Perché hai bisogno di un firewall nel router. Protezione hardware delle reti SOHO tramite firewall

07.05.2019 Internet, Wi-Fi, reti locali

Il firewall, ovvero il blocco del traffico proveniente da fonti non autorizzate, è una delle tecnologie di sicurezza di rete più antiche, ma i fornitori di ambienti correlati continuano a sviluppare nuovi approcci che aiutano a contrastare in modo più efficace le minacce odierne in un ambiente di rete in evoluzione e a proteggere le risorse IT aziendali. I firewall di nuova generazione consentono di creare criteri utilizzando una gamma più ampia di dati contestuali e applicarli.

L'evoluzione dei firewall (FW) ha fatto molta strada. Sono stati sviluppati per la prima volta alla fine degli anni '80 da DEC e funzionavano principalmente sui primi quattro livelli del modello OSI, intercettando il traffico e analizzando i pacchetti per verificarne la conformità a regole specificate. Quindi punto di controllo ha offerto firewall con chip specializzati (ASIC) per un'analisi approfondita delle intestazioni dei pacchetti. Questi sistemi avanzati potrebbero mantenere una tabella di connessioni attive e utilizzarla nelle regole (Stateful Packet Inspection, SPI). La tecnologia SPI consente di controllare gli indirizzi IP di origine e di destinazione e monitorare le porte.

Un grande passo avanti è la creazione di FW che operano a livello applicativo. Il primo prodotto di questo tipo è stato rilasciato da SEAL nel 1991 e due anni dopo è apparsa una soluzione aperta Firewall Toolkit (FWTK) di Trusted Information Systems. Questi firewall hanno ispezionato i pacchetti a tutti e sette i livelli, il che ha reso possibile l'utilizzo di informazioni estese in set di regole (policy), non solo sulle connessioni e il loro stato, ma anche sulle operazioni che utilizzano uno specifico protocollo applicativo. Entro la metà degli anni '90, i firewall avevano acquisito la capacità di monitorare i protocolli a livello di applicazione più diffusi: FTP, Gopher, SMTP e Telnet. Questi prodotti avanzati (application-aware) sono chiamati firewall di nuova generazione (Next-Generation Firewall, NGFW).

TIS ha rilasciato una versione commerciale di FWTK - Gauntlet Firewall. Con funzionalità di autenticazione utente, filtro URL, anti-malware e sicurezza a livello di applicazione, questo prodotto è considerato il primo firewall di "nuova generazione". Quindi, formalmente, i prodotti NGFW hanno già più di 15 anni, anche se oggi questo termine ha un significato diverso.

CAMBIO GENERAZIONALE

Gli analisti di Frost & Sullivan identificano quattro generazioni di firewall. I primi (1985–1990) sono prodotti DEC; la seconda (1996-2002) - l'emergere di prodotti SPI (Check Point) e il lavoro a livello applicativo (Gauntlet), l'integrazione di funzioni VPN IPsec, l'utilizzo di ASIC proprietari per aumentare le prestazioni (Lucent, NetScreen); terzo (2003-2006) - applicazione delle funzioni pacchetto profondo Ispezione e consolidamento delle funzioni protettive (Fortinet); la quarta generazione (dal 2007 ad oggi) - fornire sicurezza del traffico basata sull'identificazione di applicazioni e utenti (Palo Alto) e l'introduzione di nuove tecnologie da parte di grandi fornitori.

Pertanto, l'emergere del termine NGFW nel suo senso moderno è attribuito a Palo Alto Networks. Ha chiamato i suoi prodotti Next Generation Firewalls, che consentono uno stretto controllo sull'accesso dei singoli utenti alle applicazioni ea Internet. In sostanza, NGFW combina diverse funzioni su un'unica piattaforma: FW, IPS e Web Security Gateway. I clienti hanno l'opportunità di controllare "l'ingresso" e "l'uscita" della rete. In NGFW, i criteri vengono impostati per applicazione, non solo per porte e indirizzi IP.

Rispetto ai firewall di Cisco, Check Point Software Technologies e Juniper Networks, i prodotti di Palo Alto Networks hanno semplificato il monitoraggio e la protezione del traffico quando si utilizzano i social network, Google Gmail o Skype. La crescita della popolarità delle applicazioni Web ha contribuito notevolmente allo sviluppo del business di questo fornitore, entrato nel mercato nel 2005. Forrester Research definisce rivoluzionario il suo prodotto di punta.

Oggi, il mercato dei firewall (vedi figure 1 e 2) o firewall copre una serie di segmenti: SOHO, SMB, prodotti per grandi imprese e fornitori. La nuova funzionalità NGFW aiuta a proteggere le reti aziendali di fronte all'introduzione di nuove tecnologie e modelli informatici (cloud e mobile computing). L'espansione delle funzionalità ha portato alla creazione di piattaforme unificate (Unified Threat Management, UTM), oggi ampiamente utilizzate.

Sebbene il confine della rete diventi sfocato, la protezione perimetrale FW rimane un fattore importante e elemento necessario sistema di sicurezza multilivello. L'emergere di dispositivi mobili e l'emergere del concetto BYOD ha un forte impatto sulla sicurezza, ma piuttosto aumenta il valore del perimetro di rete, poiché solo al suo interno i dati possono essere relativamente sicuri, ritiene Dmitry Kurashev, direttore di Entensys.

"Se parliamo di funzioni moderne e popolari, fondamentalmente i firewall vengono utilizzati come firewall classici", osserva Dmitry Ushakov, capo del dipartimento per la preparazione e l'implementazione di soluzioni tecniche presso Stonesoft Russia. - Naturalmente, in termini di capacità, differiscono già da quelli utilizzati negli anni '80 e '90, ad esempio il filtraggio contestuale con stato e l'analisi delle applicazioni (la capacità di tenere traccia delle connessioni correlate). Ma in pratica, sono soprattutto le funzioni classiche a essere richieste”.

Secondo gli analisti di Frost & Sullivan, mentre i firewall tradizionali rimangono uno strumento di sicurezza fondamentale, sono inefficaci nella protezione da sofisticati attacchi di rete. Lo sviluppo di tecnologie e applicazioni porta all'apertura di sempre più scappatoie per gli intrusi e attuazione pratica sistema di sicurezza diventa più complesso. Per contrastare l'evoluzione delle minacce, i fornitori devono intensificare lo sviluppo di nuovi metodi per rilevare e prevenire gli attacchi e bloccare gli attacchi indesiderati traffico di rete. Secondo gli esperti di Gartner, il mercato dei firewall è entrato in un periodo di “evoluzione dinamica” e continuerà a crescere fortemente nei prossimi anni (vedi Figura 3).

Figura 3 Previsioni di crescita del mercato globale dei firewall di Frost & Sullivan.

"NUOVA GENERAZIONE" OGGI

Il controllo granulare e configurabile a livello di applicazione rimane la tecnologia di base di NGFW, ma il "supporto delle applicazioni" nei firewall odierni è molto diverso da quello offerto 20 anni fa. La tecnologia firewall è stata notevolmente migliorata: si è evoluta in soluzioni specializzate che eseguono un'analisi approfondita del traffico e l'identificazione delle applicazioni. I prodotti corrispondenti ora sono più veloci e supportano set di regole più complessi rispetto ai loro predecessori.

