Keselamatan: tembok api, pengesanan pencerobohan. Temu bual dengan D-Link. Modem dengan firewall (Firewall) dengan fungsi SPI. Perbandingan tembok api perkakasan dan perisian

Dengan pelbagai jenis profesional perisian perlindungan terhadap pelbagai jenis serangan pada rangkaian tempatan dari luar (iaitu, dari Internet), semuanya mempunyai satu kelemahan yang serius kos yang tinggi. Dan jika kita bercakap tentang mengenai rangkaian kecil kelas SOHO, maka membeli pakej yang besar adalah kemewahan yang tidak mampu dimiliki. Pada masa yang sama, perlu diperhatikan bahawa untuk rangkaian kecil keupayaan pakej sedemikian mungkin berlebihan. Oleh itu, untuk melindungi rangkaian kecil kelas SOHO, penyelesaian perkakasan yang murah - tembok api - telah digunakan secara meluas. Dengan reka bentuk, tembok api boleh sama ada dilaksanakan sebagai penyelesaian yang berasingan, atau menjadi sebahagian daripada penghala kelas SOHO, khususnya penghala wayarles, yang membolehkan anda menggabungkan segmen berwayar dan wayarles rangkaian tempatan berdasarkannya.
Dalam artikel ini kita akan melihat fungsi utama tembok api perkakasan moden yang dibina ke dalam penghala kelas SOHO dan digunakan untuk memberikan perlindungan kepada rangkaian tempatan yang kecil.

Firewall sebagai sebahagian daripada penghala

Memandangkan penghala ialah peranti rangkaian yang dipasang pada sempadan antara rangkaian dalaman dan luaran, dan melaksanakan fungsi tersebut gerbang rangkaian, maka dari segi reka bentuk mereka mesti mempunyai sekurang-kurangnya dua port. LAN disambungkan ke salah satu port ini, dan port ini menjadi port LAN dalaman. Rangkaian luaran (Internet) disambungkan ke port kedua, mengubahnya menjadi port WAN luaran. Sebagai peraturan, penghala kelas SOHO mempunyai satu port WAN dan beberapa (dari satu hingga empat) port LAN, yang digabungkan menjadi suis. Dalam kebanyakan kes, port WAN suis mempunyai antara muka 10/100Base-TX, dan sama ada modem xDSL dengan antara muka yang sesuai atau kabel rangkaian Ethernet boleh disambungkan kepadanya.

Di samping itu, penggunaan rangkaian wayarles yang meluas telah membawa kepada kemunculan keseluruhan kelas penghala wayarles yang dipanggil. Peranti ini, sebagai tambahan kepada penghala klasik dengan port WAN dan LAN, mengandungi pusat akses wayarles bersepadu yang menyokong protokol IEEE 802.11a/b/g. Segmen wayarles rangkaian, yang membolehkan anda mengatur titik akses, dari sudut pandangan penghala merujuk kepada rangkaian dalaman, dan dalam pengertian ini, komputer yang disambungkan ke penghala secara wayarles tidak berbeza daripada yang disambungkan ke LAN pelabuhan.

Mana-mana penghala, sebagai peranti lapisan rangkaian, mempunyai alamat IPnya sendiri. Sebagai tambahan kepada penghala, port WAN juga mempunyai alamat IPnya sendiri.

Komputer yang disambungkan ke port LAN penghala mesti mempunyai alamat IP pada subnet yang sama dengan penghala itu sendiri. Di samping itu, dalam tetapan rangkaian PC ini, anda mesti menetapkan alamat get laluan lalai agar sepadan dengan alamat IP penghala. Dan akhirnya, peranti disambungkan ke port WAN dari rangkaian luaran, mesti mempunyai alamat IP daripada subnet yang sama dengan port WAN penghala.

Memandangkan penghala bertindak sebagai pintu masuk antara rangkaian tempatan dan Internet, adalah logik untuk mengharapkan fungsi seperti melindungi rangkaian dalaman daripada capaian yang tidak dibenarkan. Oleh itu, hampir semua penghala kelas SOHO moden mempunyai tembok api perkakasan terbina dalam, yang juga dipanggil tembok api.

Ciri Firewall

Tujuan utama mana-mana tembok api akhirnya datang untuk memastikan keselamatan rangkaian dalaman. Untuk menyelesaikan masalah ini, tembok api mesti dapat menutup rangkaian yang dilindungi, menyekat segala-galanya jenis yang diketahui serangan penggodam, menyekat kebocoran maklumat daripada rangkaian dalaman, mengawal aplikasi yang mengakses rangkaian luaran.

Bagi melaksanakan fungsi yang ditentukan, tembok api menganalisis semua trafik antara rangkaian luaran dan dalaman untuk pematuhan dengan kriteria atau peraturan tertentu yang ditetapkan yang menentukan syarat untuk laluan trafik dari satu rangkaian ke rangkaian yang lain. Jika trafik memenuhi kriteria yang ditentukan, tembok api membenarkannya melaluinya. Jika tidak, iaitu, jika kriteria yang ditetapkan tidak dipenuhi, lalu lintas disekat oleh tembok api. Firewall menapis kedua-dua trafik masuk dan keluar, dan juga membenarkan anda mengawal akses kepada sumber rangkaian atau aplikasi tertentu. Mereka boleh merekodkan semua percubaan akses tanpa kebenaran kepada sumber rangkaian tempatan dan mengeluarkan amaran tentang percubaan pencerobohan.

Dari segi tujuannya, tembok api adalah paling mengingatkan kepada pusat pemeriksaan (titik pemeriksaan) kemudahan yang dilindungi, di mana dokumen semua orang yang memasuki wilayah kemudahan dan semua orang yang meninggalkannya diperiksa. Jika pas adalah teratur, akses ke wilayah dibenarkan. Firewall beroperasi dengan cara yang sama, hanya peranan orang yang melalui pusat pemeriksaan ialah paket rangkaian, dan pasnya ialah pengepala paket ini mematuhi set peraturan yang telah ditetapkan.

Adakah firewall benar-benar boleh dipercayai?

Adakah mungkin untuk mengatakan bahawa tembok api menyediakan 100% keselamatan untuk rangkaian pengguna atau PC peribadi? Sudah tentu tidak. Jika hanya kerana tiada sistem sama sekali memberikan jaminan keselamatan 100%. Firewall harus dianggap sebagai alat yang, jika dikonfigurasikan dengan betul, boleh merumitkan tugas penyerang untuk menembusi Komputer peribadi pengguna. Kami menekankan: hanya merumitkan, tetapi tidak menjamin sama sekali keselamatan mutlak. Dengan cara ini, jika kita tidak bercakap tentang melindungi rangkaian tempatan, tetapi tentang melindungi PC individu dengan akses Internet, maka firewall ICF (Internet Connection Firewall) yang dibina ke dalam sistem pengendalian Windows XP berjaya mengatasi memastikan keselamatan peribadinya. Oleh itu, pada masa hadapan kita hanya akan bercakap tentang tembok api perkakasan korporat yang bertujuan untuk melindungi rangkaian kecil.

Jika tembok api yang dipasang di pintu masuk ke rangkaian tempatan diaktifkan sepenuhnya (sebagai peraturan, ini sepadan dengan tetapan lalai), maka rangkaian yang dilindunginya tidak dapat ditembusi sepenuhnya dan tidak boleh diakses dari luar. Walau bagaimanapun, rangkaian dalaman yang tidak dapat ditembusi sepenuhnya juga mempunyai kelemahannya. Hakikatnya ialah dalam kes ini menjadi mustahil untuk menggunakan perkhidmatan Internet (contohnya, ICQ dan program serupa) yang dipasang pada PC. Oleh itu, tugas untuk menyediakan tembok api adalah untuk membuat tetingkap di dinding kosong pada mulanya yang diwakili oleh tembok api untuk penyerang, membolehkan program pengguna bertindak balas kepada permintaan dari luar dan akhirnya melaksanakan interaksi terkawal antara rangkaian dalaman dan dunia luar. Walau bagaimanapun, semakin banyak tingkap sedemikian muncul di dinding sedemikian, semakin terdedah rangkaian itu sendiri. Oleh itu, mari kita tekankan sekali lagi: tiada tembok api boleh menjamin keselamatan mutlak rangkaian tempatan yang dilindunginya.

Klasifikasi tembok api

Keupayaan tembok api dan tahap kecerdasannya bergantung pada tahap di mana model rujukan OSI mereka berfungsi. Semakin tinggi lapisan OSI, di mana tembok api dibina, semakin tinggi tahap perlindungan yang diberikannya.

Ingat bahawa model OSI ( Sistem Terbuka Interconnection) merangkumi tujuh peringkat seni bina rangkaian. Yang pertama, yang paling rendah, ialah lapisan fizikal. Ini diikuti oleh pautan data, rangkaian, pengangkutan, sesi, pembentangan dan lapisan aplikasi atau aplikasi. Untuk menyediakan penapisan trafik, tembok api mesti beroperasi sekurang-kurangnya pada lapisan ketiga model OSI, iaitu pada lapisan rangkaian, di mana paket dihalakan berdasarkan terjemahan alamat MAC kepada alamat rangkaian. Dari sudut pandangan protokol TCP/IP, lapisan ini sepadan dengan lapisan IP (Internet Protocol). Dengan menerima maklumat lapisan rangkaian, tembok api dapat menentukan sumber dan alamat destinasi paket dan menyemak sama ada trafik dibenarkan antara destinasi ini. Walau bagaimanapun, maklumat lapisan rangkaian tidak mencukupi untuk menganalisis kandungan paket. Firewall yang beroperasi pada lapisan pengangkutan model OSI menerima beberapa maklumat lanjut tentang paket dan dalam pengertian ini boleh menyediakan skim keselamatan rangkaian yang lebih pintar. Bagi tembok api yang beroperasi pada peringkat aplikasi, mereka mempunyai akses kepada maklumat penuh tentang paket rangkaian, yang bermaksud bahawa tembok api tersebut memberikan perlindungan rangkaian yang paling boleh dipercayai.

