിന് ഇത് റൂൾ കോൺഫിഗർ ചെയ്യുന്നു. ഇന്റർഫേസ് നമ്പറുകൾ ഒരു ഓപ്ഷണൽ മാസ്ക് ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കാം. ഉദാഹരണത്തിന്, ppp* കേർണൽ PPP ഇന്റർഫേസുകളുമായി പൊരുത്തപ്പെടും.

സൂചിപ്പിക്കാൻ ഉപയോഗിക്കുന്ന വാക്യഘടന വിലാസങ്ങൾ/മാസ്കുകൾ:

വിലാസംഅഥവാ വിലാസം/മാസ്ക്-ബിറ്റുകൾഅഥവാ വിലാസം:ടെംപ്ലേറ്റ് മാസ്ക്

ഒരു IP വിലാസത്തിന് പകരം, നിങ്ങൾക്ക് നിലവിലുള്ള ഒരു ഹോസ്റ്റ് നാമം വ്യക്തമാക്കാൻ കഴിയും. മാസ്ക്-ബിറ്റുകൾവിലാസ മാസ്കിൽ സജ്ജീകരിക്കേണ്ട ബിറ്റുകളുടെ എണ്ണം സൂചിപ്പിക്കുന്ന ഒരു ദശാംശ സംഖ്യയാണിത്. ഉദാഹരണത്തിന്, 192.216.222.1/24 എല്ലാ ക്ലാസ് സി സബ്നെറ്റ് വിലാസങ്ങളുമായി പൊരുത്തപ്പെടുന്ന ഒരു മാസ്ക് സൃഷ്ടിക്കും (ഈ സാഹചര്യത്തിൽ, 192.216.222). IP വിലാസത്തിന്റെ സ്ഥാനത്ത് സാധുവായ ഒരു ഹോസ്റ്റ്നാമം വ്യക്തമാക്കിയേക്കാം. ടെംപ്ലേറ്റ് മാസ്ക്നൽകിയിരിക്കുന്ന വിലാസത്തിനൊപ്പം യുക്തിസഹമായി ഗുണിക്കുന്ന ഐപിയാണിത്. "ഏതെങ്കിലും IP വിലാസം" എന്ന അർത്ഥത്തിൽ ഏത് കീവേഡും ഉപയോഗിക്കാം.

പോർട്ട് നമ്പറുകൾ ഇനിപ്പറയുന്ന ഫോർമാറ്റിൽ വ്യക്തമാക്കിയിരിക്കുന്നു:

തുറമുഖം [,തുറമുഖം [,തുറമുഖം [.]]]

ഒരൊറ്റ പോർട്ട് അല്ലെങ്കിൽ പോർട്ടുകളുടെ ഒരു ലിസ്റ്റ് വ്യക്തമാക്കാൻ, അല്ലെങ്കിൽ

തുറമുഖം-തുറമുഖം

പോർട്ടുകളുടെ ഒരു ശ്രേണി വ്യക്തമാക്കാൻ. നിങ്ങൾക്ക് പോർട്ടുകളുടെ ഒരു ലിസ്‌റ്റുമായി ഒരൊറ്റ ശ്രേണി സംയോജിപ്പിക്കാനും കഴിയും, എന്നാൽ ശ്രേണി എപ്പോഴും ആദ്യം ലിസ്‌റ്റ് ചെയ്‌തിരിക്കണം.

ലഭ്യമാണ് ഓപ്ഷനുകൾ :

ഡാറ്റാഗ്രാമിലെ ആദ്യത്തെ പാക്കറ്റ് പാക്കറ്റല്ലെങ്കിൽ തീപിടിക്കും.

ഇൻകമിംഗ് പാക്കറ്റുകളുമായി പൊരുത്തപ്പെടുന്നു.

ഔട്ട്‌ഗോയിംഗ് പാക്കറ്റുകളുമായി പൊരുത്തപ്പെടുന്നു.

ഐപോപ്ഷനുകൾ സ്പെസിഫിക്കേഷൻ

IP തലക്കെട്ടിൽ നിർദ്ദേശിച്ചിരിക്കുന്ന പാരാമീറ്ററുകളുടെ കോമയാൽ വേർതിരിച്ച ലിസ്റ്റ് അടങ്ങിയിട്ടുണ്ടെങ്കിൽ ഫയർ ചെയ്യുന്നു സ്പെസിഫിക്കേഷൻ. പിന്തുണയ്ക്കുന്ന IP പാരാമീറ്ററുകൾ: ssrr (സ്ട്രിക്റ്റ് സോഴ്സ് റൂട്ട്), lsrr (ലൂസ് സോഴ്സ് റൂട്ട്), rr (റെക്കോർഡ് പാക്കറ്റ് റൂട്ട്), ts (ടൈം സ്റ്റാമ്പ്). പ്രിഫിക്‌സ് വ്യക്തമാക്കുന്നതിലൂടെ വ്യക്തിഗത പാരാമീറ്ററുകളുടെ പ്രഭാവം മാറ്റാവുന്നതാണ്!.

സ്ഥാപിച്ചത്

പാക്കറ്റ് ഇതിനകം സ്ഥാപിതമായ TCP കണക്ഷന്റെ ഭാഗമാണെങ്കിൽ (അതായത്, RST അല്ലെങ്കിൽ ACK ബിറ്റുകൾ സജ്ജീകരിച്ചിട്ടുണ്ടെങ്കിൽ). ഒരു റൂൾ സ്ഥാപിക്കുന്നതിലൂടെ നിങ്ങൾക്ക് ഫയർവാൾ പ്രകടനം മെച്ചപ്പെടുത്താം സ്ഥാപിച്ചുചങ്ങലയുടെ തുടക്കത്തോട് അടുത്ത്.

പാക്കറ്റ് ഒരു TCP കണക്ഷൻ സ്ഥാപിക്കാനുള്ള ശ്രമമാണെങ്കിൽ പൊരുത്തപ്പെടുന്നു (SYN ബിറ്റ് സജ്ജീകരിച്ചിരിക്കുന്നു, ACK ബിറ്റ് സജ്ജീകരിച്ചിട്ടില്ല).

ടിസിപി ഫ്ലാഗുകൾ പതാകകൾ

ടിസിപി തലക്കെട്ടിൽ കോമയാൽ വേർതിരിച്ച ലിസ്‌റ്റ് ഉണ്ടെങ്കിൽ ഫയർ ചെയ്യുന്നു പതാകകൾ. fin, syn, rst, psh, ack, urg എന്നിവയാണ് പിന്തുണയ്ക്കുന്ന ഫ്ലാഗുകൾ. പ്രിഫിക്‌സ് വ്യക്തമാക്കുന്നതിലൂടെ വ്യക്തിഗത ഫ്ലാഗുകളുടെ നിയമങ്ങളുടെ പ്രഭാവം മാറ്റാവുന്നതാണ്!.

Icmptypes തരങ്ങൾ

ഐസിഎംപി പാക്കറ്റ് തരം ലിസ്റ്റിലുണ്ടെങ്കിൽ ഫയർ ചെയ്യുന്നു തരങ്ങൾ. കോമകളാൽ വേർതിരിക്കുന്ന ശ്രേണികൾ കൂടാതെ/അല്ലെങ്കിൽ വ്യക്തിഗത തരങ്ങളുടെ ഏതെങ്കിലും സംയോജനമായി ലിസ്റ്റ് വ്യക്തമാക്കാം. സാധാരണയായി ഉപയോഗിക്കുന്ന ICMP തരങ്ങൾ 0 എക്കോ മറുപടി (പിംഗ് മറുപടി), 3 ലക്ഷ്യസ്ഥാനം എത്തിച്ചേരാനാകാത്തത്, 5 റീഡയറക്‌ട്, 8 എക്കോ അഭ്യർത്ഥന (പിംഗ് അഭ്യർത്ഥന), കൂടാതെ 11 സമയം കവിഞ്ഞു (TTL കാലഹരണപ്പെടൽ സൂചിപ്പിക്കാൻ ഉപയോഗിക്കുന്നു. ട്രേസറൗട്ട് (8)).

14.9.4.2. IPFW നിയമങ്ങൾ കാണുക

ഈ കമാൻഡിന്റെ വാക്യഘടന ഇതാണ്:

ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] ലിസ്റ്റ്

ഈ കമാൻഡിന് ഏഴ് പതാകകളുണ്ട്:

കൌണ്ടർ മൂല്യങ്ങൾ കാണിക്കുക. ഈ പരാമീറ്റർ മാത്രമാണ് കൌണ്ടർ മൂല്യങ്ങൾ കാണാനുള്ള ഏക മാർഗ്ഗം.

ഒതുക്കമുള്ള രൂപത്തിൽ നിയമങ്ങൾ കാണുക.

സ്റ്റാറ്റിക് നിയമങ്ങൾ കൂടാതെ ഡൈനാമിക് നിയമങ്ങൾ കാണിക്കുക.

-d ഓപ്ഷൻ വ്യക്തമാക്കിയിട്ടുണ്ടെങ്കിൽ, കാലഹരണപ്പെട്ട ഡൈനാമിക് നിയമങ്ങളും കാണിക്കുക.

ശൃംഖലയിലെ ഓരോ നിയമത്തിനും അവസാനത്തെ ഫയറിംഗ് സമയം പ്രദർശിപ്പിക്കുക. ഈ ലിസ്റ്റ് അംഗീകരിച്ച വാക്യഘടനയുമായി പൊരുത്തപ്പെടുന്നില്ല ipfw (8) .

നൽകിയിരിക്കുന്ന വിലാസങ്ങളും സേവന നാമങ്ങളും പരിഹരിക്കാൻ ശ്രമിക്കുക.

ഓരോ നിയമവും ഉൾപ്പെടുന്ന സെറ്റ് പ്രദർശിപ്പിക്കുക. ഈ ഫ്ലാഗ് വ്യക്തമാക്കിയിട്ടില്ലെങ്കിൽ, തടഞ്ഞ നിയമങ്ങൾ പ്രദർശിപ്പിക്കില്ല.

14.9.4.3. IPFW നിയമങ്ങൾ പുനഃസജ്ജമാക്കുന്നു

നിയമങ്ങൾ പുനഃക്രമീകരിക്കുന്നതിനുള്ള വാക്യഘടന:

കെർണൽ (നമ്പർ 65535) സജ്ജീകരിച്ചിട്ടുള്ള ഡിഫോൾട്ട് റൂൾ ഒഴികെ ചെയിനിലെ എല്ലാ നിയമങ്ങളും നീക്കം ചെയ്യപ്പെടും. നിയമങ്ങൾ പുനഃസജ്ജമാക്കുമ്പോൾ ശ്രദ്ധിക്കുക; സ്ഥിരസ്ഥിതിയായി പാക്കറ്റുകൾ ഡ്രോപ്പ് ചെയ്യുന്ന ഒരു നിയമം ശൃംഖലയിലേക്ക് അനുവദിക്കുന്ന നിയമങ്ങൾ ചേർക്കുന്നത് വരെ നെറ്റ്‌വർക്കിൽ നിന്ന് സിസ്റ്റത്തെ വിച്ഛേദിക്കും.

14.9.4.4. IPFW പാക്കറ്റ് കൗണ്ടറുകൾ മായ്‌ക്കുന്നു

ഒന്നോ അതിലധികമോ പാക്കറ്റ് കൗണ്ടറുകൾ മായ്‌ക്കുന്നതിനുള്ള വാക്യഘടന ഇതാണ്:

ipfw പൂജ്യം [ സൂചിക]

വാദമില്ലാതെ ഉപയോഗിക്കുമ്പോൾ നമ്പർഎല്ലാ പാക്കറ്റ് കൗണ്ടറുകളും മായ്‌ക്കും. എങ്കിൽ സൂചികവ്യക്തമാക്കിയത്, ശുചീകരണ പ്രവർത്തനം നിർദ്ദിഷ്ട ചെയിനിംഗ് നിയമത്തിന് മാത്രമേ ബാധകമാകൂ.

14.9.5. എന്നതിനുള്ള ഉദാഹരണ കമാൻഡുകൾ ipfw

ഇനിപ്പറയുന്ന കമാൻഡ്, host evil.crackers.org-ൽ നിന്ന് nice.people.org-ന്റെ ടെൽനെറ്റ് പോർട്ടിലേക്കുള്ള എല്ലാ പാക്കറ്റുകളും നിരസിക്കും:

# ipfw, deny tcp-യെ evil.crackers.org-ൽ നിന്ന് nice.people.org-ലേക്ക് ചേർക്കുക 23

ഇനിപ്പറയുന്ന ഉദാഹരണം crackers.org നെറ്റ്‌വർക്കിൽ (ക്ലാസ് സി) നിന്ന് nice.people.org കമ്പ്യൂട്ടറിലേക്ക് (ഏത് പോർട്ടിലും) എല്ലാ TCP ട്രാഫിക്കും നിരസിക്കുകയും ലോഗ് ചെയ്യുകയും ചെയ്യുന്നു.

# ipfw, deny log tcp-ൽ നിന്നും evil.crackers.org/24-ൽ നിന്നും nice.people.org-ലേക്ക് ചേർക്കുക

നിങ്ങളുടെ നെറ്റ്‌വർക്കിലേക്ക് (ഒരു ക്ലാസ് C നെറ്റ്‌വർക്കിന്റെ ഭാഗം) X സെഷനുകൾ അയയ്‌ക്കുന്നത് തടയാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, ഇനിപ്പറയുന്ന കമാൻഡ് ആവശ്യമായ ഫിൽട്ടറിംഗ് നടത്തും:

# ipfw, my.org/28 6000 സജ്ജീകരണത്തിൽ നിന്ന് ടിസിപി നിരസിക്കുക

അക്കൗണ്ടിംഗ് രേഖകൾ കാണുന്നതിന്:

# ipfw -a ലിസ്റ്റ് അല്ലെങ്കിൽ ഹ്രസ്വ രൂപത്തിൽ # ipfw -a l

കമാൻഡ് ഉപയോഗിച്ച് അവസാനമായി നിയമങ്ങൾ പ്രവർത്തനക്ഷമമാക്കിയതും നിങ്ങൾക്ക് കാണാനാകും:

14.9.6. പാക്കറ്റ് ഫിൽട്ടറിംഗ് ഉപയോഗിച്ച് ഒരു ഫയർവാൾ സൃഷ്ടിക്കുന്നു

തുടക്കത്തിൽ ഒരു ഫയർവാൾ കോൺഫിഗർ ചെയ്യുമ്പോൾ, പെർഫോമൻസ് ടെസ്റ്റിംഗിനും സെർവർ പ്രവർത്തനക്ഷമമാക്കുന്നതിനും മുമ്പ്, കമാൻഡുകളുടെ ലോഗിംഗ് പതിപ്പുകൾ ഉപയോഗിക്കാനും കേർണലിൽ ലോഗിംഗ് പ്രവർത്തനക്ഷമമാക്കാനും ശക്തമായി ശുപാർശ ചെയ്യുന്നു. പ്രശ്‌നമുള്ള പ്രദേശങ്ങൾ പെട്ടെന്ന് തിരിച്ചറിയാനും വളരെയധികം പരിശ്രമം കൂടാതെ നിങ്ങളുടെ സജ്ജീകരണം ശരിയാക്കാനും ഇത് നിങ്ങളെ അനുവദിക്കും. പ്രാരംഭ സജ്ജീകരണം പൂർത്തിയായ ശേഷവും, "നിരസിക്കുക" എന്നതിലേക്ക് ലോഗിംഗ് ഉപയോഗിക്കാൻ ശുപാർശ ചെയ്യുന്നു, കാരണം ഇത് സാധ്യമായ ആക്രമണങ്ങൾ നിരീക്ഷിക്കാനും നിങ്ങളുടെ ഫയർവാൾ ആവശ്യകതകൾ മാറുകയാണെങ്കിൽ ഫയർവാൾ നിയമങ്ങൾ മാറ്റാനും നിങ്ങളെ അനുവദിക്കുന്നു.