Gli analisti di Gartner osservano che negli ultimi due o tre anni c'è stata una crescente domanda di piattaforme NGFW in grado di rilevare e bloccare attacchi sofisticati, impostare (con un elevato grado di dettaglio) policy di sicurezza a livello di applicazione, e non solo porte e protocolli. La funzionalità e le prestazioni dei firewall devono soddisfare i requisiti di più interazione complessa con le applicazioni e i dispositivi stessi, per disporre di una larghezza di banda elevata e supportare la virtualizzazione. La scelta della soluzione è determinata da fattori quali il costo, la facilità di gestione, la facilità e la velocità di implementazione. Naturalmente, l'elenco non finisce qui.

“Quando confrontano o sviluppano una metodologia per la scelta dei firewall, gli analisti operano con diverse dozzine (a volte fino a un centinaio e mezzo) di criteri che dovrebbero essere presi in considerazione quando si sceglie una soluzione. Ogni cliente stabilisce le priorità a modo suo: non esiste e non può esistere una ricetta o uno scenario universale", sottolinea Alexey Lukatsky, esperto di sicurezza di rete di Cisco.

Le nuove minacce e le tecnologie Web 2.0 costringono i fornitori ad aggiornare le proprie offerte man mano che i firewall si evolvono. Sono dotati di funzionalità avanzate di analisi del traffico e forniscono impostazioni di policy flessibili e le loro prestazioni aumentano in base alla crescita della larghezza di banda della rete. Gli NGFW sono in grado di monitorare il traffico di rete a livello di applicazione e utente e bloccare attivamente le minacce. Possono includere una gamma di fondi aggiuntivi sicurezza e supporto di funzioni di rete avanzate.

Le grandi aziende e i fornitori hanno bisogno di soluzioni ad alte prestazioni. I sistemi più recenti sono costruiti su potenti piattaforme hardware, con caratteristiche e funzioni di sicurezza precedentemente diverse come IPS, ispezione approfondita dei pacchetti, autenticazione utente e altro ancora come componenti integrati. Tuttavia, i firewall di livello enterprise non sono caratterizzati da uno specifico insieme di funzioni, ma da scalabilità, gestibilità e affidabilità che soddisfano le esigenze delle grandi aziende.

I firewall di fornitori leader tra cui Check Point Software Technologies, Cisco Systems, Fortinet, Juniper Networks e Palo Alto Networks forniscono informazioni dettagliate analisi del contesto traffico a livello di applicazione. Ma questa non è l'unica proprietà di NGFW. Ad esempio, Gartner ha proposto la propria definizione più di tre anni fa, sottolineando la connessione tra IPS e NGFW. Altri analisti considerano la funzione UTM una caratteristica importante di NGFW. Palo Alto e Juniper si attengono alla propria terminologia. Tuttavia, il punto non è nella formulazione, ma nelle funzioni NGFW che le organizzazioni possono utilizzare per proteggere le proprie reti.

Secondo Alexey Lukatsky, Cisco sta guardando questa domanda leggermente più ampio di quanto è consuetudine in altre aziende: “Non usiamo il concetto di NGFW, sostituendolo con Context-Aware FW, cioè tra firewall sensibile al contesto. Il contesto è inteso non solo come una risposta alla domanda "COSA è possibile?" (ovvero analisi del traffico a livello di rete e di applicazione), ma anche risposte alla domanda “QUANDO posso?” (vincolando un tentativo di accesso al tempo), “DOVE e DOVE posso?” (ubicazione delle risorse e delle attrezzature da cui viene inviata la richiesta), “CHI può?” (vincolandosi non solo a un indirizzo IP, ma anche a un account utente), "COME posso?" (da quale dispositivo è consentito l'accesso - da personale o aziendale, da fisso o mobile). Tutto ciò consente di costruire una politica di accesso in modo più flessibile e di tenere conto delle esigenze in continua evoluzione di un'azienda moderna in termini di sicurezza delle informazioni.

NGFW è un dispositivo che estende le funzionalità di un firewall tradizionale in termini di servizi aggiuntivi ispezione e controllo di utenti e applicazioni, considera Dmitry Ushakov. "Di conseguenza, il firewall di nuova generazione è, in generale, FW, IPS e un sistema per controllare il comportamento degli utenti e delle applicazioni", sottolinea. “E in questo senso, Stonesoft StoneGate FW svolge da diversi anni le funzioni di NGFW.”

I firewall non si limitano a filtrare il traffico in entrata. Alcuni NGFW possono anche rilevare attività anomale nel traffico in uscita, ad esempio, l'interazione sulla porta 80 con un sito non autorizzato o il traffico che corrisponde a una delle firme. Questo aiuta a identificare e bloccare le comunicazioni in uscita, comprese quelle avviate da malware. “Sempre più funzionalità precedentemente implementate su firewall dedicati vengono combinate in un unico complesso software e hardware. Abbiamo inserito una combinazione di qualità di funzionalità come schermatura standard, controllo delle applicazioni e prevenzione delle intrusioni nel concetto NGFW", ha affermato Brendan Patterson, Senior Product Management Manager, WatchGuard Technologies.

Gli NGFW consentono di creare policy di sicurezza delle informazioni basate su un'ampia gamma di dati contestuali, fornendo un grado più elevato di protezione, gestibilità e scalabilità. Traffico dei servizi Internet (da E-mail allo streaming video e ai social network) passa attraverso il browser via numero limitato porte e l'NGFW deve essere in grado di analizzare le sessioni (a un certo livello di granularità) per prendere decisioni in base al contesto. Un'altra caratteristica di NGFW è il supporto per l'identificazione dell'utente (che può essere utilizzato durante la creazione di regole) e per questo il firewall può sia utilizzare le proprie informazioni sia accedere ad Active Directory. La "capacità" di riconoscere e analizzare il traffico delle singole applicazioni ha assunto un significato speciale con la proliferazione delle applicazioni Web, che la maggior parte dei firewall SPI può identificare solo come traffico HTTP sulla porta 80.

L'acquisto di NGFW con l'intenzione di utilizzare solo la sua funzionalità di filtraggio del traffico basata su porta non è pratico, ma non tutti hanno bisogno delle funzioni di controllo delle applicazioni a grana fine. Vale anche la pena considerare se l'organizzazione dispone delle risorse qualificate per configurare e mantenere il complesso insieme di regole NGFW. Non dobbiamo dimenticare la velocità. È meglio configurare e testare NGFW in ambiente di lavoro. La larghezza di banda e la facilità di gestione rimangono criteri chiave per la valutazione dei firewall. Un segmento separato sono i prodotti per la gestione delle policy (Firewall Policy Management, FPM). Gartner consiglia di utilizzarli quando la complessità dell'ambiente IT supera le capacità della console di gestione FW.

Gli analisti di Gartner ritengono che i tradizionali firewall SPI lo siano già tecnologia obsoleta, incapace di proteggere da molte minacce, e ora molte organizzazioni stanno implementando NGFW. Gartner prevede che in tre anni il 38% delle imprese utilizzerà NGFW, rispetto al 10% del 2011. Allo stesso tempo, il numero di clienti che implementano soluzioni combinate (FW + IPS) diminuirà dal 60% al 45% e il numero di aziende che utilizzano solo un firewall dal 25% al 10%. In Russia, a quanto pare, i risultati saranno diversi.