Bergantung pada tahap model OSI di mana tembok api beroperasi, mengikut sejarah klasifikasi peranti ini telah dibangunkan:

  • penapis paket;
  • gerbang peringkat sesi (gerbang peringkat litar);
  • gerbang peringkat aplikasi;
  • Stateful Packet Inspection (SPI).

Perhatikan bahawa klasifikasi ini hanya mempunyai kepentingan sejarah, kerana semua tembok api moden tergolong dalam kategori tembok api SPI yang paling maju (dari segi perlindungan rangkaian).

Penapis kelompok

Firewall jenis penapis paket adalah yang paling asas (paling pintar). Firewall ini beroperasi pada lapisan rangkaian model OSI atau pada lapisan IP susunan protokol TCP/IP. Firewall sedemikian diperlukan dalam setiap penghala, kerana mana-mana penghala beroperasi sekurang-kurangnya pada lapisan ketiga model OSI.

Tugas penapis paket adalah untuk menapis paket berdasarkan maklumat tentang sumber atau alamat IP destinasi dan nombor port.

Dalam dinding api jenis penapis paket, setiap paket dianalisis untuk menentukan sama ada ia memenuhi kriteria penghantaran atau sama ada penghantaran disekat sebelum ia dihantar. Bergantung pada paket dan kriteria penghantaran yang dihasilkan, tembok api boleh menghantar paket, menolaknya atau menghantar pemberitahuan kepada pemula penghantaran.

Penapis paket mudah dilaksanakan dan hampir tidak mempunyai kesan ke atas kelajuan penghalaan.

Gerbang Sesi

Gerbang lapisan sesi ialah tembok api yang beroperasi pada lapisan sesi model OSI atau pada lapisan TCP (Transport Control Protocol) susunan protokol TCP/IP. Firewall ini memantau proses mewujudkan sambungan TCP (organisasi sesi pertukaran data antara mesin akhir) dan membolehkan anda menentukan sama ada sesi komunikasi yang diberikan adalah sah. Data dipindahkan ke komputer jauh dalam rangkaian luaran melalui gerbang di peringkat sesi, jangan mengandungi maklumat tentang sumber penghantaran, iaitu, semuanya kelihatan seolah-olah data dihantar oleh tembok api itu sendiri, dan bukan oleh komputer pada rangkaian dalaman (dilindungi). . Semua tembok api berasaskan protokol NAT ialah gerbang lapisan sesi (protokol NAT akan diterangkan di bawah).

Gerbang peringkat sesi juga tidak mempunyai kesan yang ketara pada kelajuan penghalaan. Pada masa yang sama, gerbang ini tidak mampu menapis paket individu.

Gerbang Aplikasi

Gerbang lapisan aplikasi, atau pelayan proksi, beroperasi pada lapisan aplikasi model OSI. Lapisan aplikasi bertanggungjawab untuk akses aplikasi ke rangkaian. Tugas pada tahap ini termasuk pemindahan fail, pertukaran melalui surat dan pengurusan rangkaian. Dengan menerima maklumat tentang paket di peringkat aplikasi, gerbang peringkat aplikasi boleh melaksanakan penyekatan akses kepada perkhidmatan tertentu. Contohnya, jika gerbang peringkat aplikasi dikonfigurasikan sebagai proksi Web, maka sebarang trafik yang berkaitan dengan protokol Telnet, FTP, Gopher akan disekat. Oleh kerana tembok api ini menganalisis paket pada lapisan aplikasi, ia dapat menapis arahan tertentu, seperti http:post, get, dsb. Ciri ini tidak tersedia untuk penapis paket atau get laluan lapisan sesi. Gerbang peringkat aplikasi juga boleh digunakan untuk log aktiviti pengguna individu dan untuk mewujudkan sesi komunikasi antara mereka. Firewall ini menawarkan cara yang lebih teguh untuk melindungi rangkaian berbanding get laluan lapisan sesi dan penapis paket.

Tembok api SPI

Jenis tembok api terbaharu, Stateful Packet Inspection (SPI), menggabungkan faedah penapis paket, gerbang lapisan sesi dan gerbang lapisan aplikasi. Iaitu, sebenarnya, kita bercakap tentang tembok api berbilang peringkat yang beroperasi secara serentak pada peringkat rangkaian, sesi dan aplikasi.

Tembok api SPI menapis paket pada lapisan rangkaian, menentukan kesahihan sesi komunikasi berdasarkan data lapisan sesi dan menganalisis kandungan paket berdasarkan data lapisan aplikasi.

Firewall ini menyediakan cara yang paling boleh dipercayai untuk melindungi rangkaian dan masa ini adalah standard de facto.

Menyediakan tembok api

Metodologi dan keupayaan untuk mengkonfigurasi tembok api bergantung pada model tertentu. Malangnya, tiada peraturan konfigurasi seragam, lebih kurang antara muka seragam. Kita hanya boleh bercakap tentang beberapa peraturan am yang perlu dipatuhi. Sebenarnya, peraturan asasnya agak mudah: adalah perlu untuk melarang semua yang tidak diperlukan untuk berfungsi normal rangkaian.

Selalunya, keupayaan untuk mengkonfigurasi tembok api bergantung kepada mengaktifkan beberapa peraturan yang telah ditetapkan dan mencipta peraturan statik dalam bentuk jadual.

Mari kita ambil, sebagai contoh, pilihan untuk mengkonfigurasi tembok api yang disertakan dalam penghala Gigabyte GN-B49G. Penghala ini mempunyai beberapa peraturan yang telah ditetapkan yang membolehkan anda melaksanakan tahap keselamatan rangkaian dalaman yang berbeza. Peraturan ini termasuk yang berikut:

  • Akses kepada konfigurasi dan pentadbiran Penghala dari bahagian WAN adalah dilarang. Mengaktifkan fungsi ini melarang akses kepada tetapan penghala daripada rangkaian luaran;
  • Akses daripada Global-IP ke Private-IP adalah dilarang di dalam LAN. Fungsi ini membolehkan anda menyekat akses dalam rangkaian tempatan daripada alamat IP global (jika ada) kepada alamat IP yang dikhaskan untuk kegunaan peribadi;
  • Halang perkongsian fail dan pencetak dari luar rangkaian penghala. Fungsi ini menghalang penggunaan akses dikongsi kepada pencetak dan fail pada rangkaian dalaman dari luar;
  • Kewujudan penghala tidak dapat dikesan dari sisi WAN. Fungsi ini menjadikan penghala tidak kelihatan dari rangkaian luaran;
  • Serangan jenis Penafian Perkhidmatan (DoS) dihalang. Apabila fungsi ini diaktifkan, perlindungan terhadap serangan DoS (Penolakan Perkhidmatan) dilaksanakan. Serangan DoS adalah sejenis serangan rangkaian, yang terdiri daripada menerima beberapa permintaan kepada pelayan yang menuntut perkhidmatan yang disediakan oleh sistem. Pelayan membelanjakan sumbernya untuk mewujudkan sambungan dan melayannya dan, memandangkan aliran permintaan tertentu, tidak dapat mengatasinya. Perlindungan terhadap serangan jenis ini adalah berdasarkan analisis sumber lebihan berbanding dengan lalu lintas biasa dan melarang pemindahannya.

Seperti yang telah kami nyatakan, banyak tembok api mempunyai peraturan yang telah ditetapkan, yang pada asasnya sama dengan yang disenaraikan di atas, tetapi mungkin mempunyai nama yang berbeza.

Satu lagi cara untuk mengkonfigurasi tembok api adalah untuk mencipta peraturan statik yang membolehkan anda bukan sahaja untuk melindungi rangkaian dari luar, tetapi juga untuk menyekat pengguna rangkaian tempatan daripada mengakses rangkaian luaran. Kemungkinan untuk membuat peraturan agak fleksibel dan membolehkan anda melaksanakan hampir semua keadaan. Untuk membuat peraturan, anda menentukan alamat IP sumber (atau julat alamat), port sumber, alamat dan port IP destinasi, jenis protokol, arah penghantaran paket (dari rangkaian dalaman ke rangkaian luaran atau sebaliknya), dan tindakan yang perlu diambil apabila paket dikesan dengan sifat yang ditunjukkan (jatuhkan atau langkau paket). Sebagai contoh, jika anda ingin melarang pengguna rangkaian dalaman (julat alamat IP: 192.168.1.1-192.168.1.100) daripada mengakses pelayan FTP (port 21) yang terletak di alamat IP luaran 64.233.183.104, maka peraturannya boleh dirumuskan seperti berikut:

  • arah penghantaran paket: LAN-ke-WAN;
  • Alamat IP sumber: 192.168.1.1-192.168.1.100;
  • port sumber: 1-65535;
  • pelabuhan destinasi: 21;
  • protokol: TCP;
  • tindakan: jatuhkan.