അഭിപ്രായം:നിങ്ങൾ സ്വീകരിക്കുന്ന കമാൻഡിന്റെ ലോഗിംഗ് പതിപ്പാണ് ഉപയോഗിക്കുന്നതെങ്കിൽ, അത് സൃഷ്ടിച്ചേക്കാവുന്നതിനാൽ ശ്രദ്ധിക്കുക വലിയപ്രോട്ടോക്കോൾ ഡാറ്റയുടെ അളവ്. ഫയർവാളിലൂടെ കടന്നുപോകുന്ന എല്ലാ പാക്കറ്റുകളും ലോഗ് ചെയ്യപ്പെടും, അതിനാൽ വലിയ അളവിലുള്ള FTP/http, മറ്റ് ട്രാഫിക്കുകൾ എന്നിവ സിസ്റ്റത്തെ ഗണ്യമായി മന്ദഗതിയിലാക്കും. ഇത് അത്തരം പാക്കറ്റുകളുടെ കാലതാമസം വർദ്ധിപ്പിക്കും, കാരണം പാക്കറ്റ് കടത്തിവിടുന്നതിന് മുമ്പ് കേർണലിന് അധിക ജോലികൾ ചെയ്യേണ്ടതുണ്ട്. സിസ്ലോഗ്ഡ്എല്ലാ അധിക ഡാറ്റയും ഡിസ്കിലേക്ക് അയയ്‌ക്കുകയും /var/log പാർട്ടീഷൻ വേഗത്തിൽ പൂരിപ്പിക്കുകയും ചെയ്യുന്നതിനാൽ കൂടുതൽ സിപിയു സമയം ഉപയോഗിക്കും.

/etc/rc.conf.local അല്ലെങ്കിൽ /etc/rc.conf എന്നതിൽ നിങ്ങൾ ഫയർവാൾ പ്രവർത്തനക്ഷമമാക്കേണ്ടതുണ്ട്. അനുബന്ധ റഫറൻസ് പേജ് കൃത്യമായി എന്താണ് ചെയ്യേണ്ടതെന്ന് വിശദീകരിക്കുകയും റെഡിമെയ്ഡ് ക്രമീകരണങ്ങളുടെ ഉദാഹരണങ്ങൾ ഉൾക്കൊള്ളുകയും ചെയ്യുന്നു. നിങ്ങൾ ഒരു പ്രീസെറ്റ് ഉപയോഗിക്കുന്നില്ലെങ്കിൽ, ipfw ലിസ്റ്റ് കമാൻഡിന് നിലവിലെ റൂൾസെറ്റ് ഒരു ഫയലിൽ സ്ഥാപിക്കാൻ കഴിയും, അവിടെ നിന്ന് അത് സിസ്റ്റത്തിന്റെ സ്റ്റാർട്ടപ്പ് ഫയലുകളിൽ സ്ഥാപിക്കാം. ഫയർവാൾ പ്രവർത്തനക്ഷമമാക്കാൻ നിങ്ങൾ /etc/rc.conf.local അല്ലെങ്കിൽ /etc/rc.conf ഉപയോഗിക്കുന്നില്ലെങ്കിൽ, ഇന്റർഫേസുകൾ ക്രമീകരിച്ചതിന് ശേഷം അത് പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടെന്ന് ഉറപ്പാക്കേണ്ടത് പ്രധാനമാണ്.

അടുത്തതായി, നിങ്ങൾ നിർണ്ണയിക്കേണ്ടതുണ്ട് കൃത്യമായിനിങ്ങളുടെ ഫയർവാൾ ഉണ്ടാക്കുന്നു! ഇത് പ്രധാനമായും നിങ്ങളുടെ നെറ്റ്‌വർക്കിലേക്ക് പുറത്ത് നിന്ന് എത്രത്തോളം ആക്‌സസ്സ് വേണമെന്നതിനെ ആശ്രയിച്ചിരിക്കുന്നു. ചില പൊതു നിയമങ്ങൾ ഇതാ:

1024-ന് താഴെയുള്ള TCP പോർട്ട് നമ്പറുകളിലേക്കുള്ള ബാഹ്യ ആക്‌സസ് തടയുക. ഫിംഗർ, SMTP (മെയിൽ), ടെൽനെറ്റ് തുടങ്ങിയ സുരക്ഷാ-നിർണ്ണായക സേവനങ്ങൾ ഇവിടെയുണ്ട്.

തടയുക എല്ലാംഇൻകമിംഗ് UDP ട്രാഫിക്. UDP-യിൽ വളരെ കുറച്ച് ഉപയോഗപ്രദമായ സേവനങ്ങൾ മാത്രമേ പ്രവർത്തിക്കൂ, എന്നാൽ അവ സാധാരണയായി ഒരു സുരക്ഷാ അപകടസാധ്യത ഉണ്ടാക്കുന്നു (ഉദാ. Sun RPC, NFS പ്രോട്ടോക്കോളുകൾ). ഈ രീതിക്ക് ദോഷങ്ങളുമുണ്ട്, കാരണം UDP പ്രോട്ടോക്കോൾ കണക്ഷൻ-അറിയില്ല, ഇൻകമിംഗ് പാക്കറ്റുകൾ തടയുന്നത് ഔട്ട്ഗോയിംഗ് UDP ട്രാഫിക്കിലേക്കുള്ള പ്രതികരണങ്ങളെ തടയും. UDP ഉപയോഗിച്ച് പ്രവർത്തിക്കുന്ന എക്‌സ്‌റ്റേണൽ സെർവറുകൾ ഉപയോഗിക്കുന്നവർക്ക് ഇത് പ്രശ്‌നമാകും. നിങ്ങൾക്ക് ഈ സേവനങ്ങളിലേക്ക് ആക്സസ് അനുവദിക്കണമെങ്കിൽ, ഉചിതമായ പോർട്ടുകളിൽ നിന്ന് ഇൻകമിംഗ് പാക്കറ്റുകൾ അനുവദിക്കേണ്ടതുണ്ട്. ഉദാഹരണത്തിന്, വേണ്ടി ntpപോർട്ട് 123-ൽ നിന്ന് വരുന്ന പാക്കറ്റുകൾ നിങ്ങൾ അനുവദിക്കേണ്ടി വന്നേക്കാം.

പുറത്ത് നിന്ന് പോർട്ട് 6000-ലേക്കുള്ള എല്ലാ ട്രാഫിക്കും തടയുക. X11 സെർവറുകൾ ആക്‌സസ് ചെയ്യാൻ പോർട്ട് 6000 ഉപയോഗിക്കുന്നു, ഇത് ഒരു സുരക്ഷാ അപകടമായിരിക്കും (പ്രത്യേകിച്ച് ഉപയോക്താക്കൾക്ക് അവരുടെ വർക്ക്സ്റ്റേഷനുകളിൽ xhost + കമാൻഡ് പ്രവർത്തിപ്പിക്കുന്ന ശീലമുണ്ടെങ്കിൽ). X11 ന് 6000 മുതൽ ആരംഭിക്കുന്ന പോർട്ടുകളുടെ ഒരു ശ്രേണി ഉപയോഗിക്കാൻ കഴിയും, മെഷീനിൽ പ്രവർത്തിക്കുന്ന X ഡിസ്പ്ലേകളുടെ എണ്ണം അനുസരിച്ചാണ് ഉയർന്ന പരിധി നിശ്ചയിക്കുന്നത്. RFC 1700 (അസൈൻഡ് നമ്പറുകൾ) നിർവ്വചിച്ച ഉയർന്ന പരിധി 6063 ആണ്.

ആന്തരിക സേവനങ്ങൾ ഉപയോഗിക്കുന്ന പോർട്ടുകൾ പരിശോധിക്കുക (ഉദാഹരണത്തിന്, SQL സെർവറുകൾ മുതലായവ). മുകളിൽ ലിസ്റ്റ് ചെയ്തിരിക്കുന്ന 1-1024 ശ്രേണിയിൽ അവ സാധാരണയായി വരാത്തതിനാൽ ഈ പോർട്ടുകളും തടയുന്നത് നല്ല ആശയമായിരിക്കും.

ഫയർവാൾ ക്രമീകരണങ്ങൾ പരിശോധിക്കുന്നതിനുള്ള മറ്റൊരു ലിസ്റ്റ് CERT-ൽ http://www.cert.org/tech_tips/packet_filtering.html എന്നതിൽ ലഭ്യമാണ്.

മുകളിൽ പറഞ്ഞതുപോലെ, ഈ നിയമങ്ങളെല്ലാം ന്യായമാണ് മാനേജ്മെന്റ് . ഫയർവാളിൽ ഏത് ഫിൽട്ടറിംഗ് നിയമങ്ങളാണ് ഉപയോഗിക്കേണ്ടതെന്ന് നിങ്ങൾക്ക് സ്വയം തീരുമാനിക്കാം. മുകളിൽ നൽകിയിരിക്കുന്ന ഉപദേശം നിങ്ങൾ പാലിച്ചിട്ടുണ്ടെങ്കിലും, നിങ്ങളുടെ നെറ്റ്‌വർക്ക് ഹാക്ക് ചെയ്യപ്പെട്ടാൽ ഞങ്ങൾക്ക് ഒരു ഉത്തരവാദിത്തവും ഏറ്റെടുക്കാനാവില്ല.

14.9.7. ഓവർഹെഡും IPFW ഒപ്റ്റിമൈസേഷനും

പല ഉപയോക്താക്കൾക്കും IPFW സിസ്റ്റം എത്രത്തോളം ലോഡ് ചെയ്യുന്നുവെന്ന് അറിയാൻ ആഗ്രഹിക്കുന്നു. ഉത്തരം പ്രധാനമായും റൂൾസെറ്റിനെയും പ്രോസസറിന്റെ വേഗതയെയും ആശ്രയിച്ചിരിക്കുന്നു. ഇഥർനെറ്റിൽ പ്രവർത്തിക്കുന്ന മിക്ക ആപ്ലിക്കേഷനുകൾക്കും ഒരു ചെറിയ കൂട്ടം നിയമങ്ങൾ നൽകിയാൽ, ഉത്തരം "വളരെയൊന്നും അല്ല" എന്നാണ്. കൂടുതൽ കൃത്യമായ ഉത്തരം ആവശ്യമുള്ളവരെ ഉദ്ദേശിച്ചുള്ളതാണ് ഈ ഭാഗം.

486-66-ൽ 2.2.5-സ്റ്റേബിൾ ഉപയോഗിച്ച് തുടർന്നുള്ള അളവുകൾ നടത്തി. (തുടർന്നുള്ള ഫ്രീബിഎസ്ഡി റിലീസുകളിൽ ഐപിഎഫ്ഡബ്ല്യു അല്പം മാറിയെങ്കിലും, വേഗത ഏതാണ്ട് അതേപടി തന്നെ തുടരുന്നു.) IP_fw_chk ചിലവഴിക്കുന്ന സമയം അളക്കാൻ IPFW പരിഷ്‌ക്കരിച്ചു, ഓരോ 1000-ാമത്തെ പാക്കറ്റിനും ശേഷവും ഫലം കൺസോളിലേക്ക് പ്രിന്റ് ചെയ്യുന്നു.

1000 നിയമങ്ങളുടെ രണ്ട് സെറ്റ് പരീക്ഷിച്ചു. റൂൾ ആവർത്തിച്ചുകൊണ്ട് ഒരു മോശം നിയമങ്ങൾ പ്രകടിപ്പിക്കുന്നതിനാണ് ആദ്യത്തേത് രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത്:

# ipfw ഏതെങ്കിലും 55555 ലേക്ക് tcp നിരസിക്കുക

ഈ നിയമങ്ങളുടെ കൂട്ടം മോശമാണ്, കാരണം മിക്ക IPFW നിയമങ്ങളും പരിശോധിക്കപ്പെടുന്ന പാക്കറ്റുകളുമായി പൊരുത്തപ്പെടുന്നില്ല (പോർട്ട് നമ്പർ കാരണം). ഈ റൂളിന്റെ 999-ാമത്തെ ആവർത്തനത്തിന് ശേഷം, ഏതെങ്കിലും റൂളിൽ നിന്ന് ഏത് നിയമത്തിലേക്കും ip അനുവദിക്കുക.

ഓരോ നിയമവും കഴിയുന്നത്ര വേഗത്തിൽ പരിശോധിക്കുന്നതിനായി രണ്ടാമത്തെ സെറ്റ് നിയമങ്ങൾ രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്നു:

# ipfw ചേർക്കുക 1.2.3.4 മുതൽ 1.2.3.4 വരെ ip നിരസിക്കുക

മുകളിലെ റൂളിലെ ഒരു നോൺ-മാച്ചിംഗ് സോഴ്‌സ് ഐപി വിലാസം ഈ നിയമങ്ങൾ വളരെ വേഗത്തിൽ പരിശോധിക്കാൻ ഇടയാക്കും. മുമ്പത്തെപ്പോലെ, 1000-ാമത്തെ നിയമം ഏതെങ്കിലും മുതൽ ഏതിലേക്കും ip അനുവദിക്കുന്നു.

ആദ്യ സന്ദർഭത്തിൽ ഒരു പാക്കറ്റ് പരിശോധിക്കുന്നതിനുള്ള ചെലവ് ഏകദേശം 2.703 ms/പാക്കറ്റ് അല്ലെങ്കിൽ ഒരു റൂളിൽ ഏകദേശം 2.7 മൈക്രോസെക്കൻഡ് ആണ്. സൈദ്ധാന്തിക സ്കാനിംഗ് വേഗത പരിധി സെക്കൻഡിൽ ഏകദേശം 370 പാക്കറ്റുകളാണ്. 10 Mbps ഇഥർനെറ്റ് കണക്ഷനും ഏകദേശം 1500 ബൈറ്റുകളുടെ ഒരു പാക്കറ്റ് വലുപ്പവും അനുമാനിക്കുകയാണെങ്കിൽ, ഇത് 55.5% ബാൻഡ്‌വിഡ്ത്ത് ഉപയോഗത്തിന് മാത്രമേ കാരണമാകൂ.

രണ്ടാമത്തെ സാഹചര്യത്തിൽ, ഓരോ പാക്കറ്റും ഏകദേശം 1.172 എംഎസ് അല്ലെങ്കിൽ ഒരു റൂളിൽ ഏകദേശം 1.2 മൈക്രോസെക്കൻഡിൽ സ്കാൻ ചെയ്തു. സൈദ്ധാന്തിക പരിശോധന വേഗത പരിധി സെക്കൻഡിൽ ഏകദേശം 853 പാക്കറ്റുകളാണ്, ഇത് 10 Mbps ഇഥർനെറ്റ് ബാൻഡ്‌വിഡ്ത്ത് പൂർണ്ണമായി ഉപയോഗിക്കുന്നത് സാധ്യമാക്കുന്നു.