"Come dimostra la pratica, i firewall tradizionali sono ancora un enorme successo", ricorda Dmitry Ushakov. - Ciò è dovuto principalmente a controllo limitato per l'implementazione di servizi di sicurezza da parte delle autorità di regolamentazione e, purtroppo, con la fornitura di protezione informatica secondo il principio residuo - più economico e minimo. Pochi pensano alle minacce e alle conseguenze. Quindi c'è sicuramente posto per gli schermi tradizionali, ma saranno dotati di nuove funzionalità. Ad esempio, stanno diventando sempre più richiesti dispositivi che, oltre al tradizionale FW, dispongano anche di strumenti per l'analisi approfondita dei flussi inter-rete.

Nel frattempo, quando risolvono nuovi problemi complessi, gli sviluppatori a volte devono scendere a compromessi. Il laboratorio NSS ha concluso che le nuove funzionalità NGFW, come il controllo granulare a livello di applicazione, spesso degradano le prestazioni e la protezione rispetto a una combinazione di firewall tradizionali e IPS. Solo la metà dei sistemi testati aveva un'efficienza di protezione superiore al 90%.

Lo studio dell'NSS ha anche mostrato che le funzionalità IPS sui sistemi NGFW sono raramente configurate, con politiche predefinite del fornitore generalmente applicate dopo l'implementazione. Ciò influisce negativamente sulla sicurezza. E il throughput non corrisponde a quello dichiarato: su otto prodotti, cinque lo avevano inferiore. Inoltre, tutti gli NGFW testati non soddisfacevano il numero massimo di connessioni all'interno delle specifiche. I tester di laboratorio dell'NSS hanno concluso che gli NGFW sarebbero stati pronti per essere implementati ambienti aziendali solo dopo aver aumentato la produttività e, in generale, le tecnologie NGFW devono essere migliorate: i sistemi dovrebbero fornire un funzionamento più stabile e un elevato grado di sicurezza.

Allo stesso tempo, la maggior parte dei venditori sta sviluppando con successo la propria attività. Ad esempio, IDC ha nominato Check Point uno dei principali fornitori di firewall/UTM, guidando il mercato dei firewall nel secondo trimestre dello scorso anno in termini di vendite, superando i principali fornitori di apparecchiature di rete. La quota di mercato globale FW/UTM di Check Point supera il 20% e si avvicina al 30% in Europa occidentale.

La linea Check Point comprende sette modelli di appliance di sicurezza con un'architettura "software blade" (vedi Figura 4): modelli dal 2200 al 61000 (quest'ultimo è il firewall più veloce oggi). alte prestazioni controllare i dispositivi Point integra firewall, VPN, prevenzione delle intrusioni, controllo dell'accesso alle applicazioni e ai dispositivi mobili, prevenzione della fuga di dati, supporto dell'identità, filtro URL, antispam, antivirus e antibot.

Nel Magic Quadrant, gli analisti di Gartner hanno nominato Check Point e Palo Alto Networks leader nel mercato dei firewall, mentre Fortinet, Cisco, Juniper Networks e Intel (McAfee) sono stati nominati contendenti. Ben sette fornitori si sono rivelati "giocatori di nicchia" e nessuna azienda è caduta nel settore "visionario". Tuttavia, ciò non impedisce ai clienti di dare la preferenza ai prodotti Cisco (vedere Figura 5).

Il mercato si sta ora spostando verso sistemi NGFW in grado di rilevare e bloccare vari tipi di attacchi sofisticati e applicare policy a livello di applicazione. Nel 2012, attori di mercato affermati hanno cercato di migliorare le loro soluzioni NGFW in modo che non fossero inferiori nelle loro capacità ai prodotti dei nuovi arrivati del settore e gli sviluppatori di sistemi innovativi li hanno integrati con controlli, portandoli al livello di marchi noti.

DRIVER DI CRESCITA E NUOVI SVILUPPI

Sebbene il mercato globale dei firewall sia saturo, è tutt'altro che stagnante. Quasi tutti i principali fornitori hanno presentato prodotti di nuova generazione caratteristiche aggiuntive. I driver di crescita del mercato dei firewall - mobilità, virtualizzazione e cloud computing - stanno guidando la domanda di nuovi strumenti offerti da NGFW. Gli analisti di Gartner notano una crescente domanda di versioni software dei firewall utilizzati nei data center virtualizzati (vedere Figura 6). Nel 2012 la quota di varianti virtuali di NGFW non superava il 2%, ma secondo le previsioni di Gartner, entro il 2016 crescerà fino al 20%. Le versioni virtuali dei firewall e delle soluzioni di protezione dei contenuti sono adatte per l'implementazione in ambienti cloud.

Figura 6 Secondo Infonetics Research, la spesa per la sicurezza dei data center da parte delle aziende nordamericane è salita alle stelle nell'ultimo anno.

Per gli uffici remoti e le PMI, un firewall basato su cloud installato dal provider di servizi è spesso una soluzione interessante. Secondo alcuni esperti, con lo sviluppo dell'accesso mobile e delle architetture cloud, anche l'architettura di sicurezza dovrà cambiare: al posto di NGFW, le aziende utilizzeranno più spesso gateway Web che sono sotto il controllo del provider e le grandi organizzazioni separeranno il funzioni di gateway Web e firewall per migliorare le prestazioni e la gestibilità, nonostante alcuni prodotti NGFW siano in grado di eseguire funzioni di gateway Web di base.

Dmitry Kurashev ritiene che sia meglio affidare tutte le funzioni di elaborazione del traffico ai gateway situati all'interno dell'azienda: "È più corretto utilizzare i servizi cloud per amministrare e monitorare le applicazioni del server, nonché per raccogliere statistiche e analisi". "Il firewall dovrebbe essere installato per impostazione predefinita sia presso il fornitore di servizi cloud che sul lato del cliente dei servizi cloud", aggiunge Alexey Lukatsky. “Dopo tutto, c'è un ambiente non protetto tra di loro, che può diventare un trampolino di lancio per la penetrazione in una rete aziendale o in una nuvola di programmi dannosi, o per attacchi da parte di intrusi. Pertanto, gli strumenti di sicurezza della rete sono ancora necessari".

Esempio tipico servizi gestiti sicurezza: una serie di servizi recentemente annunciati in Russia per proteggere la rete del cliente dalle principali minacce di rete, offerti da Orange Business Services. I servizi Unified Defense consentono di fornire una protezione antivirus centralizzata per tutti i dispositivi della rete, proteggere le caselle di posta aziendali dallo spam e filtrare il traffico Internet, se necessario, limitando l'accesso dei dipendenti a determinate risorse di rete a livello hardware. Inoltre, il sistema di sicurezza include un firewall e strumenti di rilevamento e prevenzione delle intrusioni.

Unified Defense si basa su un'appliance UTM compatta con funzionalità NGFW di Fortinet, installata sulla rete del cliente e supportata da Orange. Il prodotto è offerto in due versioni: per reti che supportano fino a 200 utenti e la velocità del canale Internet non supera i 20 Mbps (apparecchiatura FortiGate 80C), nonché per reti progettate per 1000 utenti e un canale da 100 Mbps (apparecchiatura FortiGate 200B ) (vedi Figura 7). Attualmente il servizio è disponibile per i clienti Orange, in futuro si prevede di fornire il servizio nelle reti di fornitori terzi.