Konfigurasi statik peraturan firewall untuk contoh yang dibincangkan di atas ditunjukkan dalam Rajah. 1.

Protokol NAT sebagai sebahagian daripada tembok api

Semua penghala moden dengan tembok api terbina dalam menyokong protokol NAT (Network Address Translation).

Protokol NAT bukan sebahagian daripada tembok api, tetapi pada masa yang sama membantu meningkatkan keselamatan rangkaian. Tugas utama protokol NAT adalah untuk menyelesaikan masalah kekurangan alamat IP, yang menjadi semakin mendesak apabila bilangan komputer bertambah.

Hakikatnya ialah dalam versi semasa protokol IPv4, empat bait diperuntukkan untuk menentukan alamat IP, yang memungkinkan untuk menjana lebih daripada empat bilion alamat komputer rangkaian. Sudah tentu, pada masa itu apabila Internet baru sahaja muncul, sukar untuk membayangkan bahawa suatu hari nanti bilangan alamat IP ini mungkin tidak mencukupi. Untuk menyelesaikan sebahagian masalah kekurangan alamat IP, protokol terjemahan alamat rangkaian NAT pernah dicadangkan.

Protokol NAT ditakrifkan oleh standard RFC 1631, yang mentakrifkan cara terjemahan alamat rangkaian berlaku.

Dalam kebanyakan kes, peranti NAT menukar alamat IP yang dikhaskan untuk kegunaan peribadi pada rangkaian tempatan kepada alamat IP awam.

Ruang alamat peribadi dikawal oleh RFC 1918. Alamat ini termasuk julat IP berikut: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.5.68

Menurut RFC 1918, alamat IP peribadi tidak boleh digunakan dalam Rangkaian global, jadi ia boleh digunakan secara bebas untuk tujuan dalaman sahaja.

Sebelum beralih kepada spesifik protokol NAT, mari kita lihat bagaimana sambungan rangkaian berlaku antara dua PC.

Apabila satu komputer pada rangkaian mewujudkan sambungan ke komputer lain, soket dibuka, ditentukan oleh alamat IP sumber, port sumber, alamat IP destinasi, port destinasi dan protokol rangkaian. Format paket IP menyediakan medan dua bait untuk nombor port. Ini membolehkan anda menentukan 65,535 port, yang memainkan peranan saluran komunikasi yang unik. Daripada 65,535 port, 1,023 yang pertama dikhaskan untuk perkhidmatan pelayan terkenal seperti Web, FTP, Telnet, dll. Semua port lain boleh digunakan untuk tujuan lain.

Jika, sebagai contoh, satu komputer rangkaian mengakses pelayan FTP (port 21), maka apabila soket dibuka sistem operasi memberikan sesi mana-mana port di atas 1023. Contohnya, ia boleh menjadi port 2153. Kemudian paket IP yang dihantar dari PC ke pelayan FTP akan mengandungi alamat IP penghantar, port penghantar (2153), alamat IP penerima dan destinasi pelabuhan ( 21). Alamat IP sumber dan port akan digunakan untuk respons pelayan kepada klien. Menggunakan port yang berbeza untuk sesi rangkaian yang berbeza membolehkan pelanggan rangkaian mewujudkan berbilang sesi secara serentak pelayan yang berbeza atau dengan perkhidmatan satu pelayan.

Sekarang mari kita lihat proses mewujudkan sesi apabila menggunakan penghala NAT di sempadan rangkaian dalaman dan Internet.

Apabila pelanggan rangkaian dalaman mewujudkan sambungan dengan pelayan rangkaian luaran, maka, seperti dalam hal mewujudkan sambungan antara dua PC, soket dibuka, ditentukan oleh alamat IP sumber, port sumber, alamat IP destinasi, port destinasi, dan protokol rangkaian. Apabila aplikasi menghantar data melalui soket ini, alamat IP sumber dan port sumber dimasukkan ke dalam paket dalam medan pilihan sumber. Medan pilihan destinasi akan mengandungi alamat IP pelayan dan port pelayan. Sebagai contoh, komputer pada rangkaian dalaman dengan alamat IP 192.168.0.1 boleh mengakses pelayan Web WAN dengan alamat IP 64.233.188.104. Dalam kes ini, sistem pengendalian pelanggan boleh menetapkan port 1251 (port sumber) kepada sesi yang ditetapkan, dan port destinasi ialah port perkhidmatan Web, iaitu, 80. Kemudian atribut berikut akan ditunjukkan dalam pengepala paket yang dihantar (Gamb. 2):

  • port sumber: 1251;
  • Alamat IP penerima: 64.233.183.104;
  • pelabuhan destinasi: 80;
  • protokol: TCP.

Peranti NAT (penghala) memintas paket yang datang dari rangkaian dalaman dan memasukkan ke dalam jadual dalamannya pemetaan sumber dan port destinasi paket menggunakan alamat IP destinasi, port destinasi, alamat IP luaran peranti NAT, port luaran , protokol rangkaian dan IP dalaman - alamat dan port klien.

Mari kita anggap bahawa dalam contoh yang dibincangkan di atas, penghala NAT mempunyai alamat IP luaran 195.2.91.103 (alamat port WAN), dan untuk sesi yang ditetapkan, port luaran peranti NAT ialah 3210. Dalam kes ini, jadual dalaman untuk memetakan port sumber dan destinasi paket mengandungi maklumat berikut:

  • IP Sumber: 192.168.0.1;
  • port sumber: 1251;
  • alamat IP luaran

Peranti NAT: 195.2.91.103;

  • port peranti NAT luaran: 3210;
  • Alamat IP penerima: 64.233.183.104;
  • pelabuhan destinasi: 80;
  • protokol: TCP.

Peranti NAT kemudian "menyiarkan" paket dengan mengubah medan sumber dalam paket: alamat IP dalaman dan port pelanggan digantikan dengan alamat IP luaran dan port peranti NAT. Dalam contoh ini, pakej yang ditukar akan mengandungi maklumat berikut:

  • IP Sumber: 195.2.91.103;
  • port sumber: 3210;
  • Alamat IP penerima: 64.233.183.104;
  • pelabuhan destinasi: 80;
  • protokol: TCP.

Paket yang ditukar dihantar melalui rangkaian luaran dan akhirnya sampai ke pelayan yang ditentukan.

Setelah menerima paket, pelayan akan memajukan paket tindak balas ke alamat IP luaran dan port peranti NAT (penghala), menunjukkan alamat IP dan portnya sendiri dalam medan sumber (Gamb. 3). Dalam contoh yang dipertimbangkan, paket respons daripada pelayan akan mengandungi maklumat berikut dalam pengepala:

  • port sumber: 80;
  • Alamat IP penerima: 195.2.91.103;
  • pelabuhan destinasi: 3210;
  • protokol: TCP.

nasi. 3. Prinsip pengendalian peranti NAT apabila menghantar paket dari rangkaian luaran kepada rangkaian dalaman

Peranti NAT menerima paket ini daripada pelayan dan menghuraikan kandungannya berdasarkan jadual pemetaan portnya. Jika pemetaan port ditemui dalam jadual yang alamat IP sumber, port sumber, port destinasi dan protokol rangkaian daripada paket masuk sepadan dengan alamat IP hos jauh, dengan pelabuhan jauh dan dengan protokol rangkaian yang dinyatakan dalam pemetaan port, maka NAT akan melakukan penukaran songsang: Menggantikan alamat IP luaran dan port luaran dalam medan destinasi paket dengan alamat IP dan port dalaman klien rangkaian dalaman. Oleh itu, paket yang dihantar ke rangkaian dalaman untuk contoh yang dibincangkan di atas akan mempunyai atribut berikut:

  • IP Sumber: 64.233.183.104;
  • port sumber: 80;
  • Alamat IP penerima: 192.168.0.1;
  • pelabuhan destinasi: 1251;
  • protokol: TCP.

Walau bagaimanapun, jika tiada padanan dalam jadual pemetaan port, maka pakej masuk ditolak dan sambungan ditamatkan.

Terima kasih kepada penghala NAT, mana-mana PC pada rangkaian dalaman dapat memindahkan data ke Rangkaian Global menggunakan alamat IP luaran dan port penghala. Dalam kes ini, alamat IP rangkaian dalaman, sebagai port yang diberikan kepada sesi, kekal tidak kelihatan daripada rangkaian luaran.

Walau bagaimanapun, penghala NAT membenarkan pertukaran data antara komputer pada rangkaian dalaman dan luaran hanya jika pertukaran ini dimulakan oleh komputer pada rangkaian dalaman. Jika komputer pada rangkaian luaran cuba mengakses komputer pada rangkaian dalaman atas inisiatifnya sendiri, sambungan ditolak oleh peranti NAT. Oleh itu, selain menyelesaikan masalah kekurangan alamat IP, protokol NAT juga membantu meningkatkan keselamatan rangkaian dalaman.

Isu yang berkaitan dengan peranti NAT

Walaupun kesederhanaan jelas peranti NAT, ia dikaitkan dengan beberapa masalah yang sering merumitkan organisasi interaksi antara komputer rangkaian atau secara amnya menghalang penubuhannya. Sebagai contoh, jika rangkaian tempatan dilindungi oleh peranti NAT, maka mana-mana pelanggan pada rangkaian dalaman boleh mewujudkan sambungan ke pelayan WAN, tetapi bukan sebaliknya. Iaitu, anda tidak boleh memulakan sambungan dari rangkaian luaran ke pelayan yang terletak pada rangkaian dalaman di belakang peranti NAT. Tetapi bagaimana jika terdapat perkhidmatan pada rangkaian dalaman (contohnya, FTP atau pelayan Web) yang pengguna pada rangkaian luaran mesti mempunyai akses kepadanya? Untuk menyelesaikan masalah ini, penghala NAT menggunakan zon demilitarized dan teknologi penghantaran port, yang akan diterangkan secara terperinci di bawah.

