Firewall au firewall ni seti ya maunzi au programu ambayo hudhibiti na kuchuja pakiti za mtandao zinazopita ndani yake katika viwango mbalimbali vya muundo wa OSI kwa mujibu wa sheria maalum.

Kazi kuu ya firewall ni kulinda mitandao ya kompyuta au nodes za mtu binafsi kutoka kwa upatikanaji usioidhinishwa. Pia, ukuta wa moto mara nyingi huitwa vichungi, kwani kazi yao kuu sio kuruhusu kupitia (chujio) pakiti ambazo hazifikii vigezo vilivyoainishwa katika usanidi (Mchoro 6.1).

Firewall ina majina kadhaa. Hebu tuwaangalie.

Firewall (Kijerumani: Brandmauer) ni neno lililokopwa kutoka lugha ya Kijerumani, ambayo ni analogi ya ngome ya Kiingereza katika maana yake ya asili (ukuta unaotenganisha majengo yaliyo karibu, kulinda dhidi ya kuenea kwa moto). Inashangaza, katika uwanja wa teknolojia ya kompyuta, neno "firewall" hutumiwa kwa Kijerumani.

Firewall, firewall, firewall - iliyoundwa na tafsiri ya neno la Kiingereza firewall, sawa na neno firewall, kwa sasa sio neno la mkopo rasmi katika lugha ya Kirusi.

Mtini.6.1 Uwekaji wa kawaida wa ME katika mtandao wa shirika

Kuna aina mbili tofauti za ngome zinazotumika kila siku kwenye Mtandao wa kisasa. Aina ya kwanza inaitwa kwa usahihi zaidi router ya kuchuja pakiti. Aina hii ya ngome hutumika kwenye mashine iliyounganishwa kwa mitandao mingi na hutumia seti ya sheria kwa kila pakiti ambayo huamua ikiwa pakiti imetumwa au kuzuiwa. Aina ya pili, inayojulikana kama seva ya proksi, inatekelezwa kama daemoni zinazotekeleza uthibitishaji na usambazaji wa pakiti, ikiwezekana kwenye mashine iliyo na miunganisho mingi ya mtandao ambapo usambazaji wa pakiti umezimwa kwenye kernel.

Wakati mwingine aina hizi mbili za ngome hutumiwa pamoja ili mashine maalum tu (inayojulikana kama mwenyeji wa bastion) inaruhusiwa kutuma pakiti kupitia kipanga njia cha kuchuja hadi mtandao wa ndani. Huduma za seva mbadala huendeshwa kwa seva pangishi iliyo salama, ambayo kwa kawaida ni salama zaidi kuliko njia za kawaida za uthibitishaji.

Firewalls huja katika maumbo na ukubwa tofauti, na wakati mwingine ni mkusanyiko tu wa kompyuta kadhaa tofauti. Hapa, firewall inarejelea kompyuta au kompyuta kati ya mitandao inayoaminika (kwa mfano, ya ndani) na mitandao isiyoaminika (kwa mfano, Mtandao) ambayo hukagua trafiki yote inayopita kati yao. Firewalls zinazofaa zina mali zifuatazo:

· Miunganisho yote lazima ipitie kwenye ngome. Ufanisi wake umepunguzwa sana ikiwa kuna njia mbadala ya mtandao - trafiki isiyoidhinishwa itapitishwa kwa kupita ngome.

· Ngome huruhusu trafiki iliyoidhinishwa pekee. Ikiwa haiwezi kutofautisha kwa uwazi kati ya trafiki iliyoidhinishwa na isiyoidhinishwa, au ikiwa imesanidiwa kuruhusu miunganisho hatari au isiyo ya lazima kupitia, basi manufaa yake yamepunguzwa sana. Wakati firewall inashindwa au imejaa kupita kiasi, inapaswa kubadili kila wakati kwa hali iliyoshindwa au kufungwa. Ni bora kukata miunganisho kuliko kuacha mifumo bila ulinzi.

· Firewall lazima kupinga mashambulizi dhidi yake yenyewe, kwa kuwa hakuna vifaa vya ziada ni imewekwa kulinda yake.

Firewall inaweza kulinganishwa na kufuli kwenye mlango wako wa mbele. Huenda ikawa ndiyo salama zaidi ulimwenguni, lakini ikiwa mlango haujafungwa, wavamizi wanaweza kuufungua kwa urahisi. Ngome hulinda mtandao dhidi ya ufikiaji usioidhinishwa, kama vile kufuli hulinda mlango wa chumba. Je, ungeacha vitu vya thamani nyumbani ikiwa kufuli kwenye mlango wako wa mbele si salama?

Firewall ni kipengele tu cha usanifu wa jumla wa usalama. Walakini, ina jukumu muhimu sana katika muundo wa mtandao na, kama kifaa kingine chochote, ina faida na hasara zake.

Faida za firewall:

· Ngome ni njia bora ya kutekeleza sera za usalama za shirika. Zinapaswa kusanidiwa ili kupunguza miunganisho kulingana na maoni ya wasimamizi kuhusu suala hilo.

· Kinga huzuia ufikiaji wa huduma fulani. Kwa mfano, ufikiaji wa umma kwa seva ya wavuti unaweza kuruhusiwa, lakini telnet na huduma zingine zisizo za umma haziwezi kuruhusiwa. Ngome nyingi hutoa ufikiaji wa kuchagua kupitia uthibitishaji.

· Madhumuni ya ngome ni maalum sana, kwa hivyo hakuna haja ya maelewano kati ya usalama na utumiaji.

· Ngome ni zana bora ya ukaguzi. Kwa kupewa nafasi ya kutosha ya gari ngumu au usaidizi wa kukata miti kwa mbali, wanaweza kuweka taarifa kuhusu trafiki yoyote inayopitia.

· Ngome zina uwezo mzuri sana wa kuwaarifu wafanyakazi kuhusu matukio mahususi.

Hasara za firewall:

· Ngome haizuii kile ambacho kimeidhinishwa. Huruhusu miunganisho ya kawaida kutoka kwa programu zilizoidhinishwa kuanzishwa, lakini ikiwa programu zitaleta tishio, ngome haitaweza kuzuia shambulio hilo kwa kutibu muunganisho kama umeidhinishwa. Kwa mfano, ngome huruhusu barua pepe kupita kwenye seva ya barua, lakini hazitambui virusi kwenye ujumbe.

· Ufanisi wa ngome hutegemea sheria ambazo zimesanidiwa kutekeleza. Sheria haipaswi kuwa huru sana.

· Kinga haizuii mashambulizi ya uhandisi wa kijamii au kushambuliwa na mtumiaji aliyeidhinishwa ambaye anatumia anwani yake kimakusudi na kwa nia mbaya.

· Kinga haziwezi kuhimili mazoea duni ya usimamizi au sera za usalama zilizoundwa vibaya.

· Kinga haizuii mashambulizi isipokuwa msongamano wa magari upite.

Baadhi ya watu wametabiri mwisho wa enzi ya ngome ambazo zina ugumu wa kutofautisha kati ya trafiki ya maombi iliyoidhinishwa na ambayo haijaidhinishwa. Programu nyingi, kama vile ujumbe wa papo hapo, zinazidi kuwa za rununu na zinazooana na bandari nyingi. Kwa njia hii, wanaweza kukwepa ngome kupitia bandari iliyo wazi kwa huduma nyingine iliyoidhinishwa. Kwa kuongeza, maombi zaidi na zaidi yanasambaza trafiki kupitia bandari zingine zilizoidhinishwa ambazo zina uwezekano mkubwa wa kufikiwa. Mifano ya programu hizo maarufu ni HTTP-Tunnel (www.http-tunnel.com) na SocksCap (www.socks.permeo.com). Zaidi ya hayo, programu zinatengenezwa mahususi ili kukwepa ngome, kama vile programu ya udhibiti wa kompyuta ya mbali ya GoToMyPC (www.gotomypc.com).