Basato su Fortinet, Unified Defense consente alle aziende con budget IT limitati di sfruttare le nuove tecnologie di sicurezza. Una delle funzioni del portale clienti è l'accesso a rapporti periodici sul funzionamento del sistema, comprese le informazioni sulle minacce neutralizzate.

L'analisi approfondita del traffico consente di identificare le applicazioni che comunicano sulla rete. Date le attuali tendenze nello spostamento delle applicazioni nel cloud e nello sviluppo dei servizi SaaS, è possibile garantire che solo i dati richiesti entrino nella rete aziendale solo con un livello di dettaglio ancora più elevato. Ogni fornitore utilizza i propri approcci durante la creazione di NGFW. Molti scelgono il metodo della firma.

Ad esempio, Astaro (parte di Sophos dal 2011) utilizza il database delle firme dell'applicazione del suo partner Vineyard Networks. Per questo motivo, Astaro Security Gateway è in grado di distinguere tra diverse applicazioni in esecuzione sullo stesso sito Web, applicare criteri QoS, priorità di traffico e allocare loro la larghezza di banda. Nella nuova versione di Astaro Security Gateway, l'interfaccia di amministrazione è stata migliorata: puoi impostare regole in tempo reale sulla mappa della rete e rispondere rapidamente alle nuove minacce. Nelle versioni future del firewall Astaro sarà possibile trasferire i pacchetti agli specialisti tipo sconosciuto per la loro successiva analisi.

L'anno scorso, Check Point ha aggiornato la sua linea di prodotti del 90%. Questi modelli sono ottimizzati per l'architettura Check Point Software Blade e, secondo lo sviluppatore, hanno prestazioni circa tre volte superiori rispetto alle generazioni precedenti. Nuovo modulo Basato sulla tecnologia SecurityCore, Security Acceleration può aumentare notevolmente le prestazioni del firewall accelerando le operazioni chiave. Secondo Check Point, il suo throughput raggiunge i 110 Gb / se il ritardo è inferiore a 5 μs. Secondo l'azienda, questo è il firewall più produttivo del settore nel fattore di forma 2U.

La libreria AppWiki creata da Check Point permette di identificare più di 5.000 applicazioni e 100.000 widget. Queste firme vengono utilizzate dalle Software Blade di Check Point Application Control e Identity Awareness. Inoltre, il software si integra con Active Directory per identificare i dispositivi client e gli utenti finali e gli amministratori possono ottimizzare le policy di sicurezza. La formazione dei dipendenti avviene in tempo reale: quando uno di loro viola la policy di sicurezza, l'applicazione client dell'agente Check Point UserCheck visualizza una finestra pop-up che spiega la natura della violazione e chiede conferma dell'azione. La possibilità di passare una richiesta a un amministratore semplifica il processo di personalizzazione delle policy di sicurezza per soddisfare le esigenze degli utenti.

Progettato per i principali prodotti di sicurezza di rete Check Point, la versione software R74.40 include oltre 100 nuove funzionalità, tra cui Anti-Bot Software Blade e una versione aggiornata di Anti-Virus con tecnologia Check Point ThreatCloud: questo servizio cloud Raccoglie informazioni sulle minacce e fornisce protezione del gateway di sicurezza in tempo reale. La nuova soluzione Check Point Virtual Systems per data center e cloud privati consente di combinare fino a 250 sistemi virtuali su un unico dispositivo.

Lo scorso anno Cisco ha rilasciato la propria soluzione NGFW, una nuova generazione di Adaptive Security Appliance (ASA), in risposta alla tecnologia sviluppata da Palo Alto Networks. ASA CX è un firewall sensibile al contesto, ovvero riconosce non solo indirizzi IP, ma applicazioni, utenti e dispositivi, il che significa che consente di tenere traccia di come un dipendente utilizza determinate applicazioni su attrezzature diverse e far rispettare le relative normative.

Operando sulla base di tutti i modelli Cisco ASA 5500-X (da 5512-X a 5585-X), Cisco ASA CX fornisce regole che vincolano un account utente in Active Directory, il controllo su più di 1100 applicazioni (Facebook, LinkedIn, Skype, BitTorrent, iCloud, Dropbox, Google Drive, MS Windows Azure, Salesforce CRM, Oracle e-Business Suite, MS Lync, Tor, ecc.), monitoraggio del tempo e instradamento delle richieste di accesso e molte altre attività. In cui Cisco ASA CX non è solo una piattaforma multi-gigabit autonoma, ma è strettamente integrata con altre soluzioni di sicurezza Cisco- Sistema di prevenzione delle intrusioni Cisco IPS, sistema di autorizzazione e controllo dell'accesso alla rete Cisco ISE, sistema di protezione del traffico Web Cisco sicurezza web eccetera.

Come sottolinea Aleksey Lukatsky, un tale firewall tiene conto anche della "sfocatura" del perimetro della rete. Ad esempio, attraverso l'integrazione con Cisco ISE e tutto il resto infrastruttura di rete Cisco, può riconoscere che il traffico proviene dall'iPad personale del dipendente e quindi, a seconda della politica di sicurezza, bloccarlo dinamicamente o consentire l'accesso solo a determinate risorse interne. Se questo accesso viene eseguito da un dispositivo mobile aziendale, i suoi privilegi possono essere estesi.

Allo stesso tempo, ASA CX opera non solo secondo il principio amico/nemico (personale/aziendale), ma tiene conto anche del sistema operativo utilizzato sul dispositivo mobile, della sua versione, della disponibilità di aggiornamenti e di altre patch, nonché il funzionamento dell'antivirus e la pertinenza dei suoi database, ecc. L'accesso sarà fornito non dagli indirizzi IP del mittente e del destinatario, ma in base a un'intera gamma di parametri, che consente di implementare una politica flessibile per la connessione a risorse protette, indipendentemente dal fatto che l'utente si trovi all'esterno o all'interno e che utilizzi una connessione cablata o wireless, un dispositivo personale o aziendale.

Il firewall Dell SonicWALL utilizza un database delle firme in continua espansione per identificare oltre 3.500 applicazioni e le relative funzioni. La tecnologia SonicWALL ReassemblyFree Deep Packet Inspection (RFDPI) esegue la scansione dei pacchetti di ogni protocollo e interfaccia. Gli esperti del SonicWALL Research Team creano nuove firme che vengono inviate automaticamente ai firewall esistenti. Se necessario, i clienti possono aggiungere personalmente le firme. Nelle finestre SonicWALL Visualization Dashboard e Real-Time Monitor, gli amministratori possono vedere applicazioni specifiche sulla rete, nonché chi le sta utilizzando e come. Queste informazioni sono utili per l'impostazione dei criteri e la diagnostica.

Entensys ha anche esteso le funzionalità del suo prodotto. Rilasciato nel novembre 2012, UserGate Proxy&Firewall versione 6.0 ha introdotto un vero e proprio server VPN, il sistema IPS. Questo prodotto UTM è offerto sotto forma di software o appliance. Oltre alle funzioni direttamente legate alla sicurezza, gli sviluppatori hanno prestato grande attenzione al filtraggio dei contenuti e al controllo delle applicazioni Internet. Nel 2012 sono state migliorate le funzioni di analisi morfologica informazioni trasmesse per il filtraggio del traffico in entrata e in uscita, ed è stato rilasciato un server di filtraggio dei contenuti UserGate Web Filter 3.0 produttivo e funzionale, che può essere utilizzato insieme a qualsiasi soluzione UTM di terze parti.