പരിശോധിക്കപ്പെടുന്ന നിയമങ്ങളുടെ അമിതമായ എണ്ണവും അവയുടെ തരവും സാധാരണ അവസ്ഥകൾക്ക് അടുത്തുള്ള ഒരു ചിത്രം സൃഷ്ടിക്കാൻ ഞങ്ങളെ അനുവദിക്കുന്നില്ല - സ്ഥിരീകരണ സമയത്തെക്കുറിച്ചുള്ള വിവരങ്ങൾ നേടുന്നതിന് മാത്രമാണ് ഈ നിയമങ്ങൾ ഉപയോഗിച്ചത്. ഫലപ്രദമായ നിയമങ്ങൾ സൃഷ്ടിക്കുന്നതിന് പരിഗണിക്കേണ്ട ചില മാർഗ്ഗനിർദ്ദേശങ്ങൾ ഇതാ:

TCP ട്രാഫിക്കിന്റെ ഭൂരിഭാഗവും കൈകാര്യം ചെയ്യാൻ സ്ഥാപിത നിയമം എത്രയും വേഗം സ്ഥാപിക്കുക. അതിനു മുന്നിൽ tcp നിയമങ്ങൾ വയ്ക്കരുത്.

അപൂർവ്വമായി ഉപയോഗിക്കുന്ന നിയമങ്ങളേക്കാൾ (തീർച്ചയായും) പതിവായി ഉപയോഗിക്കുന്ന നിയമങ്ങൾ സെറ്റിന്റെ തുടക്കത്തോട് അടുത്ത് വയ്ക്കുക മുഴുവൻ സെറ്റിന്റെയും പ്രഭാവം മാറ്റാതെ ). ipfw -a l കമാൻഡ് ഉപയോഗിച്ച് പാക്കറ്റ് കൗണ്ടറുകൾ പരിശോധിച്ച് നിങ്ങൾക്ക് ഏറ്റവും സാധാരണയായി ഉപയോഗിക്കുന്ന നിയമങ്ങൾ നിർണ്ണയിക്കാനാകും.

ഇനിപ്പറയുന്ന സ്വഭാവസവിശേഷതകളെ ആശ്രയിച്ച് നിരവധി തരം ഫയർവാളുകൾ ഉണ്ട്:

ഒരു നോഡിനും നെറ്റ്‌വർക്കിനും ഇടയിലോ രണ്ടോ അതിലധികമോ വ്യത്യസ്ത നെറ്റ്‌വർക്കുകൾക്കിടയിലോ ഷീൽഡ് കണക്ഷൻ നൽകുന്നുണ്ടോ;

നെറ്റ്‌വർക്ക് ലെയറിലോ OSI മോഡലിന്റെ ഉയർന്ന തലത്തിലോ ഡാറ്റാ ഫ്ലോ നിയന്ത്രണം സംഭവിക്കുന്നുണ്ടോ;

സജീവമായ കണക്ഷനുകളുടെ അവസ്ഥ നിരീക്ഷിക്കപ്പെടുന്നുണ്ടോ ഇല്ലയോ എന്ന്.

നിയന്ത്രിത ഡാറ്റ ഫ്ലോകളുടെ കവറേജിനെ ആശ്രയിച്ച്, ഫയർവാളുകളെ തിരിച്ചിരിക്കുന്നു:

പരമ്പരാഗത നെറ്റ്‌വർക്ക് (അല്ലെങ്കിൽ ഫയർവാൾ) - ഒരു ഗേറ്റ്‌വേയിലെ ഒരു പ്രോഗ്രാം (അല്ലെങ്കിൽ ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിന്റെ അവിഭാജ്യ ഭാഗം) (നെറ്റ്‌വർക്കുകൾക്കിടയിൽ ട്രാഫിക്കുകൾ കൈമാറുന്ന ഒരു ഉപകരണം) അല്ലെങ്കിൽ കണക്റ്റുചെയ്‌ത നെറ്റ്‌വർക്കുകൾക്കിടയിലുള്ള ഇൻകമിംഗ്, ഔട്ട്‌ഗോയിംഗ് ഡാറ്റ ഫ്ലോകളെ നിയന്ത്രിക്കുന്ന ഒരു ഹാർഡ്‌വെയർ പരിഹാരം (വിതരണ നെറ്റ്‌വർക്ക് ഒബ്‌ജക്റ്റുകൾ) ;

വ്യക്തിഗത ഫയർവാൾ എന്നത് ഒരു ഉപയോക്താവിന്റെ കമ്പ്യൂട്ടറിൽ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള ഒരു പ്രോഗ്രാമാണ്, കൂടാതെ ഈ കമ്പ്യൂട്ടറിനെ മാത്രം അനധികൃത ആക്‌സസ്സിൽ നിന്ന് സംരക്ഷിക്കാൻ രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്നു.

ആക്സസ് കൺട്രോൾ സംഭവിക്കുന്ന OSI ലെവലിനെ ആശ്രയിച്ച്, ഫയർവാളുകൾക്ക് പ്രവർത്തിക്കാൻ കഴിയും:

നെറ്റ്വർക്ക് ലെവൽ, പാക്കറ്റുകൾ അയച്ചയാളുടെയും സ്വീകർത്താവിന്റെയും വിലാസങ്ങൾ, OSI മോഡലിന്റെ ട്രാൻസ്പോർട്ട് ലെയറിന്റെ പോർട്ട് നമ്പറുകൾ, അഡ്മിനിസ്ട്രേറ്റർ വ്യക്തമാക്കിയ സ്റ്റാറ്റിക് നിയമങ്ങൾ എന്നിവ അടിസ്ഥാനമാക്കി ഫിൽട്ടറിംഗ് നടക്കുമ്പോൾ;

സെഷൻ നില(പുറമേ അറിയപ്പെടുന്ന പ്രസ്താവിച്ച), ആപ്ലിക്കേഷനുകൾക്കിടയിലുള്ള സെഷനുകൾ നിരീക്ഷിക്കുകയും TCP/IP സ്പെസിഫിക്കേഷനുകൾ ലംഘിക്കുന്ന പാക്കറ്റുകൾ പാസാക്കാതിരിക്കുകയും ചെയ്യുമ്പോൾ, പലപ്പോഴും ക്ഷുദ്ര പ്രവർത്തനങ്ങളിൽ ഉപയോഗിക്കുന്നു - റിസോഴ്സ് സ്കാനിംഗ്, തെറ്റായ TCP/IP നടപ്പിലാക്കലിലൂടെയുള്ള ഹാക്കിംഗ്, ഡ്രോപ്പ്/സ്ലോ കണക്ഷനുകൾ, ഡാറ്റ ഇഞ്ചക്ഷൻ;

ആപ്ലിക്കേഷൻ ലെവൽ(അല്ലെങ്കിൽ ആപ്ലിക്കേഷൻ ലെവൽ), പാക്കറ്റിനുള്ളിൽ കൈമാറ്റം ചെയ്യപ്പെടുന്ന ആപ്ലിക്കേഷൻ ഡാറ്റയുടെ വിശകലനത്തെ അടിസ്ഥാനമാക്കി ഫിൽട്ടറിംഗ് നടത്തുമ്പോൾ. നയങ്ങളെയും ക്രമീകരണങ്ങളെയും അടിസ്ഥാനമാക്കി അനാവശ്യവും ദോഷകരവുമായ വിവരങ്ങളുടെ സംപ്രേക്ഷണം തടയാൻ ഇത്തരത്തിലുള്ള സ്‌ക്രീനുകൾ നിങ്ങളെ അനുവദിക്കുന്നു.

നെറ്റ്‌വർക്ക് തലത്തിൽ ഫിൽട്ടർ ചെയ്യുന്നു

പാക്കറ്റുകളുടെ TCP, IP തലക്കെട്ടുകളുടെ ഇനിപ്പറയുന്ന ഫീൽഡുകളിൽ അടങ്ങിയിരിക്കുന്ന വിവരങ്ങളുടെ അടിസ്ഥാനത്തിലാണ് ഇൻകമിംഗ്, ഔട്ട്ഗോയിംഗ് പാക്കറ്റുകളുടെ ഫിൽട്ടറിംഗ് നടത്തുന്നത്: അയച്ചയാളുടെ IP വിലാസം; സ്വീകർത്താവിന്റെ IP വിലാസം; അയച്ചയാളുടെ പോർട്ട്; സ്വീകർത്താവ് പോർട്ട്.

നിർദ്ദിഷ്ട കമ്പ്യൂട്ടറുകളിലേക്കോ പോർട്ടുകളിലേക്കോ ഉള്ള കണക്ഷനുകൾ തടയുന്നതിന് ഫിൽട്ടറിംഗ് വിവിധ രീതികളിൽ നടപ്പിലാക്കാൻ കഴിയും. ഉദാഹരണത്തിന്, വിശ്വസനീയമല്ലെന്ന് കരുതുന്ന കമ്പ്യൂട്ടറുകളുടെയും നെറ്റ്‌വർക്കുകളുടെയും നിർദ്ദിഷ്ട വിലാസങ്ങളിൽ നിന്ന് വരുന്ന കണക്ഷനുകൾ നിങ്ങൾക്ക് തടയാനാകും.

താരതമ്യേന കുറഞ്ഞ ചിലവ്;

ഫിൽട്ടറിംഗ് നിയമങ്ങൾ നിർവചിക്കുന്നതിനുള്ള വഴക്കം;

പാക്കറ്റുകൾ കൈമാറുന്നതിൽ നേരിയ കാലതാമസം.

പോരായ്മകൾ:

വിഘടിച്ച പാക്കറ്റുകൾ ശേഖരിക്കുന്നില്ല;

പാക്കേജുകൾ തമ്മിലുള്ള ബന്ധങ്ങൾ (കണക്ഷനുകൾ) ട്രാക്ക് ചെയ്യാൻ ഒരു മാർഗവുമില്ല.?

സെഷൻ-ലെവൽ ഫിൽട്ടറിംഗ്

സജീവ കണക്ഷനുകളുടെ നിരീക്ഷണത്തെ ആശ്രയിച്ച്, ഫയർവാളുകൾ ഇവയാകാം:

സംസ്ഥാനമില്ലാത്ത(ലളിതമായ ഫിൽട്ടറിംഗ്), നിലവിലെ കണക്ഷനുകൾ നിരീക്ഷിക്കുന്നില്ല (ഉദാഹരണത്തിന്, TCP), എന്നാൽ സ്റ്റാറ്റിക് നിയമങ്ങളെ അടിസ്ഥാനമാക്കി മാത്രം ഡാറ്റ സ്ട്രീം ഫിൽട്ടർ ചെയ്യുക;

സ്റ്റേറ്റ്ഫുൾ, സ്റ്റേറ്റ്ഫുൾ പാക്കറ്റ് പരിശോധന (SPI)(സന്ദർഭ-അവബോധം ഫിൽട്ടറിംഗ്), നിലവിലെ കണക്ഷനുകൾ നിരീക്ഷിക്കുകയും അനുബന്ധ പ്രോട്ടോക്കോളുകളുടെയും ആപ്ലിക്കേഷനുകളുടെയും ലോജിക്കും അൽഗോരിതവും തൃപ്തിപ്പെടുത്തുന്ന പാക്കറ്റുകൾ മാത്രം കൈമാറുകയും ചെയ്യുന്നു.

വിവിധ തരത്തിലുള്ള DoS ആക്രമണങ്ങളെയും ചില നെറ്റ്‌വർക്ക് പ്രോട്ടോക്കോളുകളുടെ കേടുപാടുകളെയും കൂടുതൽ ഫലപ്രദമായി ചെറുക്കുന്നത് SPI ഉള്ള ഫയർവാളുകൾ സാധ്യമാക്കുന്നു. കൂടാതെ, സ്വീകർത്താക്കൾക്കിടയിൽ സങ്കീർണ്ണമായ ഡാറ്റാ ട്രാൻസ്ഫർ സ്കീമുകൾ ഉപയോഗിക്കുന്ന H.323, SIP, FTP മുതലായ പ്രോട്ടോക്കോളുകളുടെ പ്രവർത്തനം അവർ ഉറപ്പാക്കുന്നു, സ്റ്റാറ്റിക് നിയമങ്ങളാൽ വിവരിക്കാൻ പ്രയാസമാണ്, കൂടാതെ സ്റ്റാൻഡേർഡ്, സ്റ്റേറ്റ്ലെസ് ഫയർവാളുകളുമായി പലപ്പോഴും പൊരുത്തപ്പെടുന്നില്ല.

അത്തരം ശുദ്ധീകരണത്തിന്റെ ഗുണങ്ങളിൽ ഇവ ഉൾപ്പെടുന്നു:

പാക്കറ്റ് ഉള്ളടക്ക വിശകലനം;

ലെയർ 7 പ്രോട്ടോക്കോളുകളുടെ പ്രവർത്തനത്തെക്കുറിച്ചുള്ള വിവരങ്ങളൊന്നും ആവശ്യമില്ല.

പോരായ്മകൾ:

ആപ്ലിക്കേഷൻ ലെവൽ ഡാറ്റ വിശകലനം ചെയ്യുന്നത് ബുദ്ധിമുട്ടാണ് (ഒരുപക്ഷേ ALG - ആപ്ലിക്കേഷൻ ലെവൽ ഗേറ്റ്‌വേ ഉപയോഗിച്ച്).

ആപ്ലിക്കേഷൻ ലെവൽ ഗേറ്റ്‌വേ, ALG (അപ്ലിക്കേഷൻ ലെവൽ ഗേറ്റ്‌വേ) ഒരു ആപ്ലിക്കേഷൻ പ്രോട്ടോക്കോൾ മനസ്സിലാക്കുന്ന ഒരു NAT റൂട്ടറിന്റെ ഒരു ഘടകമാണ്, ഈ പ്രോട്ടോക്കോളിന്റെ പാക്കറ്റുകൾ അതിലൂടെ കടന്നുപോകുമ്പോൾ, NAT-ന് പിന്നിലുള്ള ഉപയോക്താക്കൾക്ക് പ്രോട്ടോക്കോൾ ഉപയോഗിക്കാൻ കഴിയുന്ന വിധത്തിൽ അത് അവയെ പരിഷ്‌ക്കരിക്കുന്നു.

നെറ്റ്‌വർക്ക് വിലാസ വിവർത്തനം അനുവദനീയമല്ലാത്ത ആപ്ലിക്കേഷൻ-ലെവൽ പ്രോട്ടോക്കോളുകൾക്ക് (SIP, H.323, FTP, മുതലായവ) ALG സേവനം പിന്തുണ നൽകുന്നു. ഈ സേവനം ആന്തരിക നെറ്റ്‌വർക്ക് ഇന്റർഫേസിൽ നിന്ന് വരുന്ന പാക്കറ്റുകളിലെ ആപ്ലിക്കേഷൻ തരം നിർണ്ണയിക്കുകയും അതിനനുസരിച്ച് ബാഹ്യ ഇന്റർഫേസിലൂടെ അവയ്‌ക്കായി വിലാസം/പോർട്ട് വിവർത്തനം നടത്തുകയും ചെയ്യുന്നു.