Satu lagi masalah dengan peranti NAT ialah beberapa aplikasi rangkaian termasuk alamat IP dan port dalam bahagian data paket. Adalah jelas bahawa peranti NAT tidak mampu melakukan terjemahan alamat tersebut. Akibatnya, jika aplikasi rangkaian memasukkan alamat IP atau port ke dalam bahagian muatan paket, pelayan yang bertindak balas kepada paket itu akan menggunakan alamat IP bersarang dan port yang tiada kemasukan pemetaan yang sepadan dalam jadual dalaman peranti NAT. . Akibatnya, paket sedemikian akan dibuang oleh peranti NAT, dan oleh itu aplikasi yang menggunakan teknologi ini tidak akan dapat berfungsi dengan kehadiran peranti NAT.

Terdapat aplikasi rangkaian yang menggunakan satu port (sebagai port sumber) untuk menghantar data, tetapi tunggu respons pada port lain. Peranti NAT menganalisis trafik keluar dan memadankan port sumber. Walau bagaimanapun, peranti NAT tidak mengetahui bahawa tindak balas dijangkakan pada port yang berbeza dan tidak dapat melakukan pemetaan yang sepadan. Akibatnya, paket respons yang dialamatkan ke port yang tidak mempunyai pemetaan dalam jadual dalaman peranti NAT akan digugurkan.

Masalah lain dengan peranti NAT ialah berbilang akses ke port yang sama. Mari kita pertimbangkan situasi di mana beberapa pelanggan rangkaian tempatan, dipisahkan daripada rangkaian luaran oleh peranti NAT, mengakses perkara yang sama pelabuhan standard. Sebagai contoh, ini mungkin port 80, yang dikhaskan untuk perkhidmatan Web. Memandangkan semua pelanggan rangkaian dalaman menggunakan alamat IP yang sama, persoalan timbul: bagaimanakah peranti NAT boleh menentukan klien rangkaian dalaman mana yang merupakan permintaan luaran? Untuk menyelesaikan masalah ini, hanya satu pelanggan rangkaian dalaman mempunyai akses kepada port standard pada bila-bila masa.

Pemajuan port statik (Pemetaan port)

Untuk menjadikan aplikasi tertentu berjalan pada pelayan pada rangkaian dalaman (seperti pelayan Web atau pelayan FTP) boleh diakses daripada rangkaian luaran, peranti NAT mesti dikonfigurasikan untuk memetakan antara port yang digunakan aplikasi tertentu, dan alamat IP pelayan rangkaian dalaman yang digunakan untuk menjalankan aplikasi ini. Dalam kes ini, mereka bercakap tentang teknologi pengalihan port (Pemetaan port), dan pelayan rangkaian dalaman itu sendiri dipanggil pelayan maya. Akibatnya, sebarang permintaan daripada rangkaian luaran ke alamat IP luaran peranti NAT (penghala) pada port yang ditentukan akan diubah hala secara automatik ke pelayan maya yang ditentukan pada rangkaian dalaman.

Sebagai contoh, jika pelayan FTP maya dikonfigurasikan pada rangkaian dalaman, yang dilancarkan pada PC dengan alamat IP 192.168.0.10, maka apabila menyediakan pelayan maya alamat IP pelayan maya (192.168.0.10), protokol yang digunakan (TCP) dan port aplikasi (21) ditentukan. Dalam kes sedemikian, apabila mengakses alamat luaran peranti NAT (port WAN penghala) pada port 21, pengguna pada rangkaian luaran boleh mengakses pelayan FTP pada rangkaian dalaman, walaupun menggunakan protokol NAT. Contoh mengkonfigurasi pelayan maya pada penghala NAT sebenar ditunjukkan dalam Rajah. 4.

Biasanya, penghala NAT membenarkan anda membuat pelbagai penghantaran port statik. Jadi, pada satu pelayan maya anda boleh membuka beberapa port sekaligus atau mencipta beberapa pelayan maya dengan alamat IP yang berbeza. Walau bagaimanapun, dengan pemajuan port statik, anda tidak boleh memajukan satu port ke beberapa alamat IP, bermakna port boleh sepadan dengan satu alamat IP. Adalah mustahil, sebagai contoh, untuk mengkonfigurasi beberapa pelayan Web dengan alamat IP yang berbeza; untuk melakukan ini, anda perlu menukar port pelayan Web lalai dan apabila mengakses port 80 dalam konfigurasi penghala sebagai pelabuhan dalaman(Private Port) tentukan port pelayan Web yang diubah.

Kebanyakan model penghala juga membenarkan anda menetapkan pengalihan statik sekumpulan port, iaitu, menetapkan keseluruhan kumpulan port sekaligus kepada alamat IP pelayan maya. Ciri ini berguna jika anda perlu menyokong aplikasi yang menggunakan sejumlah besar port, seperti permainan atau persidangan audio/video. Bilangan kumpulan port yang dimajukan berbeza-beza antara model penghala yang berbeza, tetapi biasanya terdapat sekurang-kurangnya sepuluh.

Pemajuan Port Dinamik (Aplikasi Khas)

Pemajuan port statik boleh menyelesaikan sebahagian masalah akses daripada rangkaian luaran kepada perkhidmatan rangkaian tempatan yang dilindungi oleh peranti NAT. Walau bagaimanapun, terdapat juga tugas yang bertentangan - keperluan untuk menyediakan pengguna rangkaian tempatan dengan akses kepada rangkaian luaran melalui peranti NAT. Hakikatnya ialah beberapa aplikasi (contohnya, permainan Internet, persidangan video, telefon Internet dan aplikasi lain yang memerlukan penubuhan berbilang sesi serentak) tidak serasi dengan teknologi NAT. Untuk menyelesaikan masalah ini, apa yang dipanggil pengalihan port dinamik (kadangkala dipanggil Aplikasi Khas) digunakan, apabila pengalihan port ditetapkan pada tahap aplikasi rangkaian individu.

Jika penghala menyokong fungsi ini, anda mesti menentukan nombor port dalaman (atau selang port) yang dikaitkan dengan aplikasi tertentu(biasanya dirujuk sebagai Trigger Port), dan nyatakan nombor port luaran peranti NAT (Public Port), yang akan dipetakan ke port dalaman.

Apabila pemajuan port dinamik didayakan, penghala memantau trafik keluar dari rangkaian dalaman dan mengingati alamat IP komputer dari mana trafik itu berasal. Apabila data tiba kembali ke segmen tempatan, pemajuan port didayakan dan data dihantar ke dalam. Selepas pemindahan selesai, ubah hala dilumpuhkan, dan kemudian mana-mana komputer lain boleh membuat ubah hala baharu ke alamat IPnya.

Pemajuan port dinamik digunakan terutamanya untuk perkhidmatan yang melibatkan permintaan jangka pendek dan pemindahan data, kerana jika satu komputer menggunakan pemajuan port tertentu, komputer lain tidak boleh melakukan perkara yang sama pada masa yang sama. Jika anda perlu mengkonfigurasi aplikasi yang memerlukan aliran data yang berterusan yang menduduki port untuk masa yang lama, maka pengalihan semula dinamik tidak berkesan. Walau bagaimanapun, dalam kes ini, terdapat penyelesaian kepada masalah itu - ia terletak pada penggunaan zon demiliterisasi.

zon DMZ

Zon Demilitarisasi (DMZ) ialah satu lagi cara untuk memintas sekatan protokol NAT. Semua penghala moden menyediakan ciri ini. Apabila komputer pada rangkaian tempatan dalaman diletakkan dalam zon DMZ, ia menjadi telus kepada protokol NAT. Ini pada asasnya bermakna bahawa komputer rangkaian dalaman hampir terletak di hadapan tembok api. Untuk PC yang terletak di zon DMZ, semua port dihalakan semula ke satu alamat IP dalaman, yang membolehkan anda mengatur pemindahan data dari rangkaian luaran ke dalaman.

Jika, sebagai contoh, pelayan dengan alamat IP 192.168.1.10, terletak pada rangkaian tempatan dalaman, terletak di zon DMZ, dan rangkaian tempatan itu sendiri dilindungi oleh peranti NAT, maka apabila permintaan tiba pada mana-mana port daripada rangkaian luaran ke alamat port WAN Untuk peranti NAT, permintaan ini akan dimajukan ke alamat IP 192.168.1.10, iaitu, ke alamat pelayan maya dalam zon DMZ.

Sebagai peraturan, penghala NAT kelas SOHO membenarkan hanya satu komputer diletakkan di zon DMZ. Contoh mengkonfigurasi komputer dalam zon DMZ ditunjukkan dalam Rajah. 5.

nasi. 5. Contoh konfigurasi komputer dalam zon DMZ

Memandangkan komputer yang terletak di zon DMZ boleh diakses daripada rangkaian luaran dan tidak dilindungi oleh tembok api dalam apa jua cara, ia menjadi titik terdedah rangkaian. Anda harus meletakkan komputer dalam zon demilitarisasi hanya sebagai pilihan terakhir, apabila tiada kaedah lain untuk memintas sekatan protokol NAT sesuai untuk satu sebab atau yang lain.