Fortinet, che di solito è associato a UTM, lo scorso anno ha introdotto FortiGate3240C, che è più un prodotto NGFW. Le appliance Fortinet FortiGate utilizzano i decoder di protocollo e la decrittazione del traffico di rete per identificare le applicazioni. Gli sviluppatori mantengono un database in cui aggiungono le firme di nuove applicazioni e, con il rilascio di nuove versioni, aggiornano le firme di quelle esistenti. Grazie a queste informazioni, i prodotti Fortinet distinguono tra le applicazioni e applicano le proprie regole a ciascuna di esse. L'azienda afferma che i suoi prodotti hanno un livello di prestazioni e integrazione più elevato rispetto alle soluzioni concorrenti, poiché tutte le tecnologie sono sviluppate da essa. Anche F5 Networks e Riverbed hanno attirato l'attenzione sulle funzioni NGFW: insieme a McAfee (Intel) e altri fornitori di soluzioni per la sicurezza delle informazioni, le integrano in apparecchiature e software per ottimizzare il traffico di rete globale.

Juniper Networks implementa la funzionalità NGFW dei gateway di servizi SRX nella suite di applicazioni AppSecure. AppTrack utilizza anche il database delle firme dell'applicazione creato da Juniper, arricchito con le firme generate dagli amministratori dei clienti. AppTrack identifica le applicazioni, mentre i componenti AppFirewall e AppQoS applicano le policy e controllano il traffico delle applicazioni. Secondo il produttore, questa piattaforma è altamente scalabile e funziona a velocità fino a 100 Gbps.

McAfee, parte di Intel, utilizza la tecnologia AppPrism per riconoscere le applicazioni in McAfee Firewall Enterprise, che identifica migliaia di applicazioni indipendentemente da porte e protocolli. Insieme a questo, vengono utilizzate le firme sviluppate dagli esperti di McAfee Global Threat Intelligence. Con AppPrism, gli amministratori possono disabilitare non solo le applicazioni stesse, ma anche i loro componenti "rischiosi".- ad esempio, bloccare la funzione di condivisione file in Skype consentendo la messaggistica. Come Juniper, McAfee attribuisce la propria tecnologia e le proprie firme applicative ai vantaggi della propria soluzione.

La tecnologia App-ID di Palo Alto Networks utilizza più metodi per identificare le applicazioni: decrittografia, rilevamento, decodifica, firme, euristica e altro ancora.. IN App-IDè possibile utilizzare qualsiasi combinazione di essi, che consente di identificare tutte le versioni dell'applicazione, nonché il sistema operativo su cui viene eseguita. In conformità con l'App-ID dell'applicazione, il firewall Palo Alto applica questa o quella regola al proprio traffico, ad esempio, il trasferimento di file può essere bloccato. Inoltre, App-ID può essere integrato con nuovi metodi per identificare e identificare le applicazioni incorporandole nei meccanismi di classificazione.

Stonesoft non ha aggiornato la sua linea di firewall nel 2012, ma ha annunciato una nuova soluzione di Evasion Prevention System (EPS). Questo strumento è progettato per rilevare e prevenire gli attacchi informatici utilizzando tecniche di bypass dinamico.(Advanced Evasion Technique, AET - tecniche utilizzate insieme agli attacchi di rete per aggirare i sistemi di sicurezza) e le vulnerabilità della sicurezza vengono sfruttate. Secondo Dmitry Ushakov, il prodotto fornisce un ulteriore livello di sicurezza per i dispositivi NGFW, IPS e UTM già installati in organizzazioni vulnerabili a AET. Si tratta di una nuova classe di dispositivi progettati per contrastare tentativi sofisticati da parte di intrusi di penetrare nella rete di un'organizzazione.

“Oggi i datori di lavoro comprendono che i loro dipendenti a volte hanno bisogno di accedere a siti vietati (siti di reclutamento, social network, ecc.) e sistemi di messaggistica (Skype, ICQ). A tal proposito, le candidature delle liste “bianca” (possibile) e “nera” (non ammessa) vengono spostate nell'area “grigia” (possibile a determinate condizioni o in certo tempo). Si propone di formulare queste politiche di sicurezza delle informazioni sotto forma di regole di accesso", afferma Dmitry Ushakov.

Secondo Alexander Kushnarev, consulente tecnico di Rainbow Security (distributore di WatchGuard Technologies), WatchGuard ha introdotto nuove versioni virtuali dei suoi prodotti XTMv e XCSv, nonché piattaforme hardware di nuova generazione "con le migliori prestazioni UTM sul mercato". Le appliance WatchGuard XTM utilizzano il servizio WatchGuard Reputation Enabled Defense per proteggere gli utenti da siti Web dannosi riducendo notevolmente il carico di rete. Questo servizio offre un elevato grado di protezione contro le minacce Web, una navigazione Web più rapida, una gestione flessibile e ampie capacità di reporting.

“Vediamo crescere la domanda di dispositivi UTM. L'ultima generazione di piattaforme hardware WatchGuard è in grado di elaborare il traffico con i servizi UTM abilitati alla stessa velocità con cui le generazioni precedenti potevano eseguire solo un semplice filtraggio dei pacchetti. Per trasformare i firewall WatchGuard in un dispositivo UTM, basta attivare la licenza. Se il cliente necessita solo del filtraggio dei pacchetti e dell'organizzazione dei tunnel VPN, un firewall in senso classico andrà bene per lui", afferma Alexander Kushnarev.

Sottolinea che le funzionalità di controllo delle applicazioni in NGFW sono ora molto richieste: le aziende vogliono regolamentare l'accesso dei dipendenti ai social network e ai siti di gioco. Tra gli attuali strumenti UTM ci sono il filtro URL con supporto per un database di siti in lingua russa, nonché il pieno supporto per l'aggregazione e la reputazione delle porte risorse esterne. Quest'ultimo contribuisce al rilevamento di alta qualità e al blocco preventivo del traffico proveniente dalle botnet. Inoltre, la maggior parte dei clienti è interessata a risparmi sui costi, impostazioni di configurazione semplici e convenienti, quindi soluzioni all-in-one come WatchGuard XTM saranno un'opzione adatta per loro.

Anche due o tre anni fa, i clienti erano scettici su NGFW, ma ora che la concorrenza in questo mercato è piuttosto elevata, possono scegliere tra un'ampia gamma di prodotti NGFW di alta qualità. Secondo gli analisti di Cyber Security, fino al 2018 il mercato globale dei firewall di classe enterprise crescerà di oltre l'11% all'anno. Tuttavia, i firewall non sono una panacea. Quando si sceglie una soluzione, è necessario determinare chiaramente quali funzioni sono necessarie, assicurarsi che quelle dichiarate dal fornitore proprietà protettive può essere implementato in un ambiente di lavoro specifico in cui l'azienda (o l'outsourcer) dispone di risorse sufficienti per gestire le politiche di sicurezza.