Walakini, ukuta wa moto hauendi chini bila mapigano. Matoleo ya sasa ya programu kutoka kwa watengenezaji wakuu yana zana za juu za kuzuia uvamizi na uwezo wa kulinda safu ya programu. Ngome hizi hutambua na kuchuja trafiki ambayo haijaidhinishwa, kama vile programu za ujumbe wa papo hapo, ambazo hujaribu kupenya milango ambayo iko wazi kwa huduma zingine zilizoidhinishwa. Kwa kuongeza, ngome sasa zinalinganisha matokeo ya utendaji na viwango vya itifaki vilivyochapishwa na ishara za shughuli mbalimbali (sawa na programu ya kingavirusi) ili kugundua na kuzuia mashambulizi yaliyo katika pakiti zinazopitishwa. Kwa hivyo, zinabaki kuwa njia kuu za kulinda mitandao. Hata hivyo, ikiwa ulinzi wa maombi unaotolewa na ngome haitoshi au hauwezi kutofautisha kwa usahihi kati ya trafiki iliyoidhinishwa na isiyoidhinishwa, mbinu mbadala za usalama za kufidia zinapaswa kuzingatiwa.

Firewall inaweza kuwa kipanga njia, kompyuta ya kibinafsi, mashine iliyoundwa mahususi, au mkusanyiko wa seva pangishi zilizosanidiwa mahususi kulinda mtandao wa kibinafsi dhidi ya itifaki na huduma ambazo zinaweza kutumika kwa nia mbaya nje ya mtandao unaoaminika.

Njia ya ulinzi inategemea firewall yenyewe, pamoja na sera au sheria ambazo zimeundwa juu yake. Kuna teknolojia nne za firewall zinazotumika leo:

· Vichungi vya kundi.

· Milango ya maombi.

· Milango ya kiwango cha kitanzi.

· Vifaa vya ukaguzi wa pakiti vinavyobadilika.

Kabla ya kuchunguza utendakazi wa ngome, hebu tuangalie kitengo cha Udhibiti wa Usambazaji na Itifaki ya Mtandao (TCP/IP).

TCP/IP hutoa mbinu ya kuhamisha data kutoka kwa kompyuta moja hadi nyingine kupitia mtandao. Madhumuni ya ngome ni kudhibiti utumaji wa pakiti za TCP/IP kati ya seva pangishi na mitandao.

TCP/IP ni seti ya itifaki na programu ambazo hufanya kazi tofauti kulingana na tabaka maalum za muundo wa Open Systems Interconnection (OSI). TCP/IP husambaza vizuizi vya data kwa uhuru kwenye mtandao katika mfumo wa pakiti, na kila safu ya muundo wa TCP/IP huongeza kichwa kwenye pakiti. Kulingana na teknolojia inayotumika, ngome huchakata maelezo yaliyomo kwenye vichwa hivi kwa madhumuni ya udhibiti wa ufikiaji. Ikiwa inaauni uwekaji mipaka wa programu kama lango la programu, basi udhibiti wa ufikiaji unaweza pia kufikiwa na data yenyewe iliyo katika kundi la pakiti.

Udhibiti wa mtiririko wa habari unajumuisha kuzichuja na kuzibadilisha kulingana na seti fulani ya sheria. Kwa kuwa uchujaji wa kisasa wa kuta za moto unaweza kufanywa katika viwango tofauti vya mfano wa kumbukumbu ya Uunganisho wa Mifumo ya Open (OSI), ni rahisi kuwakilisha firewall kama mfumo wa vichungi. Kila chujio, kulingana na uchambuzi wa data kupita kwa njia hiyo, hufanya uamuzi - kuruka zaidi, kutupa nyuma ya skrini, kuzuia au kubadilisha data (Mchoro 6.2).

Mtini.6.2 Mpango wa kuchuja katika ME.

Kazi muhimu ya ME ni ubadilishanaji wa taarifa za ukataji miti. Kudumisha kumbukumbu huruhusu msimamizi kutambua vitendo na makosa ya kutiliwa shaka katika usanidi wa ngome na kuamua kubadilisha sheria za ngome.

Uainishaji wa skrini

Uainishaji ufuatao wa ME unajulikana, kulingana na utendaji kazi katika viwango tofauti vya OSI:

· Skrini za daraja (OSI kiwango cha 2).

· Kuchuja vipanga njia (OSI ngazi 3 na 4).

· Milango ya kiwango cha kikao (OSI kiwango cha 5).

· Milango ya kiwango cha maombi (OSI kiwango cha 7).

· Skrini tata (OSI ngazi 3-7).

Mtini.6.3 OSI mfano

Bridge MEs

Aina hii ya ngome, inayofanya kazi katika safu ya 2 ya muundo wa OSI, pia inajulikana kama ngome za uwazi, ngome zilizofichwa, na ngome za kivuli. Meli zilizo na madaraja zilionekana hivi majuzi na zinawakilisha mwelekeo mzuri katika ukuzaji wa teknolojia za ngome. Wanachuja trafiki kwenye kiwango cha kiungo cha data, i.e. ME hufanya kazi na fremu. Faida za ME kama hizo ni pamoja na:

· Hakuna haja ya kubadilisha mipangilio ya mtandao wa shirika, hakuna usanidi wa ziada wa violesura vya mtandao wa ME unaohitajika.

· Utendaji wa juu. Kwa kuwa hizi ni vifaa rahisi, hazihitaji rasilimali nyingi. Rasilimali zinahitajika ili kuboresha uwezo wa mashine au kuchanganua data kwa undani zaidi.

· Uwazi. Ufunguo wa kifaa hiki ni uendeshaji wake katika Tabaka la 2 la mfano wa OSI. Hii ina maana kwamba interface ya mtandao haina anwani ya IP. Kipengele hiki ni muhimu zaidi kuliko urahisi wa usanidi. Bila anwani ya IP, kifaa hiki hakipatikani kwenye mtandao na hakionekani kwa ulimwengu wa nje. Ikiwa ME kama hiyo haipatikani, basi jinsi ya kuishambulia? Washambuliaji hawatajua hata kuwa kuna firewall inayokagua kila pakiti zao.

Vipanga njia vya chujio

Kipanga njia ni mashine inayosambaza pakiti kati ya mitandao miwili au zaidi. Kipanga njia cha kuchuja pakiti kimepangwa ili kulinganisha kila pakiti dhidi ya orodha ya sheria kabla ya kuamua kuisambaza au la.

Ngome ya kuchuja pakiti (ME yenye uchujaji wa pakiti)

Ngome huweka mitandao salama kwa kuchuja miunganisho ya mtandao kulingana na vichwa vya TCP/IP vya kila pakiti. Wanachunguza vichwa hivi na kuvitumia kuruhusu na kuelekeza pakiti hadi inapoenda, au kuizuia kwa kuitupa au kuikataa (yaani, kuangusha pakiti na kumjulisha mtumaji).

Vichungi vya pakiti hufanya tofauti kulingana na data ifuatayo:

· Anwani ya IP ya chanzo;

Anwani ya IP lengwa;

· itifaki ya mtandao inayotumika (TCP, UDP au ICMP);

· TCP au bandari chanzo cha UDP;

· TCP lengwa au bandari ya UDP;

· Aina ya ujumbe wa ICMP (ikiwa itifaki ni ICMP).

Kichujio kizuri cha pakiti pia kinaweza kutegemea taarifa isiyomo moja kwa moja kwenye kichwa cha pakiti, kama vile kiolesura ambacho pakiti inapokewa. Kimsingi, kichujio cha pakiti kina kiolesura kisichoaminika, au "chafu", seti ya vichungi, na kiolesura kinachoaminika. Upande "mchafu" unapakana na mtandao usioaminika na hupokea trafiki kwanza. Mara tu trafiki inapita ndani yake, inasindika kulingana na seti ya vichungi vinavyotumiwa na firewall (vichungi hivi huitwa sheria). Kulingana nao, trafiki inakubaliwa na kutumwa zaidi kupitia kiolesura cha "safi" hadi lengwa, au kudondoshwa au kukataliwa. Ambayo interface ni "chafu" na ambayo ni "safi" inategemea mwelekeo wa usafiri wa pakiti fulani (vichujio vya pakiti za ubora vinatumika kwa trafiki inayotoka na inayoingia).

Mikakati ya kutekeleza vichujio vya pakiti hutofautiana, lakini kuna mbinu za msingi za kufuata.

· Ujenzi wa sheria - kutoka maalum zaidi hadi ya jumla zaidi. Vichungi vingi vya pakiti hufanya usindikaji wa chini juu kwa kutumia seti za sheria na huacha wakati mechi inapopatikana. Kuingiza vichungi maalum zaidi juu ya seti ya sheria hufanya kuwa haiwezekani kwa sheria ya jumla kuficha sheria maalum chini ya seti ya kichujio.