SPI (സ്റ്റേറ്റ്‌ഫുൾ പാക്കറ്റ് ഇൻസ്പെക്ഷൻ) സാങ്കേതികവിദ്യ അല്ലെങ്കിൽ പ്രോട്ടോക്കോളിന്റെ അവസ്ഥ കണക്കിലെടുത്ത് പാക്കറ്റ് പരിശോധന സാങ്കേതികവിദ്യ ഇന്ന് ട്രാഫിക് നിയന്ത്രണത്തിന്റെ ഒരു നൂതന രീതിയാണ്. ഓരോ പരിരക്ഷിത പ്രോട്ടോക്കോളിനോ നെറ്റ്‌വർക്ക് സേവനത്തിനോ പ്രത്യേക ഇടനിലക്കാരനോ പ്രോക്സി ആപ്ലിക്കേഷനോ ആവശ്യമില്ലാതെ ആപ്ലിക്കേഷൻ തലത്തിലേക്ക് ഡാറ്റ നിയന്ത്രിക്കാൻ ഈ സാങ്കേതികവിദ്യ നിങ്ങളെ അനുവദിക്കുന്നു.

ചരിത്രപരമായി, ഫയർവാളുകൾ പൊതു-ഉദ്ദേശ്യ പാക്കറ്റ് ഫിൽട്ടറുകളിൽ നിന്ന് പ്രോട്ടോക്കോൾ-നിർദ്ദിഷ്ട മിഡിൽവെയറുകളിലേക്കും സ്റ്റേറ്റ്ഫുൾ പരിശോധനയിലേക്കും പരിണമിച്ചു. മുമ്പത്തെ സാങ്കേതികവിദ്യകൾ പരസ്പര പൂരകങ്ങൾ മാത്രമായിരുന്നു, എന്നാൽ കണക്ഷനുകളിൽ സമഗ്രമായ നിയന്ത്രണം നൽകിയില്ല. സുരക്ഷാ സംവിധാനത്തിന് അന്തിമ തീരുമാനം എടുക്കുന്നതിന് ആവശ്യമായ കണക്ഷനിലേക്കും ആപ്ലിക്കേഷൻ അവസ്ഥയിലേക്കും പാക്കറ്റ് ഫിൽട്ടറുകൾക്ക് ആക്സസ് ഇല്ല. മിഡിൽവെയർ പ്രോഗ്രാമുകൾ ആപ്ലിക്കേഷൻ-ലെവൽ ഡാറ്റ മാത്രം പ്രോസസ്സ് ചെയ്യുന്നു, ഇത് പലപ്പോഴും സിസ്റ്റം ഹാക്ക് ചെയ്യുന്നതിനുള്ള വിവിധ അവസരങ്ങൾ സൃഷ്ടിക്കുന്നു. ഗേറ്റ്‌വേ മെഷീനിലൂടെ കടന്നുപോകുന്ന സാധ്യമായ എല്ലാ വിവരങ്ങളും കൈകാര്യം ചെയ്യാൻ നിങ്ങളെ അനുവദിക്കുന്നതിനാൽ സ്റ്റേറ്റ്ഫുൾ ഇൻസ്പെക്ഷൻ ആർക്കിടെക്ചർ അദ്വിതീയമാണ്: പാക്കറ്റിൽ നിന്നുള്ള ഡാറ്റ, കണക്ഷന്റെ അവസ്ഥയെക്കുറിച്ചുള്ള ഡാറ്റ, ആപ്ലിക്കേഷന് ആവശ്യമായ ഡാറ്റ.

മെക്കാനിസത്തിന്റെ ഒരു ഉദാഹരണംസ്റ്റേറ്റ്ഫുൾപരിശോധന. ആപ്ലിക്കേഷൻ തലത്തിൽ ഡാറ്റ പരിശോധിച്ചുകൊണ്ട് ഫയർവാൾ FTP സെഷൻ നിരീക്ഷിക്കുന്നു. ഒരു റിവേഴ്സ് കണക്ഷൻ (FTP PORT കമാൻഡ്) തുറക്കാൻ ഒരു ക്ലയന്റ് സെർവറിനോട് അഭ്യർത്ഥിക്കുമ്പോൾ, ഫയർവാൾ ആ അഭ്യർത്ഥനയിൽ നിന്ന് പോർട്ട് നമ്പർ എക്സ്ട്രാക്റ്റ് ചെയ്യുന്നു. ക്ലയന്റ്, സെർവർ വിലാസങ്ങളും പോർട്ട് നമ്പറുകളും ലിസ്റ്റ് സംഭരിക്കുന്നു. ഒരു FTP-ഡാറ്റ കണക്ഷൻ സ്ഥാപിക്കാനുള്ള ശ്രമം കണ്ടെത്തുമ്പോൾ, ഫയർവാൾ ലിസ്റ്റ് സ്കാൻ ചെയ്യുകയും കണക്ഷൻ ഒരു സാധുവായ ക്ലയന്റ് അഭ്യർത്ഥനയ്ക്കുള്ള പ്രതികരണമാണോ എന്ന് പരിശോധിക്കുകയും ചെയ്യുന്നു. കണക്ഷൻ ലിസ്റ്റ് ചലനാത്മകമായി പരിപാലിക്കപ്പെടുന്നതിനാൽ ആവശ്യമായ FTP പോർട്ടുകൾ മാത്രം തുറന്നിരിക്കും. സെഷൻ അവസാനിച്ചയുടൻ, തുറമുഖങ്ങൾ തടഞ്ഞു, ഉയർന്ന തലത്തിലുള്ള സുരക്ഷ നൽകുന്നു.

അരി. 2.12എഫ്ടിപി പ്രോട്ടോക്കോളിനൊപ്പം പ്രവർത്തിക്കുന്ന സ്റ്റേറ്റ്ഫുൾ ഇൻസ്പെക്ഷൻ മെക്കാനിസത്തിന്റെ ഒരു ഉദാഹരണം

ആപ്ലിക്കേഷൻ ലെവൽ ഫിൽട്ടറിംഗ്

പാക്കറ്റ് ഫിൽട്ടറിംഗിൽ അന്തർലീനമായ നിരവധി കേടുപാടുകൾ സംരക്ഷിക്കുന്നതിന്, ടെൽനെറ്റ്, HTTP, FTP പോലുള്ള സേവനങ്ങളിലേക്കുള്ള കണക്ഷനുകൾ ഫിൽട്ടർ ചെയ്യുന്നതിന് ഫയർവാളുകൾ ആപ്ലിക്കേഷൻ പ്രോഗ്രാമുകൾ ഉപയോഗിക്കണം. അത്തരമൊരു ആപ്ലിക്കേഷനെ പ്രോക്‌സി സേവനം എന്നും പ്രോക്‌സി സേവനം പ്രവർത്തിക്കുന്ന ഹോസ്റ്റിനെ ആപ്ലിക്കേഷൻ-ലെവൽ ഗേറ്റ്‌വേ എന്നും വിളിക്കുന്നു. അത്തരമൊരു ഗേറ്റ്‌വേ ഒരു അംഗീകൃത ക്ലയന്റും ഒരു ബാഹ്യ ഹോസ്റ്റും തമ്മിലുള്ള നേരിട്ടുള്ള ഇടപെടൽ ഇല്ലാതാക്കുന്നു. ആപ്ലിക്കേഷൻ ലെയറിൽ (അപ്ലിക്കേഷൻ ലെയർ - നെറ്റ്‌വർക്ക് മോഡലിന്റെ മുകളിലെ പാളി) എല്ലാ ഇൻകമിംഗ്, ഔട്ട്‌ഗോയിംഗ് പാക്കറ്റുകളും ഗേറ്റ്‌വേ ഫിൽട്ടർ ചെയ്യുന്നു, കൂടാതെ ഒരു എച്ച്ടിടിപി സന്ദേശത്തിൽ അടങ്ങിയിരിക്കുന്ന URL അല്ലെങ്കിൽ ഒരു എഫ്‌ടിപി സന്ദേശത്തിൽ അടങ്ങിയിരിക്കുന്ന കമാൻഡ് പോലുള്ള ഡാറ്റ ഉള്ളടക്കം വിശകലനം ചെയ്യാൻ കഴിയും. ചിലപ്പോൾ ഡാറ്റയിൽ തന്നെ അടങ്ങിയിരിക്കുന്ന വിവരങ്ങളെ അടിസ്ഥാനമാക്കി പാക്കറ്റുകൾ ഫിൽട്ടർ ചെയ്യുന്നത് കൂടുതൽ ഫലപ്രദമാണ്. ഫിൽട്ടറിംഗ് തീരുമാനങ്ങൾ എടുക്കുമ്പോൾ പാക്കറ്റ് ഫിൽട്ടറുകളും ലിങ്ക്-ലെവൽ ഫിൽട്ടറുകളും വിവര സ്ട്രീമിലെ ഉള്ളടക്കങ്ങൾ ഉപയോഗിക്കുന്നില്ല, എന്നാൽ ആപ്ലിക്കേഷൻ-ലെവൽ ഫിൽട്ടറിംഗിന് അങ്ങനെ ചെയ്യാൻ കഴിയും. ആപ്ലിക്കേഷൻ ലെവൽ ഫിൽട്ടറുകൾക്ക് പാക്കറ്റ് ഹെഡറിൽ നിന്നുള്ള വിവരങ്ങളും ഉള്ളടക്ക ഡാറ്റയും ഉപയോക്തൃ വിവരങ്ങളും ഉപയോഗിക്കാം. ഉപയോക്താവിന്റെ ഐഡന്റിറ്റി കൂടാതെ/അല്ലെങ്കിൽ ഉപയോക്താവ് ചെയ്യാൻ ശ്രമിക്കുന്ന നിർദ്ദിഷ്ട ടാസ്‌ക്കിനെ അടിസ്ഥാനമാക്കി ആക്‌സസ് നിയന്ത്രിക്കാൻ അഡ്മിനിസ്ട്രേറ്റർമാർക്ക് ആപ്ലിക്കേഷൻ-ലെവൽ ഫിൽട്ടറിംഗ് ഉപയോഗിക്കാം. ആപ്ലിക്കേഷൻ-ലെവൽ ഫിൽട്ടറുകളിൽ, ആപ്ലിക്കേഷൻ നൽകുന്ന കമാൻഡുകൾ അടിസ്ഥാനമാക്കി നിങ്ങൾക്ക് നിയമങ്ങൾ സജ്ജമാക്കാൻ കഴിയും. ഉദാഹരണത്തിന്, ഒരു അഡ്‌മിനിസ്‌ട്രേറ്റർക്ക് എഫ്‌ടിപി ഉപയോഗിച്ച് ഒരു നിർദ്ദിഷ്‌ട കമ്പ്യൂട്ടറിലേക്ക് ഫയലുകൾ ഡൗൺലോഡ് ചെയ്യുന്നതിൽ നിന്ന് ഒരു നിർദ്ദിഷ്‌ട ഉപയോക്താവിനെ തടയാൻ കഴിയും, അല്ലെങ്കിൽ അതേ കമ്പ്യൂട്ടറിൽ തന്നെ എഫ്‌ടിപി വഴി ഫയലുകൾ ഹോസ്റ്റുചെയ്യാൻ ഉപയോക്താവിനെ അനുവദിക്കുക.

അത്തരം ശുദ്ധീകരണത്തിന്റെ ഗുണങ്ങളിൽ ഇവ ഉൾപ്പെടുന്നു:

ലളിതമായ ഫിൽട്ടറിംഗ് നിയമങ്ങൾ;

ഒരു വലിയ എണ്ണം പരിശോധനകൾ സംഘടിപ്പിക്കാനുള്ള സാധ്യത. ആപ്ലിക്കേഷൻ-ലെവൽ പരിരക്ഷ ഒരു വലിയ സംഖ്യ അധിക പരിശോധനകൾ അനുവദിക്കുന്നു, ഇത് സോഫ്റ്റ്വെയറിലെ ദ്വാരങ്ങൾ ഉപയോഗിച്ച് ഹാക്ക് ചെയ്യാനുള്ള സാധ്യത കുറയ്ക്കുന്നു;

ആപ്ലിക്കേഷൻ ഡാറ്റ വിശകലനം ചെയ്യാനുള്ള കഴിവ്.

പോരായ്മകൾ:

പാക്കറ്റ് ഫിൽട്ടറിംഗുമായി താരതമ്യപ്പെടുത്തുമ്പോൾ താരതമ്യേന കുറഞ്ഞ പ്രകടനം;

പ്രോക്സി അതിന്റെ പ്രോട്ടോക്കോൾ മനസ്സിലാക്കണം (അജ്ഞാത പ്രോട്ടോക്കോളുകൾ ഉപയോഗിച്ച് ഉപയോഗിക്കാനുള്ള അസാധ്യത)?;

ചട്ടം പോലെ, ഇത് സങ്കീർണ്ണമായ ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങളിൽ പ്രവർത്തിക്കുന്നു.

ഫയർവാൾ

ഒരു ഫയർവാൾ (ഫയർവാൾ അല്ലെങ്കിൽ ഫയർവാൾ) നൽകിയിരിക്കുന്ന ഒരു പ്രാദേശിക നെറ്റ്‌വർക്കുമായോ കമ്പ്യൂട്ടറുമായോ ബന്ധപ്പെട്ട് ഒരു ബാഹ്യ നെറ്റ്‌വർക്കിൽ നിന്ന് വരുന്ന പാക്കറ്റ് ട്രാഫിക് ഫിൽട്ടർ ചെയ്യുന്നതിനുള്ള ഒരു മാർഗമാണ്. ഫയർവാൾ നിർവ്വഹിക്കുന്ന രൂപത്തിന്റെയും ചുമതലകളുടെയും കാരണങ്ങൾ നമുക്ക് പരിഗണിക്കാം. ഒരു ആധുനിക ഡാറ്റ ശൃംഖലയിൽ ഗണ്യമായ ദൂരത്തിൽ പരസ്പരം ഇടപഴകുന്ന നിരവധി റിമോട്ട് ഹൈ-പെർഫോമൻസ് ഉപകരണങ്ങൾ അടങ്ങിയിരിക്കുന്നു. ഏറ്റവും വലിയ ഡാറ്റാ ട്രാൻസ്മിഷൻ നെറ്റ്‌വർക്കുകളിൽ ഒന്ന് ഇന്റർനെറ്റ് പോലുള്ള കമ്പ്യൂട്ടർ നെറ്റ്‌വർക്കുകളാണ്. ലോകമെമ്പാടുമുള്ള ദശലക്ഷക്കണക്കിന് വിവര സ്രോതസ്സുകളും ഉപഭോക്താക്കളും ഒരേസമയം ഇത് ജോലി ചെയ്യുന്നു. ഈ ശൃംഖലയുടെ വ്യാപകമായ വികസനം വ്യക്തികൾക്ക് മാത്രമല്ല, വലിയ കമ്പനികൾക്കും ലോകമെമ്പാടുമുള്ള അവരുടെ വ്യത്യസ്ത ഉപകരണങ്ങളെ ഒരൊറ്റ നെറ്റ്‌വർക്കിലേക്ക് ഏകീകരിക്കാൻ അനുവദിക്കുന്നു. അതേസമയം, പൊതു ഭൗതിക വിഭവങ്ങളിലേക്കുള്ള പങ്കിട്ട ആക്‌സസ് അന്തിമ ഉപയോക്താക്കൾക്ക് ദോഷം വരുത്താൻ സ്‌കാമർമാർക്കും വൈറസുകൾക്കും എതിരാളികൾക്കും അവസരം തുറക്കുന്നു: സംഭരിച്ച വിവരങ്ങൾ മോഷ്ടിക്കുക, വളച്ചൊടിക്കുക, നട്ടുപിടിപ്പിക്കുക അല്ലെങ്കിൽ നശിപ്പിക്കുക, സോഫ്റ്റ്‌വെയറിന്റെ സമഗ്രത ലംഘിക്കുക, ഹാർഡ്‌വെയർ നീക്കം ചെയ്യുക. അവസാന സ്റ്റേഷൻ. ഈ അനാവശ്യ ആഘാതങ്ങൾ തടയുന്നതിന്, അനധികൃത ആക്സസ് തടയേണ്ടത് ആവശ്യമാണ്, ഇതിനായി പലപ്പോഴും ഫയർവാൾ ഉപയോഗിക്കുന്നു. ഫയർവാൾ (മതിൽ - ഇംഗ്ലീഷ് ചുവരിൽ നിന്ന്) എന്ന പേര് തന്നെ അതിന്റെ ഉദ്ദേശ്യം മറയ്ക്കുന്നു, അതായത്. സംരക്ഷിത പ്രാദേശിക നെറ്റ്‌വർക്കിനും ഇൻറർനെറ്റിനും അല്ലെങ്കിൽ മറ്റേതെങ്കിലും ബാഹ്യ നെറ്റ്‌വർക്കിനും ഇടയിലുള്ള ഒരു മതിലായി ഇത് പ്രവർത്തിക്കുകയും ഏതെങ്കിലും ഭീഷണികളെ തടയുകയും ചെയ്യുന്നു. മുകളിൽ പറഞ്ഞവ കൂടാതെ, ഏതെങ്കിലും ഇൻറർനെറ്റ് റിസോഴ്സിൽ നിന്ന്/അതിലേക്ക് ട്രാഫിക് ഫിൽട്ടർ ചെയ്യുന്നതുമായി ബന്ധപ്പെട്ട മറ്റ് പ്രവർത്തനങ്ങളും ഫയർവാളിന് നിർവഹിക്കാൻ കഴിയും.