E, naturalmente, tieni presente che gli NGFW rimangono dispositivi di sicurezza perimetrale. Svolgono perfettamente la loro funzione quando si accede a Internet, ma la "sicurezza mobile" richiede di più. Oggi, gli NGFW devono essere potenziati da soluzioni di sicurezza cloud e mobile ed "essere in grado" di riconoscere il contesto. Nel tempo, queste soluzioni diventeranno più accessibili, più semplici, più funzionali e modello nuvola apporterà modifiche al modo in cui sono gestite.

Sergej Orlov- Caporedattore del Journal of Network Solutions / LAN. Può essere contattato a:

1 590 sfregamenti.

TP-Link TP-LINK TD-W8961N(IT)

. Con supporto ADSL2+. Con il supporto Telnet. Numero di porte switch - 4. Con routing statico. Con router integrato. Con funzione SPI. Esecuzione - esterno. Con supporto NAT. Con supporto DNS dinamico. Tipo di modem - ADSL. Con supporto SNMP. Con un server DHCP. Con interruttore integrato. Interfaccia - Ethernet. Con interfaccia web. Con una zona smilitarizzata (DMZ). Dimensioni 130x195x35 mm.

acquistare in negozio online TopComputer.RU

ritiro possibile

rassegna videofoto

1 390 sfregamenti.

7% RUB 1.490

Modem xDSL TP-LINK TD-W8901N

Supporto VPN (passaggio VPN). Router integrato. Interruttore incorporato. Supporto DNS dinamico. Interfaccia web. Supporto telnet. Con 4 porte switch. SPI. Firewall. Server DHCP. NAT. Esecuzione - esterno. Zona demilitarizzata (DMZ). Interfaccia - Ethernet. Tipo di modem - ADSL. Supporto SNMP. Supporto ADSL2+. Con profondità: 128 mm. Con larghezza: 35 mm. Con altezza: 182 mm.

acquistare in negozio online xcomshop

ritiro possibile

rassegna videofoto

790 sfregamenti.

UPVEL UR-104AN modem router ADSL2+ con 4 porte Ethernet 10/100 Mbps con supporto IP-TV

Con instradamento statico. Con una zona smilitarizzata (DMZ). Con supporto NAT. Con un server DHCP. Con supporto per tunnel VPN (VPN Endpoint). Con supporto ADSL2+. Con funzione SPI. Con firewall (Firewall). Numero di porte switch - 4. Interfaccia - Ethernet. Esecuzione - esterno. Il numero di tunnel VPN supportati è 100. Con un router integrato. Con supporto SNMP. Con supporto DNS dinamico. Con interfaccia web. Con interruttore integrato. Tipo di modem - ADSL. Peso: 180 g Dimensioni 110x160x35 mm.

acquistare in negozio online oldi.ru

rassegna videofoto

2 261 sfregamenti.

Modem D-link DSL-2640U

Supporto SNMP. Supporto ADSL2+. SPI. Esecuzione - esterno. Firewall. Zona demilitarizzata (DMZ). Tipo di modem - ADSL. Supporto per tunnel VPN (VPN Endpoint). Supporto VPN (passaggio VPN). Interfaccia - Ethernet. Server DHCP. NAT. Interfaccia web. instradamento statico. Interruttore incorporato. Supporto DNS dinamico. Router integrato. Con porte switch 4. Con peso: 327g.

in negozio online prezzo-com.ru

rassegna videofoto

1 890 sfregamenti.

TP-Link TP-LINK TD-W8968

Tipo di modem - ADSL. Con interfaccia web. Con un server DHCP. Con supporto DNS dinamico. Con il supporto Telnet. Con una zona smilitarizzata (DMZ). Con router integrato. Con funzione SPI. Con firewall (Firewall). Con supporto NAT. Con instradamento statico. Interfaccia - Ethernet. Esecuzione - esterno. Con supporto SNMP. Quantità di porte dello switch - 4. Con il supporto di ADSL2 +. Con supporto VPN (VPN pass through). Con interruttore integrato. Con profondità: 130 mm. Con larghezza: 195 mm. Con altezza: 36 mm.

in negozio online TopComputer.RU

ritiro possibile

rassegna videofoto

1 590 sfregamenti.

Modem xDSL TP-LINK TD-W8961N

Zona demilitarizzata (DMZ). Interruttore incorporato. SPI. NAT. Esecuzione - esterno. Supporto ADSL2+. Supporto telnet. Interfaccia - Ethernet. Firewall. Supporto SNMP. Supporto DNS dinamico. Server DHCP. Interfaccia web. Con porte switch 4. Tipo di modem - ADSL. instradamento statico. Router integrato. Profondità: 130mm. Larghezza: 195 mm. Altezza: 35 mm.

in negozio online xcomshop

ritiro possibile

rassegna videofoto

2 075 sfregamenti.

Modem ADSL Upvel UR-203AWP

Esecuzione - esterno. Con supporto ADSL2+. Con supporto SNMP. Interfaccia - Ethernet. Tipo di modem - ADSL. Con interfaccia web. Con instradamento statico. Con funzione SPI. Con firewall (Firewall). Con il supporto Telnet. Con router integrato. Numero di porte switch - 3. Con una zona demilitarizzata (DMZ). Con supporto NAT. Con un server DHCP. Con supporto VPN (VPN pass through). Con interruttore integrato. Con supporto DNS dinamico. Con larghezza: 175 mm. Con profondità: 115 mm. Con altezza: 30 mm. Con peso: 280 g.

in negozio online TopComputer.RU

ritiro possibile

foto

1 790 sfregamenti.

Modem xDSL TP-LINK TD-W8960N

Zona smilitarizzata (DMZ). Server DHCP. Supporto VPN (passaggio VPN). Supporto DNS dinamico. Interruttore incorporato. Supporto SNMP. SPI. Firewall. NAT. Interfaccia - Ethernet. porta console. Interfaccia web. Tipo di modem - ADSL. Con 10 tunnel VPN supportati. Esecuzione - esterno. Supporto per tunnel VPN (VPN Endpoint). Supporto ADSL2+. instradamento statico. Router integrato. Con 4 porte switch Profondità: 140mm. Con altezza: 28 mm. Con larghezza: 200 mm.

Parlando della componente software e hardware del sistema di sicurezza delle informazioni, va riconosciuto che il modo più efficace per proteggere gli oggetti della rete locale (segmento di rete) dalle influenze delle reti aperte (ad esempio, Internet) comporta l'inserimento di alcuni elementi che controllano e filtra i pacchetti di rete che lo attraversano secondo le regole date. Tale elemento è chiamato firewall (firewall) o firewall, firewall.

firewall, firewall, firewall, firewall- formato dalla traslitterazione del termine inglese firewall.

Firewall (tedesco: Brandmauer)- un termine preso in prestito dal tedesco, che è un analogo dell'inglese "firewall" nel suo significato originale (un muro che separa gli edifici adiacenti, impedendo la propagazione del fuoco).

Rete/Firewall (ITU)- un complesso di hardware o software che controlla e filtra i pacchetti di rete che lo attraversano secondo vari protocolli secondo regole specificate.

Il compito principale di un firewall è proteggere le reti di computer e/oi singoli nodi da accessi non autorizzati. A volte vengono chiamati i firewall filtri, poiché il loro compito principale non è passare (filtrare) i pacchetti che non soddisfano i criteri definiti nella configurazione.