Teknologi NAT Traversal

Kaedah yang telah kami senaraikan untuk memintas sekatan protokol NAT mungkin menimbulkan beberapa kesukaran untuk pengguna baru. Untuk memudahkan pentadbiran, teknologi automatik untuk mengkonfigurasi peranti NAT telah dicadangkan. Teknologi NAT Traversal (NAT passage) membenarkan aplikasi rangkaian tentukan bahawa ia dilindungi oleh peranti NAT, ketahui alamat IP luaran dan lakukan pemajuan port ke mod automatik. Oleh itu, kelebihan teknologi NAT Traversal ialah pengguna tidak perlu mengkonfigurasi pemetaan port secara manual.

Teknologi NAT Traversal adalah berdasarkan protokol UPnP (Universal Plug and Play); oleh itu, untuk mengaktifkan teknologi ini, selalunya perlu menyemak pilihan UPnP&NAT dalam penghala.

D-Link ialah pembangun dan pembekal penyelesaian perkakasan yang terkenal untuk membina rangkaian komputer dalam sebarang skala. Barisan produk juga termasuk peranti untuk menyediakan perlindungan rangkaian terhadap ancaman luar: tembok api dan sistem pengesanan pencerobohan. Kami meminta wakil D-Link untuk memberitahu kami teknologi yang digunakan dalam penyelesaian perkakasan untuk memastikan keselamatan IT, cara penyelesaian perkakasan berbeza daripada rakan perisian mereka dan dalam kes apakah, kelas produk yang paling optimum. Sebahagian daripada temu bual itu juga ditumpukan kepada spesifik pasaran Rusia untuk penyelesaian keselamatan IT, serta arah aliran dan prospeknya. Ivan Martynyuk, perunding projek di D-Link, menjawab soalan kami.


Ivan Martynyuk, perunding projek di D-Link



Alexey Dolya: Bolehkah anda memberitahu kami sedikit tentang syarikat anda?

Ivan Martynyuk: Mengikut piawaian industri IT, D-Link adalah sebuah syarikat yang agak lama. Ia telah dianjurkan pada Mac 1986. 87 pejabat serantau syarikat menjual dan menyokong peralatan di lebih 100 negara. Syarikat itu menggaji lebih daripada tiga ribu pekerja. Jika kita bercakap tentang bidang aktiviti syarikat, D-Link adalah pengeluar terbesar peralatan rangkaian untuk segmen perniagaan kecil dan sederhana, jadi, menurut beberapa kajian sektor pengguna pasaran peralatan rangkaian yang dijalankan oleh syarikat analisis Synergy Research Group, D-Link menduduki tempat pertama di dunia dari segi jumlah jualan peralatan dalam sektor ini. Menurut Synergy Research Group, D-Link menjual lebih daripada 8 juta peranti rangkaian pada suku pertama 2004, hampir dua kali ganda bilangan peranti yang dijual oleh pesaing terdekatnya. Dan menurut anggaran IDC, D-Link menduduki tempat pertama dalam jualan suis dan peralatan wayarles di rantau Asia-Pasifik.


Alexey Dolya: Berapa lama anda telah membangunkan produk keselamatan rangkaian? Apakah produk ini?

Ivan Martynyuk: Produk khusus pertama untuk perlindungan rangkaian muncul daripada syarikat kami tidak lama dahulu - pada tahun 2002. Kemunculan syarikat yang agak lewat dalam segmen ini adalah disebabkan oleh dasar bekerja di pasaran. D-Link hanya menghasilkan produk "diwujudkan" yang dihasilkan secara besar-besaran yang mempunyai permintaan pasaran yang tinggi. Syarikat itu tidak membangunkan teknologi dan protokol terkini, tetapi menggunakan spesifikasi piawai yang sudah mantap dalam produknya. Satu lagi perbezaan antara syarikat kami dan syarikat lain ialah kami sendiri bukan sahaja membangunkan peranti, termasuk pembangunan beberapa litar mikro, dan menulis untuk mereka perisian, dan kami juga mengeluarkannya sendiri di kilang kami sendiri. Syarikat ini mempunyai beberapa pusat pembangunan dan kilang yang terletak di negara berbeza kedamaian. Produk keselamatan rangkaian direka dan dikilangkan di Taiwan. Hari ini, ini barisan produk agak luas dan termasuk: penghala dan suis dengan fungsi keselamatan rangkaian, tembok api dan sistem pengesanan pencerobohan, serta peranti khusus, seperti get laluan wayarles, yang mempunyai beberapa ciri fungsi, direka khusus untuk digunakan dalam rangkaian wayarles, ialah alat keselamatan khusus rangkaian wayarles, alat pengesahan dan pengecasan pengguna, dsb.


Alexey Dolya: Bolehkah anda memberitahu kami secara terperinci tentang kefungsian tembok api dan alat pengesan pencerobohan anda, dan apakah serangan yang mereka lindungi?

Ivan Martynyuk: Hari ini terdapat tiga generasi tembok api. Generasi pertama ialah tembok api penapisan paket. Peranti ini boleh melakukan analisis paket pada rangkaian dan tahap pengangkutan, iaitu, menganalisis alamat IP, serta TCP dan Port UDP sumber dan destinasi, dan berdasarkan maklumat ini, tentukan perkara yang perlu dilakukan seterusnya dengan paket ini: benarkan ia lulus, nafikannya, tukar keutamaan, dsb. Peranti generasi kedua ialah tembok api perantara (Proksi). Peranti ini boleh menganalisis maklumat di semua tujuh peringkat, sehingga ke peringkat aplikasi, dan dengan itu memberikan tahap perlindungan yang sangat tinggi. Walau bagaimanapun, peranti sedemikian tidak menghantar paket secara langsung ke dunia luar, tetapi bertindak sebagai ejen perantara antara aplikasi dalaman dan perkhidmatan luaran, yang sekiranya berlaku percubaan penggodaman membawa kepada kompromi tembok api, dan bukan hos dalaman. Sehubungan itu, peranti sedemikian memerlukan platform perkakasan berkelajuan tinggi untuk memastikan prestasi tinggi dan mempunyai kos tertinggi. Generasi ketiga ialah tembok api Stateful Packet Inspections (SPI). Peranti ini beroperasi serupa dengan skrin penapisan paket, tetapi ia menganalisis lebih banyak medan dalam paket, seperti bendera dan nombor jujukan paket, dan juga menyimpan maklumat tentang paket yang diluluskan sebelum ini dan oleh itu memberikan tahap perlindungan yang lebih tinggi. Peranti sedemikian boleh melarang laluan paket dari satu antara muka ke antara muka yang lain jika ia bukan sebahagian daripada sesi yang telah ditetapkan dalam arah yang bertentangan, atau menamatkan sesi jika sebarang pelanggaran diperhatikan di dalamnya. Peranti ini memerlukan sumber pengkomputeran yang hampir sama seperti tembok api penapisan paket dan harganya tidak jauh berbeza, tetapi memberikan tahap perlindungan yang lebih tinggi.
Sistem pengesanan pencerobohan Sistem Pengesanan- IDS) adalah peranti yang lebih pintar yang bukan sahaja berfungsi pada semua tujuh peringkat, tetapi juga mengandungi alat yang membolehkan anda menganalisis kandungan paket dengan lebih terperinci dan mengesan Trojan dan virus yang menyamar atau tindakan berniat jahat yang lain. Untuk melakukan ini, sistem sedemikian mengandungi pangkalan data serangan dan tandatangan virus yang telah disediakan terlebih dahulu, dan juga mempunyai sistem analisis heuristik yang, dalam beberapa kes, membenarkan serangan menyekat yang tandatangannya tidak terkandung dalam pangkalan data.
Jika kita bercakap tentang peranti kami, maka bergantung pada model mereka mempunyai satu atau fungsi lain.


Alexey Dolya: Apakah teknologi dan algoritma khusus yang digunakan untuk melindungi rangkaian, iaitu, bagaimana sebenarnya tembok api anda berfungsi?