ഫയർവാളിന്റെ പ്രവർത്തന തത്വം പുറത്തുനിന്നുള്ള ട്രാഫിക് നിയന്ത്രിക്കുന്നതിനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്. പ്രാദേശികവും ബാഹ്യവുമായ നെറ്റ്‌വർക്കുകൾക്കിടയിലുള്ള ട്രാഫിക് നിരീക്ഷിക്കുന്നതിനുള്ള ഇനിപ്പറയുന്ന രീതികൾ തിരഞ്ഞെടുക്കാം:

1. പാക്കറ്റ് ഫിൽട്ടറിംഗ്- ഒരു കൂട്ടം ഫിൽട്ടറുകൾ സജ്ജീകരിക്കുന്നതിനെ അടിസ്ഥാനമാക്കി. ഇൻകമിംഗ് പാക്കറ്റ് ഫിൽട്ടറുകളിൽ വ്യക്തമാക്കിയ വ്യവസ്ഥകൾ പാലിക്കുന്നുണ്ടോ എന്നതിനെ ആശ്രയിച്ച്, അത് നെറ്റ്വർക്കിലേക്ക് കൈമാറുകയോ ഉപേക്ഷിക്കുകയോ ചെയ്യുന്നു.

2. പ്രോക്സി സെര്വര്- ലോക്കൽ, എക്‌സ്‌റ്റേണൽ നെറ്റ്‌വർക്കുകൾക്കിടയിൽ ഒരു അധിക പ്രോക്‌സി സെർവർ ഉപകരണം ഇൻസ്റ്റാൾ ചെയ്‌തു, അത് ഒരു "ഗേറ്റ്" ആയി വർത്തിക്കുന്നു, അതിലൂടെ എല്ലാ ഇൻകമിംഗ്, ഔട്ട്‌ഗോയിംഗ് ട്രാഫിക്കും കടന്നുപോകണം.

3. സംസ്ഥാനതല പരിശോധന- ഒരു ഫയർവാൾ നടപ്പിലാക്കുന്നതിനുള്ള ഏറ്റവും വിപുലമായ മാർഗങ്ങളിലൊന്നാണ് ഇൻകമിംഗ് ട്രാഫിക്കിന്റെ പരിശോധന. പരിശോധന എന്നത് മുഴുവൻ പാക്കേജും വിശകലനം ചെയ്യുക എന്നല്ല, മറിച്ച് അതിന്റെ പ്രത്യേക പ്രധാന ഭാഗം മാത്രം അനുവദനീയമായ ഉറവിടങ്ങളുടെ ഡാറ്റാബേസിൽ നിന്ന് മുമ്പ് അറിയപ്പെട്ട മൂല്യങ്ങളുമായി താരതമ്യം ചെയ്യുക. ഈ രീതി ഏറ്റവും ഉയർന്ന ഫയർവാൾ പ്രകടനവും ഏറ്റവും കുറഞ്ഞ കാലതാമസവും നൽകുന്നു.

ഒരു ഫയർവാൾ ഹാർഡ്‌വെയറിലോ സോഫ്റ്റ്‌വെയറിലോ നടപ്പിലാക്കാം. നിർദ്ദിഷ്ട നടപ്പാക്കൽ നെറ്റ്‌വർക്കിന്റെ വലുപ്പം, ട്രാഫിക്കിന്റെ അളവ്, ആവശ്യമായ ജോലികൾ എന്നിവയെ ആശ്രയിച്ചിരിക്കുന്നു. ഫയർവാളിന്റെ ഏറ്റവും സാധാരണമായ തരം സോഫ്റ്റ്‌വെയർ ആണ്. ഈ സാഹചര്യത്തിൽ, ഇത് എൻഡ് പിസി അല്ലെങ്കിൽ എഡ്ജ് നെറ്റ്‌വർക്ക് ഉപകരണത്തിൽ പ്രവർത്തിക്കുന്ന ഒരു പ്രോഗ്രാമായി നടപ്പിലാക്കുന്നു, ഉദാഹരണത്തിന്. ഹാർഡ്‌വെയർ നിർവ്വഹണത്തിന്റെ കാര്യത്തിൽ, ഫയർവാൾ ഒരു പ്രത്യേക നെറ്റ്‌വർക്ക് ഘടകമാണ്, ഇതിന് സാധാരണയായി മികച്ച പ്രകടന ശേഷിയുണ്ട്, എന്നാൽ സമാനമായ ജോലികൾ ചെയ്യുന്നു.

ഇനിപ്പറയുന്ന മാനദണ്ഡങ്ങൾക്കനുസരിച്ച് ട്രാഫിക് കടന്നുപോകുന്നതിന് ഉത്തരവാദികളായ ഫിൽട്ടറുകൾ കോൺഫിഗർ ചെയ്യാൻ ഫയർവാൾ നിങ്ങളെ അനുവദിക്കുന്നു:

1. IP വിലാസം. നിങ്ങൾക്കറിയാവുന്നതുപോലെ, പ്രോട്ടോക്കോൾ അനുസരിച്ച് പ്രവർത്തിക്കുന്ന ഏതൊരു അന്തിമ ഉപകരണത്തിനും ഒരു അദ്വിതീയ വിലാസം ഉണ്ടായിരിക്കണം. ഒരു നിശ്ചിത വിലാസമോ ഒരു നിശ്ചിത ശ്രേണിയോ സജ്ജീകരിക്കുന്നതിലൂടെ, അവയിൽ നിന്ന് പാക്കറ്റുകൾ സ്വീകരിക്കുന്നത് നിങ്ങൾക്ക് നിരോധിക്കാം, അല്ലെങ്കിൽ, ഈ IP വിലാസങ്ങളിൽ നിന്ന് മാത്രം ആക്സസ് അനുവദിക്കുക.

2. ഡൊമെയ്ൻ നാമം. നിങ്ങൾക്കറിയാവുന്നതുപോലെ, ഇൻറർനെറ്റിലെ ഒരു വെബ്‌സൈറ്റിനോ അതിന്റെ ഐപി വിലാസത്തിനോ ഒരു ആൽഫാന്യൂമെറിക് നാമം നൽകാം, ഇത് ഒരു കൂട്ടം നമ്പറുകളേക്കാൾ ഓർമ്മിക്കാൻ വളരെ എളുപ്പമാണ്. അതിനാൽ, ഉറവിടങ്ങളിൽ ഒന്നിലേക്ക് മാത്രം ട്രാഫിക് അനുവദിക്കുന്നതിനോ അതിലേക്കുള്ള ആക്സസ് നിരസിക്കുന്നതിനോ ഫിൽട്ടർ ക്രമീകരിക്കാൻ കഴിയും.

3. തുറമുഖം. ഞങ്ങൾ സോഫ്റ്റ്വെയർ പോർട്ടുകളെക്കുറിച്ചാണ് സംസാരിക്കുന്നത്, അതായത്. നെറ്റ്‌വർക്ക് സേവനങ്ങളിലേക്കുള്ള ആപ്ലിക്കേഷൻ ആക്സസ് പോയിന്റുകൾ. അതിനാൽ, ഉദാഹരണത്തിന്, ftp പോർട്ട് 21 ഉപയോഗിക്കുന്നു, കൂടാതെ വെബ് പേജുകൾ കാണുന്നതിനുള്ള ആപ്ലിക്കേഷനുകൾ പോർട്ട് 80 ഉപയോഗിക്കുന്നു. അനാവശ്യ സേവനങ്ങളിൽ നിന്നും നെറ്റ്‌വർക്ക് ആപ്ലിക്കേഷനുകളിൽ നിന്നും ആക്‌സസ് നിരസിക്കാൻ ഇത് നിങ്ങളെ അനുവദിക്കുന്നു, അല്ലെങ്കിൽ, അവയിലേക്ക് മാത്രം ആക്‌സസ് അനുവദിക്കുക.

4. പ്രോട്ടോക്കോൾ. ഒരു പ്രോട്ടോക്കോളിൽ നിന്നുള്ള ഡാറ്റ മാത്രം കടന്നുപോകാൻ അനുവദിക്കുന്നതിനോ അല്ലെങ്കിൽ അത് ഉപയോഗിച്ച് ആക്സസ് നിരസിക്കുന്നതിനോ ഫയർവാൾ ക്രമീകരിക്കാൻ കഴിയും. സാധാരണഗതിയിൽ, പ്രോട്ടോക്കോൾ തരത്തിന് അത് ചെയ്യുന്ന ജോലികൾ, അത് ഉപയോഗിക്കുന്ന ആപ്ലിക്കേഷൻ, സുരക്ഷാ പാരാമീറ്ററുകളുടെ സെറ്റ് എന്നിവ സൂചിപ്പിക്കാൻ കഴിയും. ഈ രീതിയിൽ, ഒരു നിർദ്ദിഷ്ട ആപ്ലിക്കേഷൻ മാത്രം പ്രവർത്തിപ്പിക്കാനും മറ്റ് എല്ലാ പ്രോട്ടോക്കോളുകളും ഉപയോഗിച്ച് അപകടകരമായ ആക്സസ് തടയാനും ആക്സസ് ക്രമീകരിക്കാൻ കഴിയും.

കോൺഫിഗർ ചെയ്യാൻ കഴിയുന്ന പ്രധാന പാരാമീറ്ററുകൾ മാത്രമാണ് മുകളിൽ ലിസ്റ്റ് ചെയ്തിരിക്കുന്നത്. മറ്റ് നെറ്റ്‌വർക്ക്-നിർദ്ദിഷ്‌ട ഫിൽട്ടർ ക്രമീകരണങ്ങളും ആ നെറ്റ്‌വർക്കിൽ നിർവഹിക്കുന്ന ടാസ്‌ക്കുകളെ ആശ്രയിച്ച് ബാധകമായേക്കാം.

അങ്ങനെ, ഫയർവാൾ അനധികൃത ആക്‌സസ്, ഡാറ്റയുടെ കേടുപാടുകൾ അല്ലെങ്കിൽ മോഷണം അല്ലെങ്കിൽ നെറ്റ്‌വർക്കിന്റെ പ്രകടനത്തെ ബാധിച്ചേക്കാവുന്ന മറ്റ് നെഗറ്റീവ് ഇഫക്റ്റുകൾ എന്നിവ തടയുന്നതിന് സമഗ്രമായ ഒരു കൂട്ടം ജോലികൾ നൽകുന്നു. സാധാരണഗതിയിൽ, ആന്റിവൈറസ് സോഫ്‌റ്റ്‌വെയർ പോലുള്ള മറ്റ് സുരക്ഷാ ഉപകരണങ്ങളുമായി ചേർന്നാണ് ഫയർവാൾ ഉപയോഗിക്കുന്നത്.

1. സമമിതി എൻക്രിപ്ഷൻ

സിമെട്രിക് ക്രിപ്‌റ്റോസിസ്റ്റംസ്(കൂടാതെ സമമിതി എൻക്രിപ്ഷൻ, സമമിതി സൈഫറുകൾ) (ഇംഗ്ലീഷ്) സമമിതി- താക്കോൽ അൽഗോരിതം) - എൻക്രിപ്ഷനും ഡീക്രിപ്ഷനും ഒരേ ക്രിപ്റ്റോഗ്രാഫിക് കീ ഉപയോഗിക്കുന്ന ഒരു എൻക്രിപ്ഷൻ രീതി. അസിമട്രിക് എൻക്രിപ്ഷൻ സ്കീം കണ്ടുപിടിക്കുന്നതിന് മുമ്പ്, സമമിതി എൻക്രിപ്ഷൻ മാത്രമായിരുന്നു നിലവിലുണ്ടായിരുന്നത്. അൽഗോരിതം കീ രണ്ട് കക്ഷികളും രഹസ്യമായി സൂക്ഷിക്കണം. സന്ദേശങ്ങളുടെ കൈമാറ്റം ആരംഭിക്കുന്നതിന് മുമ്പ് കക്ഷികൾ എൻക്രിപ്ഷൻ അൽഗോരിതം തിരഞ്ഞെടുക്കുന്നു.

സിമ്മട്രിക് ക്രിപ്‌റ്റോസിസ്റ്റമുകളിൽ, എൻക്രിപ്ഷനും ഡീക്രിപ്ഷനും ഒരേ കീ ഉപയോഗിക്കുന്നു. അതിനാൽ ഈ പേര് - സമമിതി. അൽഗോരിതവും കീയും മുൻകൂട്ടി തിരഞ്ഞെടുക്കുകയും ഇരു കക്ഷികൾക്കും അറിയുകയും ചെയ്യുന്നു. ഒരു സുരക്ഷിത ആശയവിനിമയ ചാനൽ സ്ഥാപിക്കുന്നതിനും പരിപാലിക്കുന്നതിനുമുള്ള പ്രധാന ചുമതലയാണ് പ്രധാന രഹസ്യം സൂക്ഷിക്കുന്നത്. ഇക്കാര്യത്തിൽ, പ്രാരംഭ കീ കൈമാറ്റത്തിന്റെ (കീ സമന്വയം) പ്രശ്നം ഉയർന്നുവരുന്നു. കൂടാതെ, ഒരു കീ ഇല്ലാതെയോ അല്ലെങ്കിൽ അംഗീകാര ഘട്ടത്തിൽ തടസ്സപ്പെടുത്തുന്നതിലൂടെയോ വിവരങ്ങൾ ഡീക്രിപ്റ്റ് ചെയ്യാൻ ഒരു വഴി അല്ലെങ്കിൽ മറ്റൊന്നിനെ അനുവദിക്കുന്ന ക്രിപ്റ്റോ-ആക്രമണ രീതികളുണ്ട്. പൊതുവേ, ഈ പോയിന്റുകൾ ഒരു പ്രത്യേക എൻക്രിപ്ഷൻ അൽഗോരിതത്തിന്റെ ക്രിപ്റ്റോഗ്രാഫിക് ശക്തിയുടെ പ്രശ്നമാണ് കൂടാതെ ഒരു പ്രത്യേക അൽഗോരിതം തിരഞ്ഞെടുക്കുമ്പോൾ ഒരു വാദമാണ്.