· Kuweka sheria zinazotumika zaidi juu ya seti ya kichujio. Kutoroka pakiti huchukua sehemu kubwa ya wakati wa CPU, na. Kama ilivyotajwa hapo awali, kichungi cha pakiti huacha kusindika pakiti inapogundua kuwa inalingana na sheria. Kuweka sheria maarufu katika nafasi ya kwanza au ya pili, badala ya nafasi ya 30 au 31, huokoa muda wa CPU ambao ungehitajika kuchakata kundi la zaidi ya sheria 30. Wakati wa kuchakata maelfu ya pakiti kwa wakati inahitajika, kuokoa nguvu za CPU haipaswi kupuuzwa.

Kufafanua sheria maalum na sahihi za kuchuja pakiti ni mchakato mgumu sana. Faida na hasara za vichungi vya pakiti zinapaswa kutathminiwa. Hapa kuna faida kadhaa.

· Utendaji wa juu. Kuchuja kunaweza kufanywa kwa kasi ya mstari kulinganishwa na kasi ya wasindikaji wa kisasa.

· Malipo. Vichungi vya pakiti ni vya bei nafuu au hata bure. Routa nyingi zina uwezo wa kuchuja pakiti zilizojumuishwa kwenye mifumo yao ya kufanya kazi.

· Uwazi. Vitendo vya mtumiaji na programu hazihitaji kurekebishwa ili kuhakikisha kuwa pakiti zinapita kwenye kichujio cha pakiti.

· Uwezo mkubwa wa usimamizi wa trafiki. Vichungi vya pakiti rahisi vinaweza kutumika kuacha trafiki isiyohitajika kwenye mzunguko wa mtandao na kati ya subnets tofauti za ndani (kwa mfano, kutumia ruta za makali ili kuacha pakiti zilizo na anwani za chanzo zinazolingana na mtandao wa ndani (tunazungumza juu ya pakiti za spoofed), "faragha" Anwani za IP (RFC 1918) na vifurushi vya kunyongwa).

Hebu tuangalie hasara za filters za pakiti.

· Miunganisho ya moja kwa moja kati ya nodi zisizoaminika na nodi zinazoaminika zinaruhusiwa.

· Kiwango cha chini cha scalability. Kadiri seti za sheria zinavyokua, inazidi kuwa ngumu kuzuia miunganisho "isiyo ya lazima". Pamoja na ugumu wa sheria huja tatizo la scalability. Ikiwa huwezi kuchanganua sheria iliyowekwa ili kuona athari ya mabadiliko yako, utahitaji kurahisisha.

· Uwezo wa kufungua safu kubwa za bandari. Kutokana na hali ya mabadiliko ya baadhi ya itifaki, safu kubwa za milango lazima zifunguliwe ili itifaki zifanye kazi vizuri. Kesi mbaya zaidi hapa ni itifaki ya FTP. FTP inahitaji muunganisho unaoingia kutoka kwa seva hadi kwa mteja, na vichujio vya pakiti vitahitaji kufungua anuwai ya milango ili kuruhusu uhamishaji kama huo wa data.

· Kuathiriwa na mashambulizi ya uharibifu wa data. Mashambulizi ya kubadilisha data (kudanganya) kwa kawaida huhusisha kuambatisha taarifa za uongo kwenye kichwa cha TCP/IP. Mashambulizi yanayohusisha upotoshaji wa anwani za chanzo na pakiti za kuficha chini ya kivuli cha kuwa sehemu ya miunganisho iliyoanzishwa tayari ni ya kawaida.

Lango la Kikao

Lango la kiwango cha mzunguko ni ngome inayoondoa mwingiliano wa moja kwa moja kati ya mteja aliyeidhinishwa na mwenyeji wa nje. Kwanza hukubali ombi kutoka kwa mteja anayeaminika kwa huduma fulani na, baada ya kuthibitisha kwamba kipindi kilichoombwa ni halali, huanzisha muunganisho kwa seva pangishi ya nje.

Baada ya hayo, lango linakili tu pakiti kwa pande zote mbili bila kuzichuja. Katika kiwango hiki, inawezekana kutumia kazi ya kutafsiri anwani ya mtandao (NAT, tafsiri ya anwani ya mtandao). Tafsiri ya anwani ya ndani inafanywa kuhusiana na pakiti zote zinazosafiri kutoka mtandao wa ndani hadi wa nje. Kwa pakiti hizi, anwani za IP za kompyuta zinazotuma kwenye mtandao wa ndani hubadilishwa moja kwa moja kuwa anwani moja ya IP inayohusishwa na ngome ya ulinzi. Matokeo yake, pakiti zote zinazotoka kwenye mtandao wa ndani zinatumwa na firewall, ambayo huondoa mawasiliano ya moja kwa moja kati ya mitandao ya ndani na nje. Anwani ya IP ya lango la safu ya kipindi inakuwa anwani ya IP pekee inayotumika inayofikia mtandao wa nje.

Sifa za kipekee:

· Inafanya kazi katika kiwango cha 4.

· Husambaza miunganisho ya TCP kulingana na bandari.

· Gharama nafuu lakini salama zaidi kuliko chujio cha pakiti.

· Kwa ujumla huhitaji mtumiaji au programu ya usanidi kufanya kazi kikamilifu.

· Mfano: Ngome ya SOCKS.

Lango la Maombi

Lango la kiwango cha programu - ngome ambayo huondoa mwingiliano wa moja kwa moja kati ya mteja aliyeidhinishwa na seva pangishi ya nje kwa kuchuja pakiti zote zinazoingia na zinazotoka katika kiwango cha utumizi cha muundo wa OSI.

Programu za vifaa vya kati vinavyohusiana na programu husambaza habari zinazotolewa na huduma mahususi za TCP/IP kupitia lango.

Uwezekano:

· Utambulisho na uthibitishaji wa watumiaji wakati wa kujaribu kuanzisha muunganisho kupitia ME;

· Kuchuja mtiririko wa ujumbe, kwa mfano, uchanganuzi wa virusi unaobadilika na usimbaji fiche wa habari kwa uwazi;

· Usajili wa hafla na mwitikio wa hafla;

· Uhifadhi wa data ulioombwa kutoka kwa mtandao wa nje.

Katika kiwango hiki, inawezekana kutumia vitendaji vya upatanishi (Proksi).

Kwa kila itifaki ya safu ya programu iliyojadiliwa, unaweza kuingiza waamuzi wa programu - mpatanishi wa HTTP, mpatanishi wa FTP, nk. Wakala wa kila huduma ya TCP/IP amejikita katika kuchakata ujumbe na kutekeleza majukumu ya usalama mahususi kwa huduma hiyo. Kama vile lango la kiwango cha kipindi, lango la programu hunasa pakiti zinazoingia na zinazotoka kwa kutumia mawakala wanaofaa wa kukagua, kunakili na kusambaza taarifa kupitia lango, na hufanya kazi kama seva ya mpatanishi, ikiondoa miunganisho ya moja kwa moja kati ya mitandao ya ndani na nje. Hata hivyo, seva mbadala zinazotumiwa na lango la programu hutofautiana kwa njia muhimu na seva mbadala za idhaa za lango la kipindi. Kwanza, proksi za lango la programu huhusishwa na seva za programu mahususi za programu), na pili, zinaweza kuchuja mtiririko wa ujumbe kwenye safu ya programu ya modeli ya OSI.

Sifa za kipekee:

· Inafanya kazi katika kiwango cha 7.

· Maombi maalum.

· Ghali kiasi na polepole, lakini ni salama zaidi na huruhusu shughuli za mtumiaji kuandikishwa.

· Inahitaji mtumiaji au programu ya usanidi kufanya kazi kikamilifu.

· Mfano: Wakala wa Wavuti (http)

Kiwango cha mtaalam wa ME

Ngome ya ukaguzi wa hali ya juu ni ngome ya kiwango cha utaalamu ambayo hukagua yaliyomo kwenye pakiti zilizopokewa katika viwango vitatu vya modeli ya OSI: mtandao, kipindi na matumizi. Kazi hii hutumia algoriti maalum za kuchuja pakiti zinazolinganisha kila pakiti na muundo unaojulikana wa pakiti zilizoidhinishwa.