Per proteggere efficacemente la rete, il firewall monitora e gestisce tutto il traffico che la attraversa. Per prendere decisioni di controllo per i servizi TCP/IP (ovvero inoltrare, bloccare o registrare i tentativi di connessione), il firewall deve ricevere, ricordare, selezionare ed elaborare le informazioni ricevute da tutti i livelli di comunicazione e da altre applicazioni.

Il firewall passa tutto il traffico attraverso se stesso, prendendo una decisione in merito a ogni pacchetto che passa: lasciarlo passare o meno. Affinché il firewall possa eseguire questa operazione, deve definire un insieme di regole di filtraggio. La decisione di filtrare i pacchetti di dati associati a determinati protocolli e indirizzi tramite un firewall dipende dalla politica di sicurezza adottata nella rete protetta. In sostanza, un firewall è un insieme di componenti configurati per implementare una scelta politiche di sicurezza. La politica di sicurezza della rete di ciascuna organizzazione dovrebbe includere (tra le altre cose) due componenti: una politica di accesso ai servizi di rete e una politica di implementazione del firewall.

Tuttavia, non è sufficiente controllare semplicemente i pacchetti singolarmente. Le informazioni sullo stato dei collegamenti ottenute dalle precedenti ispezioni dei collegamenti e da altre applicazioni sono un fattore importante nella decisione di gestione quando si tenta di stabilire una nuova connessione. Sia lo stato della connessione (ottenuto dal flusso di dati precedente) che lo stato dell'applicazione (ottenuto da altre applicazioni) possono essere presi in considerazione per prendere una decisione.

Pertanto, le decisioni di gestione richiedono che il firewall abbia accesso, la capacità di analizzare e utilizzare i seguenti fattori:

informazioni sulla connessione: informazioni da tutti e sette i livelli (modelli OSI) nel pacchetto;
cronologia delle connessioni: informazioni ricevute da connessioni precedenti;
stato a livello di applicazione: informazioni sullo stato della connessione ricevute da altre applicazioni;
manipolazione delle informazioni: il calcolo di varie espressioni basate su tutti i fattori di cui sopra.

Tipi di firewall

Esistono diversi tipi di firewall a seconda delle seguenti caratteristiche:

se lo scudo fornisce una connessione tra un nodo e la rete o tra due o più reti diverse;
se il controllo del flusso avviene a livello di rete oa livelli superiori del modello OSI;
se gli stati delle connessioni attive vengono tracciati o meno.

A seconda della copertura dei flussi di dati controllati, i firewall si suddividono in:

schermata di rete tradizionale (o firewall).– un programma (o parte integrante del sistema operativo) su un gateway (un dispositivo che trasmette il traffico tra le reti) o una soluzione hardware che controlla i flussi di dati in entrata e in uscita tra le reti connesse (oggetti di rete distribuiti);
firewall personale- un programma installato sul computer dell'utente e progettato per proteggere solo questo computer da accessi non autorizzati.

A seconda del livello OSI a cui si verifica il controllo degli accessi, i firewall possono lavorare su:

livello di rete quando il filtraggio avviene in base agli indirizzi del mittente e del destinatario dei pacchetti, ai numeri di porta del livello di trasporto del modello OSI e alle regole statiche impostate dall'amministratore;
livello di sessione(conosciuto anche come stateful), quando le sessioni tra le applicazioni vengono tracciate e non vengono trasmessi pacchetti che violano le specifiche TCP/IP, spesso utilizzate in operazioni dannose: scansione delle risorse, attacchi tramite implementazioni TCP/IP errate, interruzioni/rallentamenti della connessione, iniezione di dati;
strato di applicazione(o livello dell'applicazione), quando il filtraggio si basa sull'analisi dei dati dell'applicazione trasmessi all'interno del pacchetto. Questi tipi di schermate consentono di bloccare la trasmissione di informazioni indesiderate e potenzialmente dannose in base a criteri e impostazioni.

Filtraggio a livello di rete

Il filtraggio dei pacchetti in entrata e in uscita viene effettuato sulla base delle informazioni contenute nei seguenti campi delle intestazioni dei pacchetti TCP e IP: indirizzo IP del mittente; indirizzo IP del destinatario; porta del mittente; porto destinatario.

Il filtro può essere implementato in vari modi per bloccare le connessioni determinati computer o porti. Ad esempio, puoi bloccare le connessioni da indirizzi specifici quei computer e reti considerati inaffidabili.

costo relativamente basso;
flessibilità nella definizione delle regole di filtraggio;
un piccolo ritardo nel passaggio dei pacchetti.

Screpolatura:

non raccoglie pacchetti frammentati;
non c'è modo di tenere traccia delle relazioni (connessioni) tra i pacchetti.?

Filtraggio a livello di sessione

A seconda del tracciamento delle connessioni attive, i firewall possono essere:

apolide(simple filtering), che non tengono traccia delle connessioni correnti (ad esempio, TCP), ma filtrano il flusso di dati esclusivamente in base a regole statiche;
stateful, stateful packet inspection (SPI)(filtraggio basato sul contesto), con tracciamento delle connessioni correnti e saltando solo quei pacchetti che soddisfano la logica e gli algoritmi dei corrispondenti protocolli e applicazioni.

I firewall con SPI consentono di gestire in modo più efficace vari tipi di attacchi DoS e vulnerabilità in alcuni protocolli di rete. Inoltre, forniscono il funzionamento di protocolli come H.323, SIP, FTP, ecc., che utilizzano schemi complessi per il trasferimento di dati tra destinatari difficili da descrivere con regole statiche e spesso incompatibili con i firewall standard senza stato.

I vantaggi di questo filtraggio includono:

analisi del contenuto dei pacchetti;
non è richiesta alcuna informazione sul funzionamento dei protocolli di livello 7.

Screpolatura:

è difficile analizzare i dati a livello di applicazione (possibilmente utilizzando ALG - Application level gateway).

Gateway a livello di applicazione, ALG (gateway a livello di applicazione)- un componente di un router NAT che comprende un protocollo applicativo e quando i pacchetti di questo protocollo lo attraversano, li modifica in modo tale che gli utenti dietro il NAT possano utilizzare il protocollo.

Il servizio ALG fornisce supporto per i protocolli a livello di applicazione (come SIP, H.323, FTP, ecc.) per i quali non è consentito Network Address Translation. Questo servizio determina il tipo di applicazione nei pacchetti provenienti dall'interfaccia della rete interna ed esegue per essi l'opportuna traduzione indirizzo/porta attraverso l'interfaccia esterna.

Tecnologia SPI(Stateful Packet Inspection) o tecnologia stateful packet inspection è oggi un metodo avanzato di controllo del traffico. Questa tecnologia consente di controllare i dati fino al livello dell'applicazione, senza richiedere applicazione separata un intermediario o proxy per ogni protocollo protetto o servizio di rete.