സമമിതി, അല്ലെങ്കിൽ കൂടുതൽ വ്യക്തമായി, ആൽഫബെറ്റിക് എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ ആദ്യ അൽഗോരിതങ്ങളിൽ ഉൾപ്പെടുന്നു . പിന്നീട്, അസമമായ എൻക്രിപ്ഷൻ കണ്ടുപിടിച്ചു, അതിൽ ഇന്റർലോക്കുട്ടറുകൾക്ക് വ്യത്യസ്ത കീകൾ ഉണ്ട് .

അടിസ്ഥാന വിവരങ്ങൾ[തിരുത്തുക | കോഡ് എഡിറ്റ് ചെയ്യുക]

മൂന്നാം കക്ഷികളുടെ ക്ഷുദ്ര ഉപയോഗത്തിൽ നിന്ന് രഹസ്യാത്മകവും വാണിജ്യപരവുമായ വിവരങ്ങൾ മറയ്ക്കുന്നതിനുള്ള സിസ്റ്റങ്ങളിൽ കമ്പ്യൂട്ടർ സാങ്കേതികവിദ്യയിൽ ഡാറ്റ എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ വ്യാപകമായി ഉപയോഗിക്കുന്നു. അവയിലെ പ്രധാന തത്വം വ്യവസ്ഥയാണ് ട്രാൻസ്മിറ്ററിനും റിസീവറിനും എൻക്രിപ്ഷൻ അൽഗോരിതം മുൻകൂട്ടി അറിയാം, അതുപോലെ സന്ദേശത്തിന്റെ താക്കോൽ, അതില്ലാതെ വിവരങ്ങൾ അർത്ഥമില്ലാത്ത ഒരു കൂട്ടം ചിഹ്നങ്ങൾ മാത്രമാണ്.

അത്തരം അൽഗോരിതങ്ങളുടെ ക്ലാസിക് ഉദാഹരണങ്ങളാണ് സമമിതി ക്രിപ്റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങൾതാഴെ കൊടുത്തിട്ടുള്ള:

ലളിതമായ പുനഃക്രമീകരണം

കീ മുഖേനയുള്ള ഒറ്റ പെർമ്യൂട്ടേഷൻ

ഇരട്ട ക്രമപ്പെടുത്തൽ

ക്രമപ്പെടുത്തൽ "മാജിക് സ്ക്വയർ"

ലളിതമായ പുനഃക്രമീകരണം[തിരുത്തുക | കോഡ് എഡിറ്റ് ചെയ്യുക]

ലളിതമായ കീലെസ് പെർമ്യൂട്ടേഷൻ ഏറ്റവും ലളിതമായ എൻക്രിപ്ഷൻ രീതികളിൽ ഒന്നാണ്. സന്ദേശം ഒരു പട്ടികയിൽ കോളങ്ങളിൽ എഴുതിയിരിക്കുന്നു. പ്ലെയിൻടെക്‌സ്റ്റ് കോളങ്ങളിൽ എഴുതിയ ശേഷം, സൈഫർടെക്‌സ്‌റ്റ് രൂപപ്പെടുത്തുന്നതിന് അത് വരി വരിയായി വായിക്കുന്നു. ഈ സൈഫർ ഉപയോഗിക്കുന്നതിന്, അയച്ചയാളും സ്വീകർത്താവും ഒരു ടേബിൾ വലുപ്പത്തിന്റെ രൂപത്തിൽ പങ്കിട്ട കീ അംഗീകരിക്കേണ്ടതുണ്ട്. അക്ഷരങ്ങൾ ഗ്രൂപ്പുകളായി സംയോജിപ്പിക്കുന്നത് സൈഫർ കീയിൽ ഉൾപ്പെടുത്തിയിട്ടില്ല, കൂടാതെ അസംബന്ധ വാചകം എഴുതാനുള്ള സൗകര്യത്തിനായി മാത്രമാണ് ഇത് ഉപയോഗിക്കുന്നത്.

കീ മുഖേനയുള്ള ഒറ്റ പെർമ്യൂട്ടേഷൻ[തിരുത്തുക | കോഡ് എഡിറ്റ് ചെയ്യുക]

സിംഗിൾ കീ പെർമ്യൂട്ടേഷൻ എന്ന കൂടുതൽ പ്രായോഗിക എൻക്രിപ്ഷൻ രീതി മുമ്പത്തേതിന് സമാനമാണ്. ഒരു കീവേഡ്, വാക്യം അല്ലെങ്കിൽ ഒരു പട്ടിക വരിയുടെ നീളമുള്ള സംഖ്യകളുടെ കൂട്ടം എന്നിവ അനുസരിച്ച് പട്ടിക നിരകൾ പുനഃക്രമീകരിച്ചതിൽ മാത്രമേ ഇത് വ്യത്യാസപ്പെട്ടിട്ടുള്ളൂ.

ഇരട്ട ക്രമപ്പെടുത്തൽ[തിരുത്തുക | കോഡ് എഡിറ്റ് ചെയ്യുക]

കൂടുതൽ സുരക്ഷയ്ക്കായി, ഇതിനകം എൻക്രിപ്റ്റ് ചെയ്ത ഒരു സന്ദേശം നിങ്ങൾക്ക് വീണ്ടും എൻക്രിപ്റ്റ് ചെയ്യാം. ഈ രീതി ഡബിൾ പെർമ്യൂട്ടേഷൻ എന്നറിയപ്പെടുന്നു. ഇത് ചെയ്യുന്നതിന്, രണ്ടാമത്തെ പട്ടികയുടെ വലുപ്പം തിരഞ്ഞെടുത്തതിനാൽ അതിന്റെ വരികളുടെയും നിരകളുടെയും നീളം ആദ്യ പട്ടികയിലെ നീളത്തിൽ നിന്ന് വ്യത്യസ്തമായിരിക്കും. അവ താരതമ്യേന പ്രധാനമാണെങ്കിൽ അത് നല്ലതാണ്. കൂടാതെ, ആദ്യ പട്ടികയിലെ നിരകളും രണ്ടാമത്തെ പട്ടികയിലെ വരികളും പുനഃക്രമീകരിക്കാവുന്നതാണ്. അവസാനമായി, നിങ്ങൾക്ക് ഒരു സിഗ്സാഗ്, പാമ്പ്, സർപ്പിളം അല്ലെങ്കിൽ മറ്റേതെങ്കിലും വിധത്തിൽ പട്ടിക പൂരിപ്പിക്കാം. പട്ടിക പൂരിപ്പിക്കുന്നതിനുള്ള അത്തരം രീതികൾ, അവ സൈഫറിന്റെ ശക്തി വർദ്ധിപ്പിക്കുന്നില്ലെങ്കിൽ, എൻക്രിപ്ഷൻ പ്രക്രിയയെ കൂടുതൽ രസകരമാക്കുന്നു.

ക്രമപ്പെടുത്തൽ "മാജിക് സ്ക്വയർ"[തിരുത്തുക | കോഡ് എഡിറ്റ് ചെയ്യുക]

ഓരോ നിരയ്ക്കും ഓരോ വരിയ്ക്കും ഓരോ ഡയഗണലിനും ഒരേ സംഖ്യ വരെ ചേർക്കുന്ന, അവയുടെ സെല്ലുകളിൽ 1 മുതൽ തുടർച്ചയായ സ്വാഭാവിക സംഖ്യകളുള്ള ചതുരാകൃതിയിലുള്ള പട്ടികകളാണ് മാന്ത്രിക ചതുരങ്ങൾ. അത്തരം ചതുരങ്ങൾ അവയിൽ നൽകിയിരിക്കുന്ന നമ്പറിംഗ് അനുസരിച്ച് എൻക്രിപ്റ്റ് ചെയ്ത വാചകം നൽകുന്നതിന് വ്യാപകമായി ഉപയോഗിച്ചു. നിങ്ങൾ പട്ടികയിലെ ഉള്ളടക്കങ്ങൾ വരി വരിയായി എഴുതുകയാണെങ്കിൽ, അക്ഷരങ്ങൾ പുനഃക്രമീകരിച്ചുകൊണ്ട് നിങ്ങൾക്ക് എൻക്രിപ്ഷൻ ലഭിക്കും. ഒറ്റനോട്ടത്തിൽ, മാന്ത്രിക ചതുരങ്ങൾ വളരെ കുറവാണെന്ന് തോന്നുന്നു. എന്നിരുന്നാലും, ചതുരത്തിന്റെ വലിപ്പം കൂടുന്നതിനനുസരിച്ച് അവയുടെ എണ്ണം വളരെ വേഗത്തിൽ വർദ്ധിക്കുന്നു. അതിനാൽ, നിങ്ങൾ അതിന്റെ ഭ്രമണങ്ങൾ കണക്കിലെടുക്കുന്നില്ലെങ്കിൽ, 3 x 3 അളക്കുന്ന ഒരു മാന്ത്രിക ചതുരം മാത്രമേയുള്ളൂ. ഇതിനകം 4 x 4 ന്റെ 880 മാജിക് സ്ക്വയറുകളാണുള്ളത്, കൂടാതെ 5 x 5 വലുപ്പമുള്ള മാജിക് സ്ക്വയറുകളുടെ എണ്ണം ഏകദേശം 250,000 ആണ്. അതിനാൽ, വലിയ മാന്ത്രിക ചതുരങ്ങൾ അക്കാലത്തെ വിശ്വസനീയമായ ഒരു എൻക്രിപ്ഷൻ സിസ്റ്റത്തിന് ഒരു നല്ല അടിത്തറയായിരിക്കാം, കാരണം എല്ലാം സ്വമേധയാ പരീക്ഷിക്കുന്നു. ഈ സൈഫറിനുള്ള പ്രധാന ഓപ്ഷനുകൾ അചിന്തനീയമായിരുന്നു.

1 മുതൽ 16 വരെയുള്ള സംഖ്യകൾ 4 മുതൽ 4 വരെയുള്ള ഒരു ചതുരത്തിലേക്ക് യോജിക്കുന്നു. വരികളിലെയും നിരകളിലെയും പൂർണ്ണ ഡയഗണലുകളിലെയും സംഖ്യകളുടെ ആകെത്തുക ഒരേ സംഖ്യയ്ക്ക് തുല്യമാണ് എന്നതാണ് അതിന്റെ മാന്ത്രികത - 34. ഈ ചതുരങ്ങൾ ആദ്യം പ്രത്യക്ഷപ്പെട്ടത് ചൈനയിലാണ്, അവിടെ അവർക്ക് നിയോഗിക്കപ്പെട്ടു. ചില "മാന്ത്രിക ശക്തി".

മാജിക് സ്ക്വയർ എൻക്രിപ്ഷൻ ഇനിപ്പറയുന്ന രീതിയിൽ നടത്തി. ഉദാഹരണത്തിന്, നിങ്ങൾ ഈ വാചകം എൻക്രിപ്റ്റ് ചെയ്യേണ്ടതുണ്ട്: "ഞാൻ ഇന്ന് എത്തുന്നു." ഈ വാക്യത്തിന്റെ അക്ഷരങ്ങൾ അവയിൽ എഴുതിയിരിക്കുന്ന അക്കങ്ങൾക്കനുസൃതമായി ചതുരത്തിലേക്ക് തുടർച്ചയായി എഴുതിയിരിക്കുന്നു: വാക്യത്തിലെ അക്ഷരത്തിന്റെ സ്ഥാനം ഓർഡിനൽ നമ്പറുമായി യോജിക്കുന്നു. ശൂന്യമായ സെല്ലുകളിൽ ഒരു ഡോട്ട് സ്ഥാപിച്ചിരിക്കുന്നു.

ഇതിനുശേഷം, സൈഫർടെക്‌സ്‌റ്റ് ഒരു വരിയിൽ എഴുതുന്നു (വായന ഇടത്തുനിന്ന് വലത്തോട്ട്, വരി പ്രകാരമാണ്): .irdzegyuSzhaoyanP

ഡീക്രിപ്റ്റ് ചെയ്യുമ്പോൾ, ടെക്സ്റ്റ് ഒരു സ്ക്വയറിലേക്ക് യോജിക്കുന്നു, കൂടാതെ പ്ലെയിൻടെക്സ്റ്റ് "മാജിക് സ്ക്വയർ" സംഖ്യകളുടെ ക്രമത്തിൽ വായിക്കുന്നു. പ്രോഗ്രാം "മാജിക് സ്ക്വയറുകൾ" സൃഷ്ടിക്കുകയും കീയുടെ അടിസ്ഥാനത്തിൽ ആവശ്യമുള്ളത് തിരഞ്ഞെടുക്കുകയും വേണം. ചതുരം 3x3 നേക്കാൾ വലുതാണ്.

പൊതുവായ പദ്ധതി[തിരുത്തുക | കോഡ് എഡിറ്റ് ചെയ്യുക]

നിലവിൽ, സിമെട്രിക് സൈഫറുകൾ ഇവയാണ്:

ബ്ലോക്ക് സൈഫറുകൾ. അവർ ഒരു നിശ്ചിത ദൈർഘ്യമുള്ള (സാധാരണയായി 64, 128 ബിറ്റുകൾ) ബ്ലോക്കുകളിൽ വിവരങ്ങൾ പ്രോസസ്സ് ചെയ്യുന്നു, ഒരു നിശ്ചിത ക്രമത്തിൽ ബ്ലോക്കിലേക്ക് ഒരു കീ പ്രയോഗിക്കുന്നു, സാധാരണയായി റൗണ്ടുകൾ എന്ന് വിളിക്കപ്പെടുന്ന നിരവധി ഷഫിളിംഗിന്റെയും സബ്സ്റ്റിറ്റ്യൂഷനിലൂടെയും. ആവർത്തിച്ചുള്ള റൗണ്ടുകളുടെ ഫലം ഒരു ഹിമപാത ഫലമാണ് - തുറന്നതും എൻക്രിപ്റ്റ് ചെയ്തതുമായ ഡാറ്റയുടെ ബ്ലോക്കുകൾ തമ്മിലുള്ള ബിറ്റ് കത്തിടപാടുകളുടെ വർദ്ധിച്ചുവരുന്ന നഷ്ടം.

സ്ട്രീം സൈഫറുകൾ, അതിൽ ഗാമ ഉപയോഗിച്ച് യഥാർത്ഥ (പ്ലെയിൻ) ടെക്സ്റ്റിന്റെ ഓരോ ബിറ്റിലോ ബൈറ്റിലോ എൻക്രിപ്ഷൻ നടത്തുന്നു. ഒരു പ്രത്യേക മോഡിൽ സമാരംഭിച്ച ഒരു ബ്ലോക്ക് സൈഫർ (ഉദാഹരണത്തിന്, ഗാമാ മോഡിൽ GOST 28147-89) അടിസ്ഥാനമാക്കി ഒരു സ്ട്രീം സൈഫർ എളുപ്പത്തിൽ സൃഷ്ടിക്കാൻ കഴിയും.