Sifa za kipekee:

· Uchujaji wa viwango 3.

· Ukaguzi wa usahihi katika kiwango cha 4.

· Ukaguzi wa kiwango cha 5.

· Viwango vya juu vya gharama, usalama na utata.

· Mfano: CheckPoint Firewall-1.

Baadhi ya ukuta wa kisasa wa moto hutumia mchanganyiko wa njia zilizo hapo juu na hutoa mbinu za ziada za kulinda mitandao na mifumo yote.

"Binafsi" MIMI

Aina hii ya ngome huruhusu usalama kupanuliwa zaidi kwa kuruhusu udhibiti wa aina gani za kazi za mfumo au michakato inayopata rasilimali za mtandao. Ngome hizi zinaweza kutumia aina tofauti za saini na masharti ili kuruhusu au kukataa trafiki. Hapa kuna baadhi ya vipengele vya kawaida vya ME binafsi:

· Uzuiaji wa kiwango cha programu - ruhusu programu au maktaba fulani tu kufanya vitendo vya mtandao au kukubali miunganisho inayoingia.

· Uzuiaji unaotegemea saini – fuatilia trafiki ya mtandao kila mara na uzuie mashambulizi yote yanayojulikana. Udhibiti wa ziada huongeza utata wa usimamizi wa usalama kutokana na uwezekano wa idadi kubwa ya mifumo ambayo inaweza kulindwa na ngome ya kibinafsi. Pia huongeza hatari ya uharibifu na mazingira magumu kutokana na usanidi mbaya.

Nguvu MIMI

Ngome zenye nguvu huchanganya ngome za kawaida (zilizoorodheshwa hapo juu) na mbinu za kugundua uingiliaji ili kutoa uzuiaji wa hewani wa miunganisho ya mtandao ambayo inalingana na sahihi maalum, huku ikiruhusu miunganisho kutoka kwa vyanzo vingine hadi mlango sawa. Kwa mfano, unaweza kuzuia shughuli za minyoo ya mtandao bila kuharibu trafiki ya kawaida.

Michoro ya unganisho la ME:

· Mpango wa umoja wa ulinzi wa mtandao wa ndani

· Mpango wa neti zilizofungwa zilizofungwa na zisizolindwa

· Mpango na ulinzi tofauti wa subnets kufungwa na wazi.

Suluhisho rahisi zaidi ni kwamba ngome hulinda tu mtandao wa ndani kutoka kwa wa kimataifa. Wakati huo huo, seva ya WWW, seva ya FTP, seva ya barua na seva zingine pia zinalindwa na firewall. Katika kesi hiyo, ni muhimu kulipa kipaumbele kikubwa ili kuzuia kupenya kwenye vituo vya ulinzi vya mtandao wa ndani kwa kutumia seva za WWW zinazopatikana kwa urahisi.

Mtini.6.4 Mpango wa ulinzi wa mtandao wa ndani uliounganishwa

Ili kuzuia upatikanaji wa mtandao wa ndani kwa kutumia rasilimali za seva za WWW, inashauriwa kuunganisha seva za umma mbele ya firewall. Njia hii ina usalama wa juu kwa mtandao wa ndani, lakini kiwango cha chini cha usalama kwa seva za WWW na FTP.

Mtini. 6.5 Mchoro wa nyavu zilizofungwa zilizofungwa na zisizolindwa

Taarifa zinazohusiana.

Mtandao unahitaji ulinzi dhidi ya vitisho vya nje. Wizi wa data, ufikiaji na uharibifu usioidhinishwa unaweza kuathiri utendakazi wa mtandao na kusababisha hasara kubwa. Tumia programu na vifaa maalum ili kujikinga na mvuto wa uharibifu. Katika tathmini hii tutazungumzia kuhusu firewall na kuangalia aina zake kuu.

Kusudi la ukuta wa moto

Firewalls (Firewalls) au ngome ni hatua za maunzi na programu ili kuzuia ushawishi mbaya kutoka nje. Ngome hufanya kazi kama kichujio: kutoka kwa mtiririko mzima wa trafiki, trafiki inayoruhusiwa pekee ndiyo inayopepetwa. Huu ni mstari wa kwanza wa ulinzi kati ya mitandao ya ndani na ya nje, kama vile Mtandao. Teknolojia hiyo imetumika kwa miaka 25.

Haja ya ukuta wa moto iliibuka wakati ikawa wazi kuwa kanuni ya uunganisho kamili wa mtandao haifanyi kazi tena. Kompyuta zilianza kuonekana sio tu katika vyuo vikuu na maabara. Pamoja na kuenea kwa Kompyuta na Mtandao, ikawa muhimu kutenganisha mitandao ya ndani kutoka kwa nje isiyo salama ili kujikinga na wavamizi na kulinda kompyuta yako kutokana na utapeli.

Ili kulinda mtandao wa ushirika, firewall ya vifaa imewekwa - hii inaweza kuwa kifaa tofauti au sehemu ya router. Walakini, mazoezi haya hayatumiki kila wakati. Njia mbadala ni kufunga firewall ya programu kwenye kompyuta ambayo inahitaji ulinzi. Mfano ni firewall iliyojengwa kwenye Windows.

Inaleta maana kutumia ngome ya programu kwenye kompyuta ya mkononi ya kampuni unayotumia kwenye mtandao salama wa kampuni. Nje ya kuta za shirika, unajikuta katika mazingira yasiyolindwa - firewall iliyowekwa itakulinda kwenye safari za biashara, wakati wa kufanya kazi katika mikahawa na migahawa.

Inafanyaje kazi firewall

Uchujaji wa trafiki hufanyika kulingana na sheria za usalama zilizowekwa hapo awali. Kwa kusudi hili, meza maalum imeundwa ambapo maelezo ya data ambayo yanakubalika na yasiyokubalika kwa maambukizi yanaingizwa. Firewall hairuhusu trafiki ikiwa moja ya sheria za kuzuia kutoka kwa meza husababishwa.

Firewalls zinaweza kukataa au kuruhusu ufikiaji kulingana na vigezo tofauti: anwani za IP, majina ya kikoa, itifaki na nambari za bandari, pamoja na mchanganyiko wao.

• Anwani za IP. Kila kifaa kinachotumia itifaki ya IP kina anwani ya kipekee. Unaweza kubainisha anwani au masafa mahususi ili kusimamisha majaribio ya kupokea pakiti. Au kinyume chake - toa ufikiaji tu kwa mduara fulani wa anwani za IP.
• Bandari. Hizi ndizo pointi zinazopa programu ufikiaji wa miundombinu ya mtandao. Kwa mfano, itifaki ya ftp hutumia port 21, na port 80 inakusudiwa kwa programu zinazotumika kuvinjari tovuti. Hii inatupa uwezo wa kuzuia ufikiaji wa programu na huduma fulani.
• Jina la kikoa. Anwani ya rasilimali ya mtandao pia ni kigezo cha kuchuja. Unaweza kuzuia trafiki kutoka kwa tovuti moja au zaidi. Mtumiaji atalindwa dhidi ya maudhui yasiyofaa, na mtandao dhidi ya madhara mabaya.
• Itifaki. Firewall imesanidiwa ili kuruhusu trafiki ya itifaki moja au kuzuia ufikiaji kwa mojawapo yao. Aina ya itifaki inaonyesha seti ya vigezo vya usalama na kazi ambayo programu hutumia hufanya.

Aina za ITU

1. Seva ya wakala

Mmoja wa waanzilishi wa ITU, ambayo hufanya kama lango la matumizi kati ya mitandao ya ndani na nje. Seva za seva mbadala zina vipengele vingine, ikiwa ni pamoja na ulinzi wa data na uakibishaji. Kwa kuongeza, hawaruhusu uhusiano wa moja kwa moja kutoka nje ya mipaka ya mtandao. Kutumia vipengele vya ziada kunaweza kuweka mkazo usiofaa kwenye utendaji na kupunguza utumaji.

2. Firewall na ufuatiliaji wa hali ya kikao

Skrini zilizo na uwezo wa kufuatilia hali ya vikao tayari ni teknolojia iliyoanzishwa. Uamuzi wa kukubali au kuzuia data huathiriwa na hali, bandari na itifaki. Matoleo hayo hufuatilia shughuli zote mara baada ya kufunguliwa kwa muunganisho hadi kufungwa. Mfumo huamua kuzuia trafiki au la, kwa kuzingatia sheria na muktadha uliowekwa na msimamizi. Katika kesi ya pili, data ambayo ITU ilitoa kutoka kwa viunganisho vya zamani inazingatiwa.