Ivan Martynyuk: Semua tembok api kami: DFL-100, DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100, DFL-1500 adalah tembok api pemeriksaan paket stateful (SPI), fungsi terjemahan alamat sokongan ( Terjemahan Alamat Rangkaian - NAT), yang membolehkan anda menyembunyikan struktur dalaman rangkaian, melindungi daripada serangan penafian perkhidmatan (DoS ialah kumpulan berasingan serangan yang bertujuan untuk membawa hos atau perkhidmatan tidak berfungsi) membolehkan anda menyekat akses pengguna tempatan kepada sumber web luaran tertentu dan alatan sokongan untuk membina rangkaian peribadi maya (Rangkaian Persendirian Maya - VPN) menggunakan protokol berikut: IPSec, PPTP dan L2TP. Selain itu, semua fungsi keselamatan di atas disokong bukan sahaja dalam peranti khusus - tembok api, tetapi juga dalam yang lebih murah - Gerbang Internet siri DI-8xx (DI-804HV, DI-808HV, DI-824VUP+). Harga runcit peranti termuda (DI-804HV) hanya $99, menjadikannya mampu milik untuk hampir setiap syarikat dan juga pengguna rumah.
Model peranti lama juga menyokong mekanisme keselamatan lain yang lebih kompleks. Contohnya, peranti: DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100 dan DFL-1500 membenarkan pengesahan pengguna menggunakan cara terbina dalam atau luaran. DFL-600, DFL-700, DFL-900, DFL-1100 dan DFL-1500 membolehkan anda mengawal lebar jalur saluran. DFL-200, DFL-700, DFL-900, DFL-1100 dan DFL-1500 mempunyai modul sistem pengesanan pencerobohan (IDS) terbina dalam dengan pangkalan data tandatangan yang dikemas kini. DFL-900 dan DFL-1500 mempunyai modul proksi terbina dalam (Proksi) untuk protokol berikut: HTTP, FTP, SMTP dan POP3, i.e. adalah tembok api perantara, dan apabila bekerja pada protokol ini ia menyediakan bukan sahaja tahap keselamatan yang lebih tinggi, tetapi juga membenarkan kawalan kandungan. Sebagai contoh, mereka membenarkan anda mengehadkan akses pengguna kepada sumber web tertentu, dan, tidak seperti model lain di mana pentadbir perlu memasukkan sumber ini secara manual, DFL-900 dan DFL-1500 mempunyai pangkalan data kategori terbina dalam yang dikemas kini secara automatik, dan satu-satunya perkara yang diperlukan oleh pentadbir ialah memilih kategori tapak web yang dibenarkan atau dinafikan akses. Akses juga mungkin terhad berdasarkan kandungan halaman web atau sumber tertentu, yang dimasukkan oleh pentadbir secara manual. Pelaksanaan applet dan skrip Java atau ActiveX dan pemuatan Kuki mungkin disekat. hidup Protokol FTP, SMTP dan POP3 mungkin disekat daripada memuat turun jenis fail tertentu. Peranti: DFL-1100 dan DFL-1500 menyokong mod ketersediaan tinggi, iaitu, mereka membenarkan anda memasang dua peranti secara selari dan secara automatik beralih kepada sandaran jika yang utama gagal.
Di samping itu, semua peranti berbeza antara satu sama lain dalam prestasi, bilangan antara muka, kehadiran beberapa fungsi tambahan dan, sudah tentu, kos.


Alexey Dolya: Bagaimanakah sistem pengesanan pencerobohan anda berfungsi?

Ivan Martynyuk: Sistem pengesanan pencerobohan kami (DFL-2100 dan DFL-2400) adalah telus klasik sistem rangkaian pengesanan pencerobohan (Transparent Network based Intrusion Detection System - TNIDS). Iaitu, ini adalah peranti perkakasan khusus yang dipasang dalam jurang rangkaian dan menganalisis semua lalu lintas yang melaluinya. Analisis boleh dijalankan berdasarkan pangkalan data tandatangan, yang dikemas kini secara berkala, atau berdasarkan analisis heuristik, yang memungkinkan untuk mengesan serangan baharu yang tiada dalam senarai tandatangan. Jika serangan dikesan, sistem menulis maklumat ke fail log, boleh memberitahu pentadbir sistem, menyekat laluan paket, atau menamatkan sesi. Sistem datang dengan perisian khas - Pelayan Dasar, yang membolehkan anda melakukan pengurusan yang fleksibel sistem pengesanan pencerobohan, menerima laporan serangan, mengemas kini pangkalan data tandatangan, mencipta pentadbir sistem tandatangan anda sendiri, bina pelbagai laporan dan pantau trafik dalam masa nyata. DFL-2100 dan DFL-2400 berbeza antara satu sama lain hanya dalam prestasi.


Alexey Dolya: Bolehkah anda membandingkan konsep menggunakan alatan keselamatan rangkaian perkakasan dan perisian (tembok api dan sistem pengesanan pencerobohan)? Apakah kebaikan dan keburukan kedua-dua kategori produk ini berbanding satu sama lain?

Ivan Martynyuk: Semasa pembangunan penyelesaian perisian Terdapat lebih sedikit pelbagai sekatan teknologi dan, sebagai peraturan, lebih sedikit pembangun yang terlibat dalam proses ini; oleh itu, kos unit penyelesaian sedemikian selalunya lebih rendah. Ini juga berlaku untuk tembok api. Kos tembok api perisian adalah lebih rendah berbanding dengan penyelesaian perkakasan dengan fungsi yang serupa. Pada masa yang sama, penyelesaian perisian lebih fleksibel. Lebih mudah untuk menambah fungsi tambahan kepada mereka pada masa hadapan atau membetulkan ralat yang dibuat sebelum ini. Daripada apa yang saya katakan, ternyata penyelesaian perkakasan tidak diperlukan - penyelesaian perisian lebih berfungsi dan lebih murah. Tetapi ia tidak semudah itu. Pertama, untuk pengguna akhir, penyelesaian perisian mungkin menjadi lebih mahal daripada penyelesaian perkakasan, kerana penyelesaian lengkap termasuk bukan sahaja kos perisian tembok api, tetapi juga kos sistem pengendalian di atasnya tembok api. berjalan, serta kos platform perkakasan yang prestasinya sepatutnya jauh lebih tinggi daripada dalam kes penyelesaian perkakasan. Tembok api percuma yang diedarkan secara bebas praktikalnya tidak digunakan oleh syarikat. Menurut analisis pelbagai agensi, perisian tersebut digunakan oleh kira-kira 3-5% syarikat. Peratusan penggunaan yang rendah terutamanya disebabkan oleh masalah dengan sokongan, yang sangat kritikal untuk kelas peralatan ini, dan dalam beberapa kes dengan kualiti perisian tersebut. Kedua, penyelesaian perisian juga mempunyai beberapa kelemahan, dan yang utama ialah ia boleh digodam atau dipintas bukan secara langsung, tetapi melalui kelemahan sistem pengendalian di mana ia berfungsi. Dan bilangan kelemahan yang terkandung dalam sistem pengendalian jauh lebih tinggi daripada perisian tembok api khusus atau analog perkakasannya. Di samping itu, kebolehpercayaan penyelesaian perisian adalah lebih rendah, kerana ia beroperasi pada platform perkakasan sejagat yang mengandungi sejumlah besar komponen (semakin sedikit komponen yang terkandung dalam sistem, semakin tinggi kebolehpercayaannya). Selain itu, beberapa komponen ini mengandungi: elemen mekanikal bergerak (pemacu keras, kipas), yang mempunyai masa kegagalan yang jauh lebih rendah daripada elektronik; unsur magnet (pemacu keras), yang mempunyai rintangan yang rendah terhadap kerosakan dan terdedah kepada sinaran elektromagnet; sebilangan besar kumpulan kenalan, i.e. terdapat kebarangkalian tinggi masalah yang berkaitan dengan sentuhan putus. Firewall perisian memerlukan tahap kelayakan yang lebih tinggi daripada kakitangan yang mengendalikannya, kerana ia perlu untuk mengkonfigurasi dengan betul bukan sahaja skrin itu sendiri, tetapi juga sistem pengendalian, yang tidak semudah yang difikirkan oleh ramai orang. Beberapa tembok api perisian tidak dijual tanpa menyediakannya perkhidmatan berbayar dengan menetapkannya. Firewall perisian lebih mahal untuk diselenggara, kerana perlu sentiasa memantau bukan sahaja kelemahan yang dikesan dalam perisian khusus dan memasang patch, tetapi juga kelemahan sistem pengendalian, yang mana, seperti yang telah saya katakan, terdapat banyak lagi. Di samping itu, mungkin terdapat beberapa isu keserasian antara perisian, terutamanya selepas memasang tampung tambahan. Ia juga perlu sentiasa memantau keadaan komponen mekanikal dan magnetik untuk kerosakan. Bilik di mana tembok api perisian terletak mesti mempunyai peraturan yang lebih ketat untuk akses kakitangan, kerana platform perkakasan universal membenarkan sambungan kepadanya dalam pelbagai cara. Ini ialah port luaran (USB, LPT, RS-232), dan pemacu terbina dalam (CD, Floppy), dan dengan membuka platform anda boleh menyambung melalui IDE atau antara muka SCSI. Pada masa yang sama, sistem pengendalian membolehkan anda memasang pelbagai program berniat jahat. Dan akhirnya, platform perkakasan sejagat mempunyai penggunaan kuasa yang tinggi, yang menjejaskan masa operasinya secara negatif dari sumbernya bekalan kuasa tidak terganggu sekiranya berlaku kegagalan kuasa. Perdebatan tentang penyelesaian yang mana, akhirnya perisian atau perkakasan, adalah lebih baik telah berlaku sejak sekian lama, tetapi saya ingin ambil perhatian bahawa mana-mana cara teknikal- ia hanyalah alat di tangan mereka yang mengeksploitasi mereka. Dan dalam kebanyakan kes, masalah keselamatan berlaku disebabkan oleh kekurangan perhatian atau kelayakan rendah kakitangan yang bertanggungjawab untuk ini, dan bukan pilihan platform tertentu.


Alexey Dolya: Dalam kes apakah yang anda anggap sesuai untuk menggunakan penyelesaian perkakasan untuk melindungi rangkaian, dan dalam kes apakah - perisian? Sebaik-baiknya beberapa contoh senario penggunaan produk.

Ivan Martynyuk: Penggunaan tembok api perisian adalah wajar jika perlu menggunakan beberapa yang sangat khusus kefungsian, penyelesaian perkakasan yang tidak mempunyai, sebagai contoh, modul perantara diperlukan untuk beberapa protokol eksotik, atau sebaliknya, adalah perlu untuk mendapatkan penyelesaian yang murah, manakala syarikat atau pengguna sudah mempunyai platform perkakasan dan sistem pengendalian. Walau apa pun, anda perlu mengambil kira semua kelemahan dan kelebihan kedua-dua penyelesaian dan memilih kompromi.