ഒട്ടുമിക്ക സിമെട്രിക് സൈഫറുകളും ഒരു വലിയ സംഖ്യയുടെ പകരക്കാരന്റെയും ക്രമമാറ്റങ്ങളുടെയും സങ്കീർണ്ണമായ സംയോജനമാണ് ഉപയോഗിക്കുന്നത്. ഓരോ പാസിലും ഒരു "പാസ് കീ" ഉപയോഗിച്ച് അത്തരം പല സൈഫറുകളും നിരവധി (ചിലപ്പോൾ 80 വരെ) പാസുകളിൽ നടപ്പിലാക്കുന്നു. എല്ലാ പാസുകൾക്കുമുള്ള "പാസ് കീകളുടെ" സെറ്റിനെ "കീ ഷെഡ്യൂൾ" എന്ന് വിളിക്കുന്നു. ചട്ടം പോലെ, ക്രമപ്പെടുത്തലുകളും പകരക്കാരും ഉൾപ്പെടെ ചില പ്രവർത്തനങ്ങൾ നടത്തി ഒരു കീയിൽ നിന്നാണ് ഇത് സൃഷ്ടിക്കുന്നത്.

സമമിതി എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ നിർമ്മിക്കുന്നതിനുള്ള ഒരു സാധാരണ മാർഗമാണ് ഫീസ്റ്റൽ നെറ്റ്‌വർക്ക്. F(D, K) ഫംഗ്‌ഷനെ അടിസ്ഥാനമാക്കി അൽഗോരിതം ഒരു എൻക്രിപ്ഷൻ സ്കീം നിർമ്മിക്കുന്നു, ഇവിടെ D എന്നത് എൻക്രിപ്ഷൻ ബ്ലോക്കിന്റെ പകുതി വലിപ്പമുള്ള ഒരു ഡാറ്റയാണ്, തന്നിരിക്കുന്ന പാസിനുള്ള "പാസ് കീ" K ആണ്. ഫംഗ്‌ഷൻ വിപരീതമാക്കാൻ ആവശ്യമില്ല - അതിന്റെ വിപരീത പ്രവർത്തനം അജ്ഞാതമായിരിക്കാം. എൻക്രിപ്ഷനോടുകൂടിയ ഡീക്രിപ്ഷന്റെ ഏതാണ്ട് പൂർണ്ണമായ യാദൃശ്ചികതയാണ് ഫിസ്റ്റൽ നെറ്റ്‌വർക്കിന്റെ പ്രയോജനങ്ങൾ (ഷെഡ്യൂളിലെ "പാസ് കീകളുടെ" വിപരീത ക്രമം മാത്രമാണ് വ്യത്യാസം), ഇത് ഹാർഡ്‌വെയർ നടപ്പിലാക്കുന്നതിന് വളരെയധികം സഹായിക്കുന്നു.

പെർമ്യൂട്ടേഷൻ ഓപ്പറേഷൻ ഒരു നിശ്ചിത നിയമമനുസരിച്ച് സന്ദേശ ബിറ്റുകളെ മിക്സ് ചെയ്യുന്നു. ഹാർഡ്‌വെയർ നിർവ്വഹണങ്ങളിൽ, ഇത് വയർ റിവേഴ്‌സലായി നിസാരമായി നടപ്പിലാക്കുന്നു. ക്രമാനുഗത പ്രവർത്തനങ്ങളാണ് "ഹിമപാത പ്രഭാവം" കൈവരിക്കുന്നത് സാധ്യമാക്കുന്നത്. പെർമ്യൂട്ടേഷൻ ഓപ്പറേഷൻ ലീനിയർ ആണ് - f(a) xor f(b) == f(a xor b)

സ്ഥിരമായ അറേ ആക്‌സസ്സുചെയ്യുന്നതിലൂടെ, സന്ദേശത്തിന്റെ ഒരു നിശ്ചിത ഭാഗത്തിന്റെ മൂല്യം (പലപ്പോഴും 4, 6 അല്ലെങ്കിൽ 8 ബിറ്റുകൾ) അൽഗോരിതത്തിൽ ഒരു സാധാരണ ഹാർഡ്-വയർഡ് നമ്പർ ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുന്ന തരത്തിലാണ് സബ്‌സ്റ്റിറ്റ്യൂഷൻ പ്രവർത്തനങ്ങൾ നടത്തുന്നത്. സബ്സ്റ്റിറ്റ്യൂഷൻ ഓപ്പറേഷൻ അൽഗോരിതത്തിലേക്ക് നോൺ-ലീനിയാരിറ്റി അവതരിപ്പിക്കുന്നു.

പലപ്പോഴും ഒരു അൽഗോരിതത്തിന്റെ ശക്തി, പ്രത്യേകിച്ച് ഡിഫറൻഷ്യൽ ക്രിപ്റ്റനാലിസിസിനെതിരെ, ലുക്കപ്പ് ടേബിളുകളിലെ (എസ്-ബോക്സുകൾ) മൂല്യങ്ങളുടെ തിരഞ്ഞെടുപ്പിനെ ആശ്രയിച്ചിരിക്കുന്നു. ചുരുങ്ങിയത്, നിശ്ചിത മൂലകങ്ങൾ S(x) = x, അതുപോലെ ചില ബിറ്റ് ഇൻപുട്ട് ബൈറ്റിന്റെ സ്വാധീനത്തിന്റെ അഭാവം ഫലത്തിന്റെ ചില ബിറ്റ് - അതായത്, ഫലം ബിറ്റ് ആയിരിക്കുമ്പോൾ അത് അഭികാമ്യമല്ല. ഈ ബിറ്റിൽ മാത്രം വ്യത്യാസമുള്ള എല്ലാ ജോഡി ഇൻപുട്ട് പദങ്ങൾക്കും സമാനമാണ്.

അൽഗോരിതം പാരാമീറ്ററുകൾ[തിരുത്തുക | കോഡ് എഡിറ്റ് ചെയ്യുക]

നിരവധി (കുറഞ്ഞത് രണ്ട് ഡസൻ) സിമെട്രിക് സൈഫർ അൽഗോരിതങ്ങൾ ഉണ്ട്, അവയിൽ പ്രധാനപ്പെട്ട പാരാമീറ്ററുകൾ ഇവയാണ്:

ഈട്

കീ നീളം

റൗണ്ടുകളുടെ എണ്ണം

പ്രോസസ്സ് ചെയ്ത ബ്ലോക്ക് നീളം

ഹാർഡ്‌വെയർ/സോഫ്റ്റ്‌വെയർ നടപ്പാക്കലിന്റെ സങ്കീർണ്ണത

പരിവർത്തന സങ്കീർണ്ണത

സമമിതി സൈഫറുകളുടെ തരങ്ങൾ[തിരുത്തുക | കോഡ് എഡിറ്റ് ചെയ്യുക]

ബ്ലോക്ക് സൈഫറുകൾ

AES (ഇംഗ്ലീഷ്) വിപുലമായ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ്) - അമേരിക്കൻ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ്

GOST 28147-89 - സോവിയറ്റ്, റഷ്യൻ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ്, ഒരു CIS സ്റ്റാൻഡേർഡ് കൂടിയാണ്

DES (ഇംഗ്ലീഷ്) ഡാറ്റ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ്) - യുഎസ്എയിലെ ഡാറ്റ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ്

3DES (ട്രിപ്പിൾ-ഡിഇഎസ്, ട്രിപ്പിൾ ഡിഇഎസ്)

RC2 (റിവസ്റ്റ് സൈഫർ അല്ലെങ്കിൽ റോണിന്റെ സൈഫർ)

ഐഡിയ (ഇന്റർനാഷണൽ ഡാറ്റ എൻക്രിപ്ഷൻ അൽഗോരിതം, ഇന്റർനാഷണൽ ഡാറ്റ എൻക്രിപ്ഷൻ അൽഗോരിതം)

CAST (ഡെവലപ്പർമാരായ Carlisle Adams, Stafford Tavares എന്നിവരുടെ ആദ്യാക്ഷരങ്ങൾക്ക് ശേഷം)

സ്ട്രീം സൈഫറുകൾ

RC4 (വേരിയബിൾ കീ എൻക്രിപ്ഷൻ അൽഗോരിതം)

സീൽ (സോഫ്റ്റ്‌വെയർ കാര്യക്ഷമമായ അൽഗോരിതം, സോഫ്‌റ്റ്‌വെയർ കാര്യക്ഷമമായ അൽഗോരിതം)

വേക്ക് (വേൾഡ് ഓട്ടോ കീ എൻക്രിപ്ഷൻ അൽഗോരിതം, വേൾഡ് വൈഡ് ഓട്ടോമാറ്റിക് കീ എൻക്രിപ്ഷൻ അൽഗോരിതം)

അസമമായ ക്രിപ്‌റ്റോസിസ്റ്റങ്ങളുമായുള്ള താരതമ്യം[തിരുത്തുക | കോഡ് എഡിറ്റ് ചെയ്യുക]

പ്രയോജനങ്ങൾ[തിരുത്തുക | കോഡ് എഡിറ്റ് ചെയ്യുക]

വേഗത

നടപ്പിലാക്കാനുള്ള എളുപ്പം (ലളിതമായ പ്രവർത്തനങ്ങൾ കാരണം)

താരതമ്യപ്പെടുത്താവുന്ന ദീർഘവീക്ഷണത്തിന് ആവശ്യമായ ചെറിയ നീളം

അറിവ് (കൂടുതൽ പ്രായം കാരണം)

കുറവുകൾ[തിരുത്തുക | കോഡ് എഡിറ്റ് ചെയ്യുക]

ഒരു വലിയ നെറ്റ്‌വർക്കിലെ കീ മാനേജ്‌മെന്റിന്റെ സങ്കീർണ്ണത

കീ കൈമാറ്റത്തിന്റെ സങ്കീർണ്ണത. ഇത് ഉപയോഗിക്കുന്നതിന്, ഓരോ വരിക്കാരനും കീകൾ വിശ്വസനീയമായി കൈമാറ്റം ചെയ്യുന്നതിനുള്ള പ്രശ്നം പരിഹരിക്കേണ്ടത് ആവശ്യമാണ്, കാരണം ഓരോ കീയും ഇരുകക്ഷികൾക്കും കൈമാറാൻ ഒരു രഹസ്യ ചാനൽ ആവശ്യമാണ്.

സമമിതി എൻക്രിപ്ഷന്റെ പോരായ്മകൾ നികത്താൻ, ഒരു സംയോജിത (ഹൈബ്രിഡ്) ക്രിപ്റ്റോഗ്രാഫിക് സ്കീം നിലവിൽ വ്യാപകമായി ഉപയോഗിക്കപ്പെടുന്നു, അവിടെ സമമിതി എൻക്രിപ്ഷൻ ഉപയോഗിച്ച് ഡാറ്റ കൈമാറ്റം ചെയ്യാൻ കക്ഷികൾ ഉപയോഗിക്കുന്ന സെഷൻ കീ അസമമായ എൻക്രിപ്ഷൻ ഉപയോഗിച്ച് കൈമാറ്റം ചെയ്യപ്പെടുന്നു.

സിമെട്രിക് സൈഫറുകളുടെ ഒരു പ്രധാന പോരായ്മയാണ് അസാധ്യതഇലക്ട്രോണിക് ഡിജിറ്റൽ സിഗ്നേച്ചറുകളും സർട്ടിഫിക്കറ്റുകളും സൃഷ്ടിക്കുന്നതിനുള്ള സംവിധാനങ്ങളിൽ അവയുടെ ഉപയോഗം, കീ ഓരോ കക്ഷിക്കും അറിയാവുന്നതിനാൽ.

2. ഫയർവാൾ. ഫയർവാൾ. ബ്രാൻഡ്മൗവർ

ഫയർവാൾ, ഫയർവാൾ - പ്രോഗ്രാംഅല്ലെങ്കിൽ സോഫ്റ്റ്വെയർ, ഹാർഡ്വെയർ ഘടകം കമ്പ്യൂട്ടർ ശൃംഖല, അതിലൂടെ കടന്നുപോകുന്നതിനെ നിയന്ത്രിക്കുകയും ഫിൽട്ടർ ചെയ്യുകയും ചെയ്യുന്നു നെറ്റ്‌വർക്ക് ട്രാഫിക്നൽകിയിരിക്കുന്ന നിയമങ്ങൾക്കനുസൃതമായി .

മറ്റു പേരുകള് :

ഫയർവാൾ (ജർമ്മൻ ബ്രാൻഡ്മൗവർ - അഗ്നി മതിൽ) - ജർമ്മൻ ഭാഷയിൽ നിന്ന് കടമെടുത്ത ഒരു പദം;

ഫയർവാൾ (ഇംഗ്ലീഷ് ഫയർവാൾ- ഫയർ വാൾ) ഇംഗ്ലീഷിൽ നിന്ന് കടമെടുത്ത പദമാണ്.

ഫയർവാൾ

ഫയർവാൾ പ്രവർത്തന തത്വം

ഒരു ഫയർവാൾ ഹാർഡ്‌വെയറിലോ സോഫ്റ്റ്‌വെയറിലോ നടപ്പിലാക്കാം. നിർദ്ദിഷ്ട നടപ്പാക്കൽ നെറ്റ്‌വർക്കിന്റെ വലുപ്പം, ട്രാഫിക്കിന്റെ അളവ്, ആവശ്യമായ ജോലികൾ എന്നിവയെ ആശ്രയിച്ചിരിക്കുന്നു. ഫയർവാളിന്റെ ഏറ്റവും സാധാരണമായ തരം സോഫ്റ്റ്‌വെയർ ആണ്. ഈ സാഹചര്യത്തിൽ, ഇത് എൻഡ് പിസിയിലോ റൂട്ടർ പോലുള്ള എഡ്ജ് നെറ്റ്‌വർക്ക് ഉപകരണത്തിലോ പ്രവർത്തിക്കുന്ന ഒരു പ്രോഗ്രാമായാണ് നടപ്പിലാക്കുന്നത്. ഹാർഡ്‌വെയർ നിർവ്വഹണത്തിന്റെ കാര്യത്തിൽ, ഫയർവാൾ ഒരു പ്രത്യേക നെറ്റ്‌വർക്ക് ഘടകമാണ്, ഇതിന് സാധാരണയായി മികച്ച പ്രകടന ശേഷിയുണ്ട്, എന്നാൽ സമാനമായ ജോലികൾ ചെയ്യുന്നു.

1. IP വിലാസം. നിങ്ങൾക്കറിയാവുന്നതുപോലെ, IP പ്രോട്ടോക്കോളിൽ പ്രവർത്തിക്കുന്ന ഏതൊരു അന്തിമ ഉപകരണത്തിനും ഒരു അദ്വിതീയ വിലാസം ഉണ്ടായിരിക്കണം. ഒരു നിശ്ചിത വിലാസമോ ഒരു നിശ്ചിത ശ്രേണിയോ സജ്ജീകരിക്കുന്നതിലൂടെ, അവയിൽ നിന്ന് പാക്കറ്റുകൾ സ്വീകരിക്കുന്നത് നിങ്ങൾക്ക് നിരോധിക്കാം, അല്ലെങ്കിൽ, ഈ IP വിലാസങ്ങളിൽ നിന്ന് മാത്രം ആക്സസ് അനുവദിക്കുക.