3. Udhibiti wa tishio wa ITU (UTM)

Kifaa tata. Kama sheria, firewall kama hiyo hutatua shida 3:

• wachunguzi wa hali ya kikao;
• huzuia kuingilia;
• hufanya skanning ya kupambana na virusi.

Wakati mwingine ngome zilizoboreshwa hadi toleo la UTM zinajumuisha utendaji mwingine, kwa mfano: usimamizi wa wingu.

4. Ukuta wa Kizazi Kijacho (NGFW)

Jibu kwa vitisho vya kisasa. Wavamizi wanaendelea kutengeneza teknolojia za kushambulia, kutafuta udhaifu mpya, kuboresha programu hasidi na kuifanya iwe vigumu kuzima mashambulizi ya kiwango cha programu. Firewall kama hiyo sio tu huchuja pakiti na kufuatilia hali ya vikao. Ni muhimu katika kudumisha usalama wa habari kutokana na vipengele vifuatavyo:

• kwa kuzingatia vipengele vya maombi, ambayo inafanya uwezekano wa kutambua na kubadilisha programu mbaya;
• ulinzi dhidi ya mashambulizi yanayoendelea kutoka kwa mifumo iliyoambukizwa;
• hifadhidata iliyosasishwa ambayo ina maelezo ya programu na vitisho;
• Kufuatilia trafiki ambayo imesimbwa kwa njia fiche kwa kutumia itifaki ya SSL.

5. Firewall ya kizazi kipya yenye ulinzi wa tishio unaotumika

Aina hii ya ngome ni toleo lililoboreshwa la NGFW. Kifaa hiki husaidia kulinda dhidi ya vitisho vya hali ya juu. Utendaji wa ziada unaweza:

• kuzingatia muktadha na kutambua rasilimali ambazo ziko hatarini zaidi;
• haraka kurudisha mashambulizi kwa njia ya otomatiki ya usalama, ambayo inasimamia kwa uhuru ulinzi na kuweka sera;
• kutambua shughuli za kuvuruga au tuhuma kwa kutumia uunganisho wa matukio kwenye mtandao na kwenye kompyuta;

Toleo hili la ngome ya NGFW linatanguliza sera zilizounganishwa ambazo hurahisisha sana usimamizi.

Hasara za ITU

Firewalls hulinda mtandao dhidi ya wavamizi. Hata hivyo, unahitaji kuchukua usanidi wao kwa uzito. Kuwa mwangalifu: ikiwa utafanya makosa wakati wa kusanidi vigezo vya ufikiaji, utasababisha madhara na firewall itaacha trafiki muhimu na isiyo ya lazima, na mtandao hautafanya kazi.

Kutumia firewall kunaweza kusababisha kupungua kwa utendaji wa mtandao. Kumbuka kwamba wanazuia trafiki yote inayoingia kwa ukaguzi. Mtandao unapokuwa mkubwa, kujaribu kwa bidii sana kutekeleza usalama na kuanzisha sheria zaidi kutasababisha mtandao kuwa polepole.

Mara nyingi, firewall pekee haitoshi kupata kabisa mtandao kutoka kwa vitisho vya nje. Kwa hivyo, hutumiwa kwa kushirikiana na programu zingine, kama vile antivirus.

Maagizo

Nenda kwenye menyu kuu ya Mwanzo ya mfumo wa uendeshaji wa Windows. Chagua sehemu ya "Jopo la Kudhibiti" na uende kwenye kipengee cha "Windows Firewall". Unaweza pia kuendesha usanidi wake kutoka kwa mstari wa amri kwa kuingia maandishi yafuatayo: "control.exe / jina Microsoft.WindowsFirewall".

Angalia dirisha linalofungua. Upande wa kushoto kuna jopo linalojumuisha sehemu kadhaa zinazohusika na mipangilio mbalimbali ya firewall skrini A. Nenda kwenye vichupo vya "Wasifu wa Umma" na "Wasifu wa Kibinafsi", ambapo karibu na uandishi "Miunganisho inayotoka" unahitaji kufuta chaguo la "Kuzuia". Bonyeza vifungo vya "Weka" na "Sawa", kisha funga dirisha. Baada ya hayo, unaweza kuanza kuanzisha upatikanaji wa mtandao kwa huduma mbalimbali na programu zilizowekwa kwenye kompyuta yako binafsi.

Nenda kwenye kichupo cha "Mipangilio ya Juu" ili kuzindua ngome skrini katika hali ya usalama iliyoimarishwa. Dirisha linaloonekana lina upau wa vidhibiti na sehemu tatu. Chagua sehemu ya "Kanuni za miunganisho inayotoka" kwenye uwanja wa kushoto, kisha angalia "Unda sheria" kwenye uwanja wa kulia. Hii itafungua Mchawi wa Uundaji wa Sheria.

Chagua aina ya sheria unayotaka kuongeza kwenye mipangilio yako ya ngome skrini A. Unaweza kuchagua kwa viunganisho vyote vya kompyuta au kusanidi programu maalum kwa kutaja njia yake. Bonyeza kitufe cha "Next" kwenda kwenye kipengee cha "Programu", ambayo tunataja tena njia ya programu.

Nenda kwa Hatua. Hapa unaweza kuruhusu muunganisho au kuuzuia. Unaweza pia kuanzisha muunganisho salama, ambao utaangaliwa kwa kutumia IPSec. Wakati huo huo, kwa kubofya kitufe cha "Customize", unaweza kuweka sheria zako mwenyewe. Baada ya hayo, taja "Wasifu" kwa sheria yako na uje na jina lake. Bofya kitufe cha "Nimemaliza" ili kuhifadhi mipangilio yako.

Kiwango cha kumeta wakati skrini imewashwa inategemea vigezo vilivyowekwa kwa kasi ya kuonyesha upya picha kwenye kifuatiliaji. Dhana ya "kiwango cha upya" inatumika kwa wachunguzi wa taa; kwa wachunguzi wa LCD, mipangilio hii sio muhimu. Skrini ya wachunguzi wengi wa taa inasasishwa mara moja kwa dakika. Ikiwa mipangilio hii haikufaa, ondoa kupepesa skrini kwa kufuata hatua kadhaa.

Maagizo

Piga kipengele cha Skrini. Ili kufanya hivyo, fungua "Jopo la Kudhibiti" kupitia menyu ya "Anza". Katika kitengo cha "Muundo na Mandhari", bofya kushoto kwenye ikoni ya "Skrini" au uchague kazi yoyote inayopatikana juu ya dirisha. Ikiwa Paneli ya Kudhibiti kwenye kompyuta yako ina mwonekano wa kawaida, chagua ikoni unayotafuta mara moja.

Kuna njia nyingine: bonyeza-kulia kwenye sehemu yoyote ya "Desktop" isiyo na faili na folda. Katika orodha ya kushuka, chagua "Mali" kwa kubofya kushoto juu yake. Kisanduku kipya cha mazungumzo cha "Sifa za Kuonyesha" kitafunguliwa.

Katika dirisha linalofungua, nenda kwenye kichupo cha "Chaguo" na ubofye kitufe cha "Advanced" kilicho chini ya dirisha. Kitendo hiki kitaleta kisanduku cha mazungumzo cha "Sifa: Fuatilia moduli ya muunganisho na [jina la kadi yako ya video]".

Katika dirisha jipya, nenda kwenye kichupo cha "Monitor" na uangalie kisanduku karibu na "Ficha njia ambazo mfuatiliaji hawezi kutumia." Hii itakusaidia kuepuka matatizo iwezekanavyo: ikiwa skrini imewekwa vibaya, picha ya mfuatiliaji inaweza kuwa thabiti. Pia, mzunguko uliochaguliwa vibaya unaweza kusababisha malfunction ya vifaa.

Kwa kutumia orodha kunjuzi katika sehemu ya "Fuatilia Mipangilio", weka sehemu ya "Kiwango cha Kuonyesha upya" ili skrini»thamani unayohitaji. Kiwango cha kuonyesha upya kiko juu skrini, chini ya kufuatilia flickers. Masafa chaguomsingi ni 100 Hz, ingawa kichunguzi chako kinaweza kutumia masafa tofauti. Angalia habari hii kwenye nyaraka au kwenye tovuti ya mtengenezaji.