Alexey Dolya: Adakah saya faham dengan betul bahawa pengguna rumah tidak memerlukan tembok api perkakasan?

Ivan Martynyuk: Saya tidak akan berkata begitu. Penggunaan langkah keselamatan tertentu tidak bergantung pada siapa pengguna: rumah atau korporat, sama ada syarikat besar atau kecil, tetapi pada kos maklumat yang perlu dilindungi, i.e. daripada kerugian yang ditanggung oleh pengguna sekiranya berlaku pelanggaran satu atau lebih fungsi perlindungan - pelanggaran kerahsiaan, integriti atau ketersediaan maklumat. Sebagai peraturan, sesungguhnya, semakin besar syarikat itu, semakin banyak maklumat yang dibawanya sifat sulit dan kerugian syarikat dalam kes ini adalah lebih tinggi. Tetapi juga pengguna biasa, sebagai contoh, ketua syarikat yang sama pada beliau komputer rumah mungkin mengandungi maklumat yang mungkin sangat mahal untuk hilang. Oleh itu, komputernya harus dilindungi tidak lebih buruk daripada rangkaian korporat. Pilihan cara perlindungan dan kosnya, sebagai peraturan, ditentukan oleh kos maklumat yang dilindungi. Dalam erti kata lain, tidak masuk akal untuk membelanjakan lebih banyak untuk langkah keselamatan daripada nilai maklumat itu sendiri. Masalahnya terletak di tempat lain - dalam menentukan kos maklumat. Apabila ia datang untuk melindungi maklumat milik negara, maka akta perundangan mula berkuat kuasa yang mengawal tahap perlindungan yang diperlukan.


Alexey Dolya: Berdasarkan pengalaman anda menjalankan perniagaan di Rusia, bolehkah anda mengesan kadar pertumbuhan pasaran perkakasan keselamatan rangkaian sejak beberapa tahun kebelakangan ini?

Ivan Martynyuk: Saya sudah mengatakan bahawa syarikat itu mempunyai tiga tahun pengalaman dalam segmen pasaran ini. Dan bagi kami, 2004 adalah petunjuk dalam hal ini. Jumlah jualan peranti dari segi monetari meningkat lebih daripada 170% berbanding tahun sebelumnya. Berdasarkan laporan agensi analisis, pada tahun lalu pertumbuhan yang ketara dalam segmen ini diperhatikan bukan sahaja oleh kami, tetapi juga oleh syarikat lain yang mengeluarkan peralatan tersebut. Pasaran sistem keselamatan dalam bentuk di mana ia wujud telah dibentuk sekitar tahun 1997, tetapi hanya bermula tahun lepas ia boleh dianggap besar-besaran.


Alexey Dolya: Adakah terdapat apa-apa khusus untuk menjalankan perniagaan dalam segmen Rusia pasaran perkakasan keselamatan berbanding negara lain?

Ivan Martynyuk: Ya, memang pasaran Rusia berbeza sedikit daripada pasaran dunia. Ini berkemungkinan besar disebabkan oleh keadaan ekonomi dan mentaliti negara. Pertama, struktur pasaran sistem keselamatan itu sendiri adalah berbeza. Jika pada skala global pasaran perkakasan adalah lebih daripada dua kali lebih besar daripada pasaran perisian, maka di Rusia bahagian mereka adalah lebih kurang sama. Ini disebabkan oleh masalah ekonomi tertentu dan, oleh itu, tahap pengedaran perisian cetak rompak yang tinggi. Di Rusia, hampir tidak ada pasaran untuk perkhidmatan penyumberan luar dalam bidang keselamatan, yang sangat popular di negara lain. Perniagaan ini tidak dibangunkan, kerana ramai pengurus menganggap tidak selamat untuk menyumber luar masalah keselamatan maklumat kepada pihak ketiga, dan lebih menguntungkan dari segi ekonomi untuk menyelesaikan masalah menggunakan pakar mereka sendiri, yang tahap kelayakannya sering tidak memenuhi keperluan minimum. Apa rangkaian Rusia dilindungi dengan lebih baik, dan kami mempunyai tahap kakitangan yang lebih tinggi - ini adalah mitos yang sama dengan idea bahawa perisian percuma lebih dipercayai daripada perisian komersial. Oleh itu, cara menjalankan perniagaan di Rusia sedikit berbeza. Kita perlu memberi perhatian khusus bukan untuk bekerja dengan penyepadu sistem dan syarikat penyumberan luar, tetapi untuk pengguna terakhir, pengguna produk.


Alexey Dolya: Bolehkah anda membuat ramalan untuk masa depan, bagaimana industri keselamatan maklumat akan berkembang dalam beberapa tahun akan datang?

Ivan Martynyuk: DALAM Kebelakangan ini Serangan yang dilaksanakan pada peringkat aplikasi, serta virus, Perisian Perisik dan spam, menyebabkan lebih banyak kerosakan dan kesulitan kepada pengguna. Sehubungan itu, pembangun akan memberi lebih perhatian kepada sistem yang beroperasi pada tahap ini - ini termasuk pelbagai tembok api perantara, sistem Pengurusan Kandungan dan sistem pengesanan dan pencegahan pencerobohan. Pelbagai sistem yang diedarkan akan menjadi lebih meluas dan akan berkembang dari segi fungsi, membolehkan keputusan dibuat tentang serangan dan cara menangkisnya berdasarkan maklumat yang diterima daripada pelbagai sumber, sistem dan probe.


Alexey Dolya: Anda tidak dapat mendedahkan pemikiran pakar syarikat terkenal Kumpulan Yankee bahawa pada tahun-tahun akan datang penekanan dalam membina sistem keselamatan akan beransur-ansur beralih - daripada menentang serangan penggodam "luaran" kepada melindungi daripada serangan "dari dalam"?

Ivan Martynyuk: Jika anda melihat laporan pelbagai agensi analisis, anda akan melihat satu paradoks. Di satu pihak, terdapat lebih banyak syarikat yang menggunakan langkah keselamatan yang memastikan keselamatan di sepanjang perimeter rangkaian berbanding yang melindungi diri mereka daripada serangan dari dalam, dan sebaliknya, kerugian syarikat daripada serangan "dalaman" yang dilaksanakan adalah lebih tinggi. daripada yang "luaran". . Pakar dalam bidang ini sememangnya berharap suatu hari nanti anggota keselamatan syarikat akan sedar dan memberi perhatian ancaman dalaman tidak kurang daripada luaran.


Alexey Dolya: Apakah jenis sokongan teknikal yang anda berikan kepada pelanggan produk anda? Berdasarkan maklumat yang diberikan di tapak web anda, D-Link menyediakan tambahan perkhidmatan, Soalan Lazim, Pangkalan Pengetahuan, PEMBANTU dan banyak lagi. Adakah mungkin untuk menjadi lebih spesifik?

Ivan Martynyuk: Walaupun D-Link mengkhususkan diri dalam pengeluaran peralatan untuk segmen perniagaan kecil dan sederhana, senjata kami termasuk produk yang sangat berfungsi dan kompleks, yang tidak mudah untuk dikuasai walaupun pakar yang berkelayakan tinggi. Jika anda pergi ke laman web kami, anda akan melihat bahawa syarikat itu mempunyai bilangan pejabat serantau yang sangat besar yang menyediakan sokongan tempatan. Lebih dekat anda dengan seseorang, lebih baik anda memahaminya dan akan dapat menawarkan penyelesaian teknikal yang lebih baik atau menyelesaikan masalahnya dengan lebih cepat. Dalam kes ini, lebih mudah bagi seseorang untuk menghubungi anda atau memandu, atau anda sendiri boleh memandu ke pengguna dan menyelesaikan masalah di tempat kejadian. Syarikat itu juga mengekalkan tapak web berbahasa Rusia yang boleh anda temui maklumat terperinci tentang produk, ketahui di mana ia boleh dibeli, baca berita. Salah satu bahagian terbesar tapak adalah bahagian sokongan teknikal, yang mengandungi jawapan kepada soalan lazim (FAQ), pangkalan pengetahuan ( Asas pengetahuan), yang mengandungi jawapan kepada banyak soalan teknikal, Pembantu yang berguna untuk pengguna pemula semasa membina rangkaian, emulator antara muka peranti, forum di mana anda boleh membincangkan pelbagai aspek teknikal menggunakan peralatan, kedua-duanya dengan pengguna lain dan pekerja D-Link, serta banyak maklumat teknikal lain yang berguna. Sebagai tambahan kepada tapak web, tapak FTP juga disokong, dari mana anda boleh memuat turun manual pengguna lengkap untuk peranti, kebanyakannya diterjemahkan ke dalam bahasa Rusia, serta perisian tegar, pemacu dan perisian lain, dan dokumentasi untuk peralatan.


Alexey Dolya: Selain sokongan teknikal, adakah anda menyediakan latihan? Seminar, kursus?

Ivan Martynyuk: Semua pejabat wilayah kami kerap menganjurkan seminar teknikal percuma yang membolehkan anda berinteraksi secara interaktif dengan pengguna dan menyampaikan kepada mereka maklumat yang tidak boleh diberikan melalui media atau tapak web. Meningkatkan tahap teknikal pakar IT akibatnya mempunyai kesan positif pada tahap penyelesaian teknikal yang mereka laksanakan dan volum jualan peralatan kami. Seminar terdiri daripada dua bahagian: teori, yang membincangkan prinsip membina rangkaian, protokol rangkaian, teknologi dan produk kami serta yang praktikal, yang menunjukkan cara menyesuaikan produk ini untuk tugasan tertentu.