\\ 06.04.2012 17:16

നെറ്റ്‌വർക്കിന്റെ പ്രകടനത്തെ ബാധിച്ചേക്കാവുന്ന അനധികൃത ആക്‌സസ്, ഡാറ്റയുടെ കേടുപാടുകൾ അല്ലെങ്കിൽ മോഷണം അല്ലെങ്കിൽ മറ്റ് നെഗറ്റീവ് ഇഫക്റ്റുകൾ എന്നിവ തടയുന്നതിനുള്ള ഒരു കൂട്ടം ടാസ്‌ക്കുകളാണ് ഫയർവാൾ.

ഫയർവാൾ എന്നും വിളിക്കുന്നു ഫയർവാൾ(ഇംഗ്ലീഷ് ഫയർവാളിൽ നിന്ന്) അല്ലെങ്കിൽ ഗേറ്റ്‌വേയിലെ ഫയർവാൾ ഇൻറർനെറ്റിലേക്ക് സുരക്ഷിതമായ ഉപയോക്തൃ ആക്‌സസ് നൽകാൻ നിങ്ങളെ അനുവദിക്കുന്നു, അതേസമയം ആന്തരിക ഉറവിടങ്ങളിലേക്കുള്ള വിദൂര കണക്ഷനുകൾ പരിരക്ഷിക്കുന്നു. ഫയർവാൾനെറ്റ്‌വർക്ക് സെഗ്‌മെന്റുകൾക്കിടയിൽ കടന്നുപോകുന്ന എല്ലാ ട്രാഫിക്കും നോക്കുന്നു, ഓരോ പാക്കറ്റിനും ഒരു തീരുമാനമെടുക്കുന്നു - കടന്നുപോകണോ കടന്നുപോകാതിരിക്കണോ. ഫയർവാൾ നിയമങ്ങളുടെ ഒരു ഫ്ലെക്സിബിൾ സിസ്റ്റം നിരവധി പാരാമീറ്ററുകൾ അടിസ്ഥാനമാക്കി കണക്ഷനുകൾ നിരസിക്കാനും അനുവദിക്കാനും നിങ്ങളെ അനുവദിക്കുന്നു: വിലാസങ്ങൾ, നെറ്റ്‌വർക്കുകൾ, പ്രോട്ടോക്കോളുകൾ, പോർട്ടുകൾ.

പ്രാദേശികവും ബാഹ്യവുമായ നെറ്റ്‌വർക്കുകൾക്കിടയിലുള്ള ട്രാഫിക് നിരീക്ഷിക്കുന്നതിനുള്ള രീതികൾ

പാക്കറ്റ് ഫിൽട്ടറിംഗ്. ഇൻകമിംഗ് പാക്കറ്റ് ഫിൽട്ടറുകളിൽ വ്യക്തമാക്കിയ വ്യവസ്ഥകൾ പാലിക്കുന്നുണ്ടോ എന്നതിനെ ആശ്രയിച്ച്, അത് നെറ്റ്വർക്കിലേക്ക് കൈമാറുകയോ ഉപേക്ഷിക്കുകയോ ചെയ്യുന്നു.

സംസ്ഥാനതല പരിശോധന. ഈ സാഹചര്യത്തിൽ, ഇൻകമിംഗ് ട്രാഫിക് പരിശോധിക്കുന്നു - ഒരു ഫയർവാൾ നടപ്പിലാക്കുന്നതിനുള്ള ഏറ്റവും നൂതനമായ രീതികളിൽ ഒന്ന്. പരിശോധന എന്നത് മുഴുവൻ പാക്കേജും വിശകലനം ചെയ്യുക എന്നല്ല, മറിച്ച് അതിന്റെ പ്രത്യേക പ്രധാന ഭാഗം മാത്രം അനുവദനീയമായ ഉറവിടങ്ങളുടെ ഡാറ്റാബേസിൽ നിന്ന് മുമ്പ് അറിയപ്പെട്ട മൂല്യങ്ങളുമായി താരതമ്യം ചെയ്യുക. ഈ രീതി ഏറ്റവും ഉയർന്ന ഫയർവാൾ പ്രകടനവും ഏറ്റവും കുറഞ്ഞ കാലതാമസവും നൽകുന്നു.

പ്രോക്‌സി സെർവർ. ഈ സാഹചര്യത്തിൽ, ലോക്കൽ, എക്‌സ്‌റ്റേണൽ നെറ്റ്‌വർക്കുകൾക്കിടയിൽ ഒരു അധിക പ്രോക്‌സി സെർവർ ഉപകരണം ഇൻസ്റ്റാൾ ചെയ്‌തു, അത് ഒരു "ഗേറ്റ്" ആയി വർത്തിക്കുന്നു, അതിലൂടെ എല്ലാ ഇൻകമിംഗ്, ഔട്ട്‌ഗോയിംഗ് ട്രാഫിക്കും കടന്നുപോകണം.

ഫയർവാൾട്രാഫിക്ക് കടന്നുപോകുന്നതിന് ഉത്തരവാദികളായ ഫിൽട്ടറുകൾ കോൺഫിഗർ ചെയ്യാൻ നിങ്ങളെ അനുവദിക്കുന്നു:

IP വിലാസം. ഒരു നിശ്ചിത വിലാസമോ ഒരു നിശ്ചിത ശ്രേണിയോ സജ്ജീകരിക്കുന്നതിലൂടെ, അവയിൽ നിന്ന് പാക്കറ്റുകൾ സ്വീകരിക്കുന്നത് നിങ്ങൾക്ക് നിരോധിക്കാം, അല്ലെങ്കിൽ, ഈ IP വിലാസങ്ങളിൽ നിന്ന് മാത്രം ആക്സസ് അനുവദിക്കുക.

- തുറമുഖം. നെറ്റ്‌വർക്ക് സേവനങ്ങളിലേക്കുള്ള ആപ്ലിക്കേഷൻ ആക്‌സസ് പോയിന്റുകൾ ഫയർവാളിന് ക്രമീകരിക്കാൻ കഴിയും. ഉദാഹരണത്തിന്, ftp പോർട്ട് 21 ഉപയോഗിക്കുന്നു, കൂടാതെ വെബ് ബ്രൗസിംഗ് ആപ്ലിക്കേഷനുകൾ പോർട്ട് 80 ഉപയോഗിക്കുന്നു.

പ്രോട്ടോക്കോൾ. ഒരു പ്രോട്ടോക്കോളിൽ നിന്നുള്ള ഡാറ്റ മാത്രം കടന്നുപോകാൻ അനുവദിക്കുന്നതിനോ അല്ലെങ്കിൽ അത് ഉപയോഗിച്ച് ആക്സസ് നിരസിക്കുന്നതിനോ ഫയർവാൾ ക്രമീകരിക്കാൻ കഴിയും. മിക്കപ്പോഴും, പ്രോട്ടോക്കോൾ തരം നിർവഹിച്ച ജോലികൾ, അത് ഉപയോഗിക്കുന്ന ആപ്ലിക്കേഷൻ, സുരക്ഷാ പാരാമീറ്ററുകളുടെ സെറ്റ് എന്നിവ സൂചിപ്പിക്കാൻ കഴിയും. ഇക്കാര്യത്തിൽ, ഒരു നിർദ്ദിഷ്ട ആപ്ലിക്കേഷൻ പ്രവർത്തിപ്പിക്കാനും മറ്റ് എല്ലാ പ്രോട്ടോക്കോളുകളും ഉപയോഗിച്ച് അപകടകരമായ ആക്സസ് തടയാനും മാത്രമേ ആക്സസ് കോൺഫിഗർ ചെയ്യാൻ കഴിയൂ.

ഡൊമെയ്ൻ നാമം. ഈ സാഹചര്യത്തിൽ, പ്രത്യേക ഉറവിടങ്ങളിലേക്കുള്ള കണക്ഷനുകൾ ഫിൽട്ടർ നിഷേധിക്കുകയോ അനുവദിക്കുകയോ ചെയ്യുന്നു. അനാവശ്യ സേവനങ്ങളിൽ നിന്നും നെറ്റ്‌വർക്ക് ആപ്ലിക്കേഷനുകളിൽ നിന്നും ആക്‌സസ്സ് നിരസിക്കാൻ ഇത് നിങ്ങളെ അനുവദിക്കുന്നു, അല്ലെങ്കിൽ, അവയിലേക്ക് മാത്രം ആക്‌സസ് അനുവദിക്കുക.

ഈ പ്രത്യേക നെറ്റ്‌വർക്കിനുള്ള പ്രത്യേക ഫിൽട്ടറുകൾക്കായുള്ള മറ്റ് പാരാമീറ്ററുകൾ കോൺഫിഗറേഷനായി ഉപയോഗിക്കാം, അതിൽ നിർവ്വഹിക്കുന്ന ടാസ്‌ക്കുകൾ അനുസരിച്ച്.

മിക്കപ്പോഴും, ഒരു ഫയർവാൾ മറ്റ് സുരക്ഷാ ഉപകരണങ്ങളുമായി സംയോജിച്ച് ഉപയോഗിക്കുന്നു, ഉദാഹരണത്തിന്, ആന്റിവൈറസ് സോഫ്റ്റ്വെയർ.

ഒരു ഫയർവാൾ എങ്ങനെ പ്രവർത്തിക്കുന്നു

ഫയർവാൾചെയ്യാൻ കഴിയും:

ഹാർഡ്‌വെയർ. ഈ സാഹചര്യത്തിൽ, കമ്പ്യൂട്ടറിനും ഇന്റർനെറ്റിനും ഇടയിൽ സ്ഥിതി ചെയ്യുന്ന റൂട്ടർ, ഒരു ഹാർഡ്വെയർ ഫയർവാൾ ആയി പ്രവർത്തിക്കുന്നു. നിരവധി പിസികൾ ഫയർവാളുമായി ബന്ധിപ്പിക്കാൻ കഴിയും, അവയെല്ലാം റൂട്ടറിന്റെ ഭാഗമായ ഫയർവാൾ വഴി സംരക്ഷിക്കപ്പെടും.

പ്രോഗ്രമാറ്റിക്കായി. ഫയർവാളിന്റെ ഏറ്റവും സാധാരണമായ തരം, അത് ഉപയോക്താവ് തന്റെ പിസിയിൽ ഇൻസ്റ്റാൾ ചെയ്യുന്ന പ്രത്യേക സോഫ്‌റ്റ്‌വെയറാണ്.

ബിൽറ്റ്-ഇൻ ഫയർവാളുള്ള ഒരു റൂട്ടർ കണക്റ്റുചെയ്തിട്ടുണ്ടെങ്കിലും, ഓരോ കമ്പ്യൂട്ടറിലും വ്യക്തിഗതമായി ഒരു അധിക സോഫ്റ്റ്വെയർ ഫയർവാൾ ഇൻസ്റ്റാൾ ചെയ്യാൻ കഴിയും. ഈ സാഹചര്യത്തിൽ, ഒരു ആക്രമണകാരിക്ക് സിസ്റ്റത്തിലേക്ക് തുളച്ചുകയറുന്നത് കൂടുതൽ ബുദ്ധിമുട്ടായിരിക്കും.

ഔദ്യോഗിക രേഖകൾ

1997-ൽ റഷ്യൻ ഫെഡറേഷന്റെ പ്രസിഡന്റിന്റെ കീഴിലുള്ള സ്റ്റേറ്റ് ടെക്നിക്കൽ കമ്മീഷന്റെ ഗൈഡിംഗ് ഡോക്യുമെന്റ് "കമ്പ്യൂട്ടർ ടെക്നോളജി. ഫയർവാളുകൾ. വിവരങ്ങളിലേക്കുള്ള അനധികൃത പ്രവേശനത്തിൽ നിന്നുള്ള സംരക്ഷണം. വിവരങ്ങളിലേക്കുള്ള അനധികൃത പ്രവേശനത്തിൽ നിന്നുള്ള സുരക്ഷയുടെ സൂചകങ്ങൾ" സ്വീകരിച്ചു. ഈ പ്രമാണം അഞ്ച് ഫയർവാൾ സുരക്ഷാ ക്ലാസുകൾ സ്ഥാപിക്കുന്നു, അവയിൽ ഓരോന്നിനും വിവര സംരക്ഷണത്തിനായുള്ള ഒരു നിശ്ചിത മിനിമം സെറ്റ് ആവശ്യകതകൾ ഉണ്ട്.

1998-ൽ, മറ്റൊരു പ്രമാണം വികസിപ്പിച്ചെടുത്തു: "ഫയർവാൾ-ടൈപ്പ് ഉപകരണങ്ങൾക്കുള്ള താൽക്കാലിക ആവശ്യകതകൾ." ഈ പ്രമാണം അനുസരിച്ച്, 5 ഫയർവാൾ സുരക്ഷാ ക്ലാസുകൾ സ്ഥാപിച്ചു, അവ ക്രിപ്റ്റോഗ്രാഫിക് ഉപകരണങ്ങൾ അടങ്ങിയ ഓട്ടോമേറ്റഡ് സിസ്റ്റങ്ങളിൽ വിവരങ്ങൾ സംരക്ഷിക്കാൻ ഉപയോഗിക്കുന്നു.

2011 മുതൽ, ഫയർവാൾ സർട്ടിഫിക്കേഷനായുള്ള നിയമനിർമ്മാണ ആവശ്യകതകൾ പ്രാബല്യത്തിൽ വന്നു. അതിനാൽ, ഒരു എന്റർപ്രൈസ് നെറ്റ്‌വർക്കിൽ വ്യക്തിഗത ഡാറ്റ പ്രോസസ്സ് ചെയ്യുകയാണെങ്കിൽ, ഫെഡറൽ സർവീസ് ഫോർ എക്‌സ്‌പോർട്ട് കൺട്രോൾ (FSTEC) സാക്ഷ്യപ്പെടുത്തിയ ഒരു ഫയർവാൾ ഇൻസ്റ്റാൾ ചെയ്യേണ്ടത് ആവശ്യമാണ്.

അടുത്തിടെ, ഇന്റർനെറ്റിൽ സ്വകാര്യത പരിമിതപ്പെടുത്തുന്ന പ്രവണതയുണ്ട്. ഇന്റർനെറ്റിന്റെ സർക്കാർ നിയന്ത്രണം ഉപയോക്താവിന് മേൽ ചുമത്തുന്ന നിയന്ത്രണങ്ങളാണ് ഇതിന് കാരണം. ഇന്റർനെറ്റിന്റെ സർക്കാർ നിയന്ത്രണം പല രാജ്യങ്ങളിലും (ചൈന, റഷ്യ, ബെലാറസ്) നിലവിലുണ്ട്.

RuNet-ൽ "ഏഷ്യ ഡൊമെയ്ൻ നെയിം രജിസ്ട്രേഷൻ അഴിമതി"! നിങ്ങൾ ഒരു ഡൊമെയ്ൻ രജിസ്റ്റർ ചെയ്യുകയോ വാങ്ങുകയോ ചെയ്‌ത് അതിൽ ഒരു വെബ്‌സൈറ്റ് സൃഷ്‌ടിച്ചു. വർഷങ്ങൾ കടന്നുപോകുമ്പോൾ, സൈറ്റ് വികസിക്കുകയും ജനപ്രിയമാവുകയും ചെയ്യുന്നു. ഇപ്പോൾ അതിൽ നിന്നുള്ള വരുമാനം ഇതിനകം "ഡ്രിപ്പ്" ആയിക്കഴിഞ്ഞു. നിങ്ങൾക്ക് നിങ്ങളുടെ വരുമാനം ലഭിക്കുന്നു, ഡൊമെയ്‌നിനായി പണമടയ്ക്കുക, ഹോസ്റ്റിംഗ്, മറ്റ് ചെലവുകൾ...