Baada ya kufanya mabadiliko muhimu, bofya kitufe cha "Weka" kwenye dirisha la mali ya kufuatilia. Unapoulizwa kuthibitisha mipangilio mipya, jibu ndiyo. Bofya kwenye kitufe cha OK. Utabaki na dirisha moja la "Sifa: Skrini". Ifunge kwa kutumia kitufe cha Sawa au ikoni ya [x] kwenye kona ya juu kulia ya dirisha.

Ikiwa wakati wa kubadilisha kiwango cha kuonyesha upya skrini kuonekana kwa desktop itabadilika, iliyowekwa kwenye dirisha la mali skrini azimio ambalo ni rahisi kusoma, bofya kitufe cha "Weka" na ufunge dirisha. Kurekebisha ukubwa wa eneo la kazi kwenye skrini kwa kutumia vifungo vya kurekebisha kwenye mwili wa kufuatilia. Usisahau kubofya kitufe cha "Degauss" mwishoni.

Kazi ya mtandao skrini, au firewall, imeundwa kudhibiti uendeshaji wa programu kwenye mtandao na kulinda mfumo wa uendeshaji na data ya mtumiaji kutokana na mashambulizi ya nje. Kuna programu nyingi zilizo na kazi zinazofanana, na hazifanyi kazi kila wakati. Ili kuangalia ubora wa mtandao wako skrini na, tumia programu ya 2ip Firewall Tester.

Maagizo

Kwa kutumia injini ya utafutaji, pata kiungo cha kupakua cha matumizi ya 2ip Firewall Tester. Angalia faili zilizopakuliwa na programu ya antivirus na uendesha programu. Kama sheria, programu lazima iwekwe kwenye gari ngumu ya kompyuta. Baada ya hapo njia ya mkato itaonekana kwenye desktop ambayo unaweza kuizindua.

Dirisha la programu ni rahisi sana na lina mstari wa ujumbe na vifungo viwili Msaada na Mtihani. Hakikisha kompyuta yako ina ufikiaji wa Mtandao na ubofye kitufe cha Jaribio. Huduma itajaribu kuwasiliana na seva ya nje. Ikiwa muunganisho umeanzishwa (ujumbe unaonekana kwa herufi nyekundu), basi firewall yako haifanyi kazi. Inafaa pia kuzingatia kuwa programu hii nyingi imewekwa kwa chaguo-msingi na kiolesura cha Kiingereza. Ili kubadilisha kwa Kirusi, nenda kwenye mipangilio ya programu. Usisahau kuhifadhi mabadiliko yote ambayo yamefanywa katika programu.

Ikiwa unganisho hauwezi kuanzishwa na mpango wa lango skrini na kutoa ombi la kuruhusu muunganisho huu, ambayo ina maana kwamba ngome inafanya kazi. Ruhusu tufanye muunganisho wa mara moja. Kwa ukaguzi changamano zaidi wa ngome, badilisha faili ya uzinduzi wa huduma ya 2ip Firewall Tester kwa jina la programu ambayo ufikiaji wa mtandao unajulikana kuruhusiwa. Kwa mfano, Internet Explorer. Ili kufanya hivyo, taja huduma iexplore.exe, iendesha tena na ubofye kitufe cha Mtihani. Ikiwa uunganisho umeanzishwa, basi kazi yako ya mtandao skrini ina kiwango cha chini cha ulinzi.

Ikiwa uunganisho haujaanzishwa, basi mpango wako wa lango skrini na hufanya kazi zake kwa pointi tano. Unaweza kuvinjari tovuti kwa usalama kwenye mtandao, kwa sababu kompyuta yako ya kibinafsi inalindwa kwa uaminifu kutokana na vitisho mbalimbali. Kama sheria, programu kama hiyo ina mipangilio rahisi katika mfumo.

Video kwenye mada

Wakati mwingine, ukikaa kwenye kompyuta, unaweza kuona kwamba picha kwenye skrini inatetemeka, "inaelea" kwa njia ya pekee, au huanza kuonekana bila kutarajia. Tatizo hili limeenea. Lakini sababu zake ni tofauti. Inafaa kufikiria kwa nini skrini inatetemeka.

Mara nyingi, sababu ya skrini ya kutetemeka ni uwepo wa chanzo cha kubadilisha shamba za umeme kwenye chumba cha kazi au ghorofa. Hii inaweza kuangaliwa kwa urahisi sana kwa kusonga mfuatiliaji. Ikiwa itaacha, basi tatizo linahusiana hasa na mashamba ya umeme. Vyanzo vyao vya kazi ni mitambo mbalimbali ya umeme, vituo vya transfoma, na njia za umeme. Huko nyumbani, hubadilishwa na TV, jokofu, tanuri ya microwave na vifaa vingine vya nyumbani.

Sababu ya pili ya kawaida ya skrini inayotetemeka ni ugavi wa kutosha wa umeme kwa mfuatiliaji. Kama sheria, mfuatiliaji ameunganishwa na majaribio, ambayo, pamoja na yenyewe, pia "huwezesha" kitengo cha mfumo, modem, TV, chandelier na mengi zaidi, kulingana na ladha ya mtumiaji. Inastahili kujaribu kuzima baadhi ya vifaa hivi na uone ikiwa jitter ya picha kwenye kufuatilia imepungua. Ikiwa sio, basi labda shida iko katika majaribio yenyewe, kwa njia ya kuchuja umeme. Unaweza kujaribu kubadilisha tu.

Sababu ndogo ya kawaida (ingawa ndiyo inayokuja akilini mara nyingi) ni shida ndani ya mfuatiliaji yenyewe, kwa mfano, skana iliyovunjika au shida na usambazaji wake wa nguvu. Katika hali kama hizi, ni bora kwa mtumiaji asiye na uzoefu asipande ndani ya mfuatiliaji. Suluhisho bora katika hali hii itakuwa kuwasiliana na wataalamu waliohitimu.

Wakati mwingine matatizo yaliyo hapo juu yanaweza kusababishwa na kiwango cha chini cha kuonyesha upya skrini. Kwa chaguo-msingi, baadhi ya wachunguzi wana mzunguko uliowekwa kuwa karibu 60 Hz. Hii haifanyi tu kutikisika kwa skrini ionekane, lakini pia ni hatari sana kwa macho yako. Kwa hiyo, ni thamani ya kutumia "Jopo la Kudhibiti" ili kupata kipengee cha menyu ya "Screen" na kuweka mzunguko huko hadi 75 Hz. Kwa mzunguko huu, mtikiso wa skrini unaweza kutoweka kabisa.

Makini: tunarekodi!

Ili kuchukua picha ya skrini, uzindua programu kwenye kompyuta yako kwa kubofya njia ya mkato kwenye eneo-kazi (kawaida huundwa kiotomatiki wakati wa mchakato wa usakinishaji) au kwa kuipata kwenye orodha ya programu (kupitia kitufe cha "Anza"). Baada ya hayo, katika dirisha la kazi linalofungua, chagua kazi unayohitaji. Katika programu hii, unaweza kukamata skrini: skrini nzima, kipengele cha dirisha, dirisha la kusogeza, eneo lililochaguliwa, eneo lililowekwa, eneo la nasibu, au kuchukua picha ya skrini kutoka kwa uteuzi uliopita.

Upau wa zana pia hufungua unapobofya kitufe cha "Faili" kwenye orodha kuu ya programu.

Kutoka kwa majina ya chaguo ni wazi ni sehemu gani ya dirisha la kazi itasisitizwa wakati wa mchakato wa kuchukua skrini. Unaweza kuchukua picha ya skrini nzima au sehemu yake yoyote kwa mbofyo mmoja. Pia hapa unaweza kuweka eneo maalum au sehemu ya skrini ambayo itafanana na vigezo vilivyoainishwa hapo awali. Kwa ujumla, unaweza kupiga skrini kila kitu.

Kwa kuongeza, programu ina orodha ndogo ya zana muhimu kwa usindikaji wa picha: palette ya rangi, dirisha la ukuzaji, mtawala, ambayo unaweza kuhesabu umbali kutoka kwa hatua moja hadi nyingine kwa usahihi wa milimita, protractor, kuingiliana, na hata. bodi ya slate, ambayo inakuwezesha kufanya maelezo na michoro moja kwa moja kwenye skrini.