Alexey Dolya: Sebarang perkataan terakhir untuk diucapkan kepada pembaca kami?

Ivan Martynyuk: Saya ingin ambil perhatian bahawa tembok api dan sistem pengesanan pencerobohan adalah perlu, tetapi bukan cara yang mencukupi untuk melindungi maklumat. Isu ini perlu didekati secara besar-besaran dan apa yang dipanggil "Sistem Keselamatan Maklumat Komprehensif" diperkenalkan, yang merupakan kompleks langkah-langkah organisasi, undang-undang dan teknikal. Penyelesaian masalah keselamatan maklumat sentiasa bermula dengan analisis maklumat yang beredar dalam perusahaan, klasifikasi dan penentuan nilainya, kemudian mengenal pasti banyak potensi. ancaman yang mungkin, dan kebanyakannya boleh bersifat semula jadi, contohnya, kegagalan peralatan, bencana alam, kesilapan kakitangan, dll., dan hanya selepas itu model dan cara perlindungan yang diperlukan dipilih. Di samping itu, walaupun sistem keselamatan yang direka dan dibina dengan betul tidak akan sentiasa melindungi rangkaian anda dengan berkesan, kerana struktur logik dan fizikalnya sentiasa berubah, struktur organisasi perusahaan sentiasa berubah, dan jenis ancaman baharu muncul. Sistem perlindungan sentiasa perlu dianalisis dan disesuaikan dengan keadaan yang berubah-ubah. Keselamatan adalah satu proses.


Alexey Dolya: Terima kasih banyak kerana sudi menjawab soalan kami. Kami akan terus mengikuti kejayaan syarikat anda dan produknya!




Mengapa anda memerlukan tembok api dalam penghala?

Rangkaian wayarles memerlukan perlindungan yang teliti, kerana peluang yang paling baik untuk memintas maklumat dicipta di sini. Oleh itu, jika beberapa komputer disambungkan ke rangkaian menggunakan penghala, tembok api mesti dipasang dan digunakan bukan sahaja pada setiap komputer, tetapi juga pada penghala. Sebagai contoh, fungsi tembok api dalam penghala siri DI-XXX dilakukan oleh SPI, yang melakukan semakan paket tambahan. Subjek semakan adalah sama ada paket itu tergolong dalam sambungan yang telah ditetapkan.

Semasa sesi penyambungan, port terbuka, yang boleh diserang oleh paket luar; masa yang sangat baik untuk ini ialah apabila sesi selesai dan port kekal terbuka selama beberapa minit. Oleh itu, SPI mengingati keadaan sesi semasa dan menganalisis semua paket masuk. Mereka mesti sesuai dengan apa yang diharapkan - datang dari alamat yang permintaan itu dihantar, mempunyai nombor tertentu. Jika paket tidak sepadan dengan sesi, iaitu, ia tidak betul, ia disekat dan peristiwa ini direkodkan dalam log. Firewall pada penghala juga membolehkan anda menyekat sambungan keluar dari komputer yang dijangkiti.

RUB 1,590

TP-Link TP-LINK TD-W8961N(RU)

. Dengan sokongan ADSL2+. Dengan sokongan Telnet. Bilangan port suis ialah 4. Dengan penghalaan statik. Dengan penghala terbina dalam. Dengan fungsi SPI. Pelaksanaan - luaran. Dengan sokongan NAT. Dengan sokongan DNS dinamik. Jenis modem - ADSL. Dengan sokongan SNMP. Dengan pelayan DHCP. Dengan suis terbina dalam. Antara muka - Ethernet. Dengan antara muka web. Dengan zon demiliterisasi (DMZ). Dimensi 130x195x35 mm.

beli V kedai atas talian TopComputer.RU

Pickup mungkin

ulasan videofoto

RUB 1,390

7% 1,490 gosok.

Modem xDSL TP-LINK TD-W8901N

Sokongan VPN(VPN melepasi). Penghala terbina dalam. Suis terbina dalam. Sokongan DNS dinamik. Antara muka web. Sokongan Telnet. Dengan 4 port suis. SPI. Firewall. pelayan DHCP. NAT Pelaksanaan - luaran. Zon Demilitarisasi (DMZ). Antara muka - Ethernet. Jenis modem - ADSL. sokongan SNMP. Sokongan ADSL2+. Dengan kedalaman: 128 mm. Dengan lebar: 35 mm. Dengan ketinggian: 182 mm.

beli V kedai atas talian XcomShop

Pickup mungkin

ulasan videofoto

790 gosok.

Modem UPVEL UR-104AN ADSL2+ penghala dengan 4 port Ethernet 10/100 Mbit/s dengan sokongan IP-TV

Dengan penghalaan statik. Dengan zon demilitarisasi (DMZ). Dengan sokongan NAT. Dengan pelayan DHCP. Dengan sokongan untuk terowong VPN (VPN Endpoint). Dengan sokongan ADSL2+. Dengan fungsi SPI. Dengan tembok api. Bilangan port suis ialah 4. Antara muka ialah Ethernet. Pelaksanaan - luaran. Bilangan terowong VPN yang disokong - 100. Dengan penghala terbina dalam. Dengan sokongan SNMP. Dengan sokongan DNS Dinamik. Dengan antara muka web. Dengan suis terbina dalam. Jenis modem - ADSL. Berat: 180 g. Dimensi 110x160x35 mm.

beli V kedai atas talian Oldi.ru

ulasan videofoto

RUB 2,261

Modem D-pautan DSL-2640U

sokongan SNMP. Sokongan ADSL2+. SPI. Pelaksanaan - luaran. Firewall. Zon Demiliterisasi (DMZ). Jenis modem - ADSL. Sokongan untuk terowong VPN (Titik Akhir VPN). Sokongan VPN (VPN pass through). Antara muka - Ethernet. pelayan DHCP. NAT Antara muka web. Penghalaan statik. Suis terbina dalam. Sokongan DNS dinamik. Penghala terbina dalam. Dengan bilangan port suis 4. Dengan berat: 327 g.

V kedai atas talian price-com.ru

ulasan videofoto

RUB 1,890

TP-Link TP-LINK TD-W8968

Jenis modem - ADSL. Dengan antara muka web. Dengan pelayan DHCP. Dengan sokongan DNS Dinamik. Dengan sokongan Telnet. Dengan zon demiliterisasi (DMZ). Dengan penghala terbina dalam. Dengan fungsi SPI. Dengan tembok api. Dengan sokongan NAT. Dengan penghalaan statik. Antara muka - Ethernet. Pelaksanaan - luaran. Dengan sokongan SNMP. Bilangan port suis ialah 4. Dengan sokongan ADSL2+. Dengan sokongan VPN (VPN pass through). Dengan suis terbina dalam. Dengan kedalaman: 130 mm. Dengan lebar: 195 mm. Dengan ketinggian: 36 mm.

V kedai atas talian TopComputer.RU

Pickup mungkin

ulasan videofoto

RUB 1,590

Modem xDSL TP-LINK TD-W8961N

Zon Demiliterisasi (DMZ). Suis terbina dalam. SPI. NAT Pelaksanaan - luaran. Sokongan ADSL2+. Sokongan Telnet. Antara muka - Ethernet. Firewall. sokongan SNMP. Sokongan DNS dinamik. pelayan DHCP. Antara muka web. Dengan bilangan port suis 4. Jenis modem - ADSL. Penghalaan statik. Penghala terbina dalam. Kedalaman: 130 mm. Lebar: 195 mm. Ketinggian: 35 mm.

V kedai atas talian XcomShop

Pickup mungkin

ulasan videofoto

RUB 2,075

Modem ADSL Upvel UR-203AWP

Pelaksanaan - luaran. Dengan sokongan ADSL2+. Dengan sokongan SNMP. Antara muka - Ethernet. Jenis modem - ADSL. Dengan antara muka web. Dengan penghalaan statik. Dengan fungsi SPI. Dengan tembok api. Dengan sokongan Telnet. Dengan penghala terbina dalam. Bilangan port suis ialah 3. Dengan zon demilitarized (DMZ). Dengan sokongan NAT. Dengan pelayan DHCP. Dengan sokongan VPN (VPN pass through). Dengan suis terbina dalam. Dengan sokongan DNS Dinamik. Dengan lebar: 175 mm. Dengan kedalaman: 115 mm. Dengan ketinggian: 30 mm. Dengan berat: 280 g.

V kedai atas talian TopComputer.RU

Pickup mungkin

foto

RUB 1,790

Modem xDSL TP-LINK TD-W8960N

Zon Demiliterisasi (DMZ). pelayan DHCP. Sokongan VPN (VPN pass through). Sokongan DNS dinamik. Suis terbina dalam. sokongan SNMP. SPI. Firewall. NAT Antara muka - Ethernet. Pelabuhan konsol. Antara muka web. Jenis modem - ADSL. Dengan 10 terowong VPN yang disokong. Pelaksanaan - luaran. Sokongan untuk terowong VPN (Titik Akhir VPN). Sokongan ADSL2+. Penghalaan statik. Penghala terbina dalam. Dengan bilangan port suis 4. Dengan kedalaman: 140 mm. Dengan ketinggian: 28 mm. Dengan lebar: 200 mm.



ARTIKEL BERKAITAN