Ili kufanya vitendo zaidi, bofya kitufe cha "Kuu", baada ya hapo paneli ya ziada yenye seti maalum ya zana itaonekana kwenye skrini. Kwa msaada wao, unaweza kupunguza picha, kuweka ukubwa wake, kuonyesha sehemu fulani na rangi, maandishi ya juu, chagua font na kujaza rangi.

Kitufe cha "Angalia" kwenye menyu kuu hukuruhusu kubadilisha kiwango, fanya kazi na mtawala, na ubinafsishe mwonekano wa hati zilizoonyeshwa: kuteleza, mosaic.

Baada ya kuchukua picha ya skrini, bofya kitufe cha "Faili" kwenye upau wa juu wa programu na uchague chaguo la "Hifadhi Kama" kwenye dirisha kunjuzi. Baada ya hayo, dirisha la ziada litafungua upande wa kulia ambao utahitaji kuchagua aina ya faili: PNG, BMP, JPG, GIF, PDF. Kisha kilichobaki ni kutaja folda ambayo faili itahifadhiwa.

mtandao iliyoundwa kuzuia trafiki yote isipokuwa data iliyoidhinishwa. Hii inatofautiana na router, ambayo kazi yake ni kutoa trafiki kwa marudio yake haraka iwezekanavyo.

Kuna maoni kwamba router pia inaweza kucheza nafasi ya firewall. Hata hivyo, kuna tofauti moja ya msingi kati ya vifaa hivi: router imeundwa kwa njia ya haraka ya trafiki, si kuizuia. Firewall ni kifaa cha usalama kinachoruhusu trafiki fulani kutoka kwa mkondo wa data, na kipanga njia ni kifaa cha mtandao ambacho kinaweza kusanidiwa ili kuzuia trafiki fulani.

Kwa kuongeza, firewalls kawaida huwa na mipangilio mbalimbali. Njia ya trafiki kwenye firewall inaweza kusanidiwa na huduma, anwani za IP za mtumaji na mpokeaji, na kwa vitambulisho vya watumiaji wanaoomba huduma. Firewalls kuruhusu kati usimamizi wa usalama. Katika usanidi mmoja, msimamizi anaweza kusanidi trafiki inayoruhusiwa inayoruhusiwa kwa mifumo yote ya ndani katika shirika. Hii haiondoi hitaji la kusasisha na kusanidi mifumo, lakini inapunguza uwezekano wa mfumo mmoja au zaidi kusanidiwa vibaya na kuangazia mifumo hiyo kushambuliwa kwa huduma iliyosanidiwa vibaya.

Kufafanua Aina za Firewall

Kuna aina mbili kuu za ngome: ngome za kiwango cha programu na ngome za kiwango cha matumizi. kuchuja pakiti. Zinatokana na kanuni tofauti za uendeshaji, lakini zinapoundwa kwa usahihi, aina zote mbili za vifaa hutoa kazi sahihi za usalama za kuzuia trafiki iliyopigwa marufuku. Kama utaona katika sehemu zifuatazo, kiwango cha ulinzi wa vifaa hivi inategemea jinsi vinatumika na kusanidiwa.

Firewalls za Tabaka la Maombi

Ngome za safu ya programu, au skrini za seva mbadala, ni vifurushi vya programu kulingana na uendeshaji mifumo ya madhumuni ya jumla(kama vile Windows NT na Unix) au kwenye majukwaa ya maunzi ya ngome. Firewall ina miingiliano kadhaa, moja kwa kila moja ya mitandao ambayo imeunganishwa. Seti ya sheria za sera huamua jinsi trafiki inavyohamishwa kutoka mtandao mmoja hadi mwingine. Ikiwa sheria hairuhusu kwa uwazi trafiki kupita, firewall anakataa au kutupa pakiti.

Kanuni za Sera ya Usalama zinaimarishwa kupitia matumizi ya moduli za ufikiaji. Katika ngome ya safu ya programu, kila itifaki inayoruhusiwa lazima iwe na moduli yake ya ufikiaji. Moduli bora za ufikiaji ni zile ambazo zimeundwa mahsusi kwa ajili ya itifaki kutatuliwa. Kwa mfano, sehemu ya ufikiaji wa FTP inalenga itifaki ya FTP na inaweza kubainisha ikiwa trafiki inayopita inapatana na itifaki hiyo na ikiwa trafiki hiyo inaruhusiwa na sheria za sera za usalama.

Unapotumia ngome ya safu ya programu, viunganisho vyote hupitia (ona Mchoro 10.1). Kama inavyoonyeshwa kwenye takwimu, unganisho huanza kwenye mfumo wa mteja na huenda kwenye kiolesura cha ndani cha ngome. Firewall inakubali muunganisho, inachanganua yaliyomo kwenye pakiti na itifaki iliyotumiwa, na kubaini ikiwa trafiki inatii sheria za sera ya usalama. Ikiwa ndivyo, basi firewall huanzisha muunganisho mpya kati ya kiolesura chake cha nje na mfumo wa seva.

Ngome za safu ya programu hutumia moduli za ufikiaji zinazoingia miunganisho. Moduli Udhibiti wa ufikiaji katika ngome hukubali muunganisho unaoingia na kuchakata amri kabla ya kutuma trafiki kwa mpokeaji. Hivyo, firewall Hulinda mifumo dhidi ya mashambulizi ya programu.

Mchele. 10.1.

Kumbuka

Hii inadhania kuwa moduli ya ufikiaji wa ngome yenyewe haiwezi kushambuliwa. Kama programu haijaendelezwa kwa uangalifu, inaweza kuwa taarifa ya uwongo.

Faida ya ziada ya aina hii ya usanifu ni kwamba inafanya kuwa vigumu sana, ikiwa haiwezekani, "kujificha" trafiki ndani ya huduma nyingine. Kwa mfano, baadhi ya programu za udhibiti wa mfumo kama vile NetBus na

Kuna aina kadhaa za firewall kulingana na sifa zifuatazo:

ikiwa ngao hutoa uhusiano kati ya nodi moja na mtandao au kati ya mitandao miwili au zaidi tofauti;

ikiwa udhibiti wa mtiririko wa data hutokea kwenye safu ya mtandao au viwango vya juu vya mfano wa OSI;

ikiwa hali za miunganisho amilifu zinafuatiliwa au la.

Kulingana na chanjo ya mtiririko wa data unaodhibitiwa, ukuta wa moto umegawanywa katika:

mtandao wa jadi (au firewall) - mpango (au sehemu muhimu ya mfumo wa uendeshaji) kwenye lango (kifaa kinachopitisha trafiki kati ya mitandao) au suluhisho la maunzi linalodhibiti mtiririko wa data zinazoingia na zinazotoka kati ya mitandao iliyounganishwa (vitu vya mtandao vilivyosambazwa) ;

firewall ya kibinafsi ni programu iliyowekwa kwenye kompyuta ya mtumiaji na iliyoundwa kulinda kompyuta hii tu kutoka kwa ufikiaji usioidhinishwa.

Kulingana na kiwango cha OSI ambacho udhibiti wa ufikiaji hutokea, ngome zinaweza kufanya kazi kwa:

kiwango cha mtandao, wakati kuchuja hutokea kulingana na anwani za mtumaji na mpokeaji wa pakiti, namba za bandari za safu ya usafiri ya mfano wa OSI na sheria za tuli zilizotajwa na msimamizi;

ngazi ya kikao(pia inajulikana kama ya serikali), wakati vikao kati ya programu vinafuatiliwa na pakiti zinazokiuka vipimo vya TCP/IP hazijapitishwa, mara nyingi hutumiwa katika shughuli mbaya - skanning ya rasilimali, udukuzi kupitia utekelezaji usio sahihi wa TCP/IP, miunganisho iliyoshuka/polepole, sindano ya data;

kiwango cha maombi(au kiwango cha maombi), wakati uchujaji unafanywa kulingana na uchambuzi wa data ya maombi iliyopitishwa ndani ya pakiti. Aina hizi za skrini hukuruhusu kuzuia utumaji wa maelezo yasiyotakikana na yanayoweza kudhuru kulingana na sera na mipangilio.

Kuchuja kwenye kiwango cha mtandao

Kuchuja kwa pakiti zinazoingia na zinazotoka hufanyika kwa kuzingatia taarifa zilizomo katika nyanja zifuatazo za vichwa vya TCP na IP vya pakiti: anwani ya IP ya mtumaji; Anwani ya IP ya mpokeaji; bandari ya mtumaji; bandari ya mpokeaji.

Kuchuja kunaweza kutekelezwa kwa njia mbalimbali za kuzuia miunganisho kwenye kompyuta au bandari maalum. Kwa mfano, unaweza kuzuia miunganisho inayotoka kwa anwani maalum za kompyuta na mitandao hiyo ambayo inachukuliwa kuwa isiyoaminika.

gharama ya chini;

kubadilika katika kufafanua sheria za kuchuja;

kuchelewa kidogo katika kifungu cha pakiti.

Mapungufu:

haina kukusanya pakiti zilizogawanyika;

hakuna njia ya kufuatilia uhusiano (miunganisho) kati ya vifurushi.?

Uchujaji wa kiwango cha kipindi

Kulingana na ufuatiliaji wa miunganisho inayotumika, ukuta wa moto unaweza kuwa:

wasio na utaifa(kuchuja rahisi), ambayo haifuatilii miunganisho ya sasa (kwa mfano, TCP), lakini huchuja mkondo wa data kwa kuzingatia sheria tuli;

ukaguzi wa pakiti wa serikali, wa serikali (SPI)(kuchuja kwa kufahamu muktadha), kufuatilia miunganisho ya sasa na kupitisha vifurushi tu ambavyo vinakidhi mantiki na algoriti za itifaki na programu zinazolingana.

Firewalls zilizo na SPI huwezesha kupambana kwa ufanisi zaidi aina mbalimbali za mashambulizi ya DoS na udhaifu wa baadhi ya itifaki za mtandao. Kwa kuongezea, zinahakikisha utendakazi wa itifaki kama vile H.323, SIP, FTP, n.k., ambazo hutumia mifumo changamano ya kuhamisha data kati ya wapokeaji, ambayo ni ngumu kuelezea kwa sheria tuli, na mara nyingi haioani na ngome za kawaida zisizo na uraia.

Faida za uchujaji kama huo ni pamoja na:

uchambuzi wa maudhui ya pakiti;

hakuna taarifa kuhusu uendeshaji wa itifaki ya safu ya 7 inahitajika.

Mapungufu:

ni ngumu kuchambua data ya kiwango cha programu (ikiwezekana kutumia ALG - lango la kiwango cha Maombi).

Lango la kiwango cha maombi, ALG (lango la kiwango cha maombi) ni sehemu ya kipanga njia cha NAT kinachoelewa itifaki ya programu, na pakiti za itifaki hii zinapopitia, inazirekebisha kwa njia ambayo watumiaji nyuma ya NAT wanaweza kutumia itifaki.

Huduma ya ALG hutoa usaidizi kwa itifaki za kiwango cha programu (kama vile SIP, H.323, FTP, n.k.) ambayo Tafsiri ya Anwani ya Mtandao hairuhusiwi. Huduma hii huamua aina ya programu katika pakiti zinazotoka kwenye kiolesura cha ndani cha mtandao na ipasavyo kuzifanyia tafsiri ya anwani/mlango kupitia kiolesura cha nje.

Teknolojia ya SPI (Stateful Packet Inspection) au teknolojia ya ukaguzi wa pakiti kwa kuzingatia hali ya itifaki leo ni njia ya juu ya udhibiti wa trafiki. Teknolojia hii hukuruhusu kudhibiti data hadi kiwango cha programu bila kuhitaji mtu wa kati au programu mbadala ya proksi kwa kila itifaki iliyolindwa au huduma ya mtandao.

Kihistoria, ngome zimebadilika kutoka kwa vichujio vya pakiti za madhumuni ya jumla hadi vifaa vya kati mahususi vya itifaki hadi ukaguzi wa hali ya juu. Teknolojia za awali zilisaidiana tu, lakini hazikutoa udhibiti kamili wa miunganisho. Vichungi vya pakiti havina ufikiaji wa muunganisho na maelezo ya hali ya programu ambayo ni muhimu kwa mfumo wa usalama kufanya uamuzi wa mwisho. Programu za vifaa vya kati huchakata tu data ya kiwango cha maombi, ambayo mara nyingi hutengeneza fursa mbalimbali za kudukua mfumo. Usanifu wa hali ya ukaguzi ni wa kipekee kwa sababu hukuruhusu kushughulikia habari zote zinazowezekana kupitia mashine ya lango: data kutoka kwa pakiti, data kuhusu hali ya unganisho, data inayohitajika na programu.

Mfano wa utaratibuYa serikaliUkaguzi. Firewall hufuatilia kipindi cha FTP kwa kuchunguza data katika kiwango cha programu. Wakati mteja anaomba seva kufungua muunganisho wa nyuma (amri ya FTP PORT), ngome hutoa nambari ya mlango kutoka kwa ombi hilo. Orodha huhifadhi anwani za mteja na seva na nambari za mlango. Jaribio la kuanzisha muunganisho wa data wa FTP linapogunduliwa, ngome hukagua orodha na kuangalia kama muunganisho huo ni jibu la ombi halali la mteja. Orodha ya uunganisho inadumishwa kwa nguvu ili tu bandari muhimu za FTP zifunguliwe. Mara tu kikao kinapofungwa, bandari zimezuiwa, na kutoa kiwango cha juu cha usalama.

Mchele. 2.12. Mfano wa utaratibu wa Ukaguzi wa Serikali unaofanya kazi na itifaki ya FTP

Uchujaji wa kiwango cha programu

Ili kulinda udhaifu kadhaa uliopo katika uchujaji wa pakiti, ngome ni lazima zitumie programu za programu kuchuja miunganisho ya huduma kama vile Telnet, HTTP, FTP. Programu kama hiyo inaitwa huduma ya wakala, na seva pangishi ambayo huduma ya wakala inaendeshwa inaitwa lango la kiwango cha programu. Lango kama hilo huondoa mwingiliano wa moja kwa moja kati ya mteja aliyeidhinishwa na mwenyeji wa nje. Lango huchuja pakiti zote zinazoingia na zinazotoka kwenye safu ya programu (safu ya programu - safu ya juu ya muundo wa mtandao) na inaweza kuchanganua maudhui ya data, kama vile URL iliyo katika ujumbe wa HTTP au amri iliyo katika ujumbe wa FTP. Wakati mwingine ni bora zaidi kuchuja pakiti kulingana na taarifa zilizomo kwenye data yenyewe. Vichujio vya pakiti na vichujio vya kiwango cha kiungo havitumii yaliyomo kwenye mkondo wa habari wakati wa kufanya maamuzi ya kuchuja, lakini uchujaji wa kiwango cha programu unaweza kufanya hivyo. Vichujio vya kiwango cha programu vinaweza kutumia taarifa kutoka kwa kichwa cha pakiti, pamoja na maudhui ya data na maelezo ya mtumiaji. Wasimamizi wanaweza kutumia uchujaji wa kiwango cha programu ili kudhibiti ufikiaji kulingana na utambulisho wa mtumiaji na/au kulingana na kazi mahususi ambayo mtumiaji anajaribu kutekeleza. Katika vichujio vya kiwango cha programu, unaweza kuweka sheria kulingana na amri zilizotolewa na programu. Kwa mfano, msimamizi anaweza kuzuia mtumiaji mahususi kupakua faili kwenye kompyuta mahususi kwa kutumia FTP, au kuruhusu mtumiaji kupangisha faili kupitia FTP kwenye kompyuta hiyo hiyo.

Faida za uchujaji kama huo ni pamoja na:

sheria rahisi za kuchuja;

uwezekano wa kuandaa idadi kubwa ya ukaguzi. Ulinzi wa kiwango cha maombi huruhusu idadi kubwa ya ukaguzi wa ziada, ambayo inapunguza uwezekano wa utapeli kwa kutumia mashimo kwenye programu;

uwezo wa kuchambua data ya programu.

Mapungufu:

utendaji wa chini ikilinganishwa na uchujaji wa pakiti;

wakala lazima aelewe itifaki yake (kutowezekana kwa matumizi na itifaki zisizojulikana);

Kama sheria, inaendesha chini ya mifumo ngumu ya uendeshaji.