I firewall si sono storicamente evoluti dai filtri di pacchetti scopo generale, quindi iniziarono ad apparire programmi intermedi per i singoli protocolli e, infine, fu sviluppata la tecnologia di ispezione stateful. Le tecnologie precedenti si completavano solo a vicenda, ma non fornivano un controllo completo sulle connessioni. I filtri di pacchetto non hanno accesso alle informazioni sullo stato della connessione e dell'applicazione necessarie per prendere la decisione finale sulla sicurezza. I broker elaborano solo dati a livello di applicazione, il che spesso dà origine a varie opportunità di hacking del sistema. L'architettura stateful inspection è unica perché consente di manipolare tutte le informazioni che passano attraverso la macchina gateway: dati dal pacchetto, dati sullo stato della connessione, dati necessari all'applicazione.

Un esempio di come funziona il meccanismo Stateful Inspection. Il firewall monitora la sessione FTP controllando i dati a livello di applicazione. Quando un client richiede al server di aprire una connessione inversa (comando FTP PORT), il firewall estrae il numero di porta dalla richiesta. L'elenco memorizza gli indirizzi del client e del server, i numeri di porta. Quando rileva un tentativo di stabilire una connessione dati FTP, il firewall esamina l'elenco e controlla se la connessione è effettivamente in risposta a una richiesta client valida. La netlist viene mantenuta dinamicamente in modo che siano aperte solo le porte FTP necessarie. Non appena la sessione viene chiusa, le porte vengono bloccate, fornendo un elevato livello di sicurezza.

Filtraggio a livello di applicazione

Per proteggere una serie di vulnerabilità inerenti al filtraggio dei pacchetti, i firewall devono utilizzare applicazioni per filtrare le connessioni a servizi come Telnet, HTTP, FTP. Applicazione simile chiamato servizio proxy e l'host che esegue il servizio proxy è il gateway del livello applicazione. Tale gateway elimina la comunicazione diretta tra un client autorizzato e un host esterno. Il gateway filtra tutti i pacchetti in entrata e in uscita a livello di applicazione (livello di applicazione - il livello superiore del modello di rete) e può analizzare il contenuto dei dati, come un URL contenuto in un messaggio HTTP o un comando contenuto in un messaggio FTP . A volte è più efficiente filtrare i pacchetti in base alle informazioni contenute nei dati stessi. I filtri di pacchetto e i filtri a livello di collegamento non utilizzano il contenuto del flusso di informazioni quando prendono decisioni di filtraggio, ma ciò può essere fatto utilizzando il filtraggio a livello di applicazione. I filtri a livello di applicazione possono utilizzare le informazioni dall'intestazione del pacchetto, nonché il contenuto dei dati e le informazioni dell'utente. Gli amministratori possono utilizzare il filtro a livello di applicazione per controllare l'accesso in base all'identità dell'utente e/o compito specifico che l'utente sta cercando di implementare. Nei filtri a livello di applicazione è possibile impostare regole basate sui comandi emessi dall'applicazione. Ad esempio, un amministratore può impedire a un utente specifico di scaricare file su un computer specifico tramite FTP o consentire a un utente di caricare file tramite FTP sullo stesso computer.

Confronto di firewall hardware e software

Per confrontare i firewall, li dividiamo in due tipi: 1o - hardware e software e hardware e 2o - software.

I firewall hardware e firmware includono i dispositivi installati ai margini della rete. I firewall software sono quelli installati sugli host finali.

Le direzioni principali inerenti sia al primo che al secondo tipo:

garantire la sicurezza del traffico in entrata e in uscita;
un aumento significativo della sicurezza della rete e una riduzione del rischio per gli host di sottorete durante il filtraggio di servizi noti non sicuri;
la capacità di controllare l'accesso ai sistemi di rete;
notifica degli eventi mediante appositi allarmi che scattano al verificarsi di qualsiasi attività sospetta (tentativi di sonda o attacchi);
fornendo una soluzione di sicurezza a basso costo, facile da implementare e gestire.

I firewall hardware e firmware supportano inoltre funzionalità che consentono di:

impedire che le informazioni vengano ricevute dalla sottorete protetta o iniettate nella sottorete protetta utilizzando qualsiasi servizio vulnerabile;
registrare i tentativi di accesso e fornire le statistiche necessarie sull'uso di Internet;
fornire mezzi per regolare l'ordine di accesso alla rete;
fornire un controllo centralizzato del traffico.

I firewall software, oltre alle aree principali, consentono:

controllare l'avvio delle applicazioni sull'host in cui sono installate;
proteggere l'oggetto dalla penetrazione attraverso i "portelli" (porte posteriori);
fornire protezione contro le minacce interne.

Il firewall non è un dispositivo simmetrico. Distingue tra i concetti: "fuori" e "dentro". Il firewall fornisce protezione dell'area interna da attacchi incontrollati e potenzialmente ostili ambiente esterno. Allo stesso tempo, il firewall consente di limitare l'accesso agli oggetti rete pubblica dai soggetti di una rete sicura. In caso di violazione dell'autorità, il lavoro del soggetto di accesso è bloccato, e tutto le informazioni necessarieè registrato.

I firewall possono essere utilizzati anche all'interno di reti aziendali sicure. Se la rete locale ha sottoreti con vari gradi di riservatezza delle informazioni, è consigliabile separare tali frammenti con i firewall. In questo caso, gli schermi sono chiamati interni.

Con un'enorme varietà di strumenti software professionali per la protezione da vari tipi di attacchi alla rete locale dall'esterno (ovvero da Internet), hanno tutti un grave inconveniente costo alto. E se parliamo di piccole reti di classe SOHO, l'acquisizione di pacchetti solidi è un lusso insostenibile. Allo stesso tempo, vale la pena notare che per le reti di piccole dimensioni le funzionalità di tali pacchetti potrebbero persino essere ridondanti. Pertanto, le soluzioni hardware a basso costo chiamate firewall sono ampiamente utilizzate per proteggere le piccole reti SOHO. In base alla loro progettazione, i firewall possono essere implementati come soluzione separata o essere parte integrante dei router di classe SOHO, in particolare router senza fili, che consente di combinare segmenti cablati e wireless della rete locale basati su di essi.
In questo articolo esamineremo le caratteristiche principali dei moderni firewall hardware integrati nei router di classe SOHO e utilizzati per proteggere le piccole reti locali.

Firewall come parte integrante dei router

Poiché i router sono dispositivi di rete installati al confine tra reti interne ed esterne e fungono da gateway di rete, devono avere almeno due porte per progettazione. Una LAN è collegata a una di queste porte e questa porta diventa una porta LAN interna. Una rete esterna (Internet) è collegata alla seconda porta, trasformandola in una porta WAN esterna. Di norma, i router di classe SOHO hanno una porta WAN e diverse porte LAN (da una a quattro), che sono combinate in uno switch. Nella maggior parte dei casi, la porta WAN dello switch dispone di un'interfaccia 10/100Base-TX e può essere collegato a un modem xDSL con l'interfaccia appropriata o un cavo di rete Ethernet.

Inoltre, diffuso reti wireless ha portato alla nascita di un'intera classe di cosiddetti router wireless. Questi dispositivi, oltre al classico router con porte WAN e LAN, contengono un access point wireless integrato che supporta il protocollo IEEE 802.11a/b/g. Segmento senza fili rete, che consente di organizzare un punto di accesso, dalla posizione del router si riferisce alla rete interna, e in questo senso i computer collegati al router in modalità wireless non sono diversi da quelli collegati alla porta LAN.

Qualsiasi router, come dispositivo a livello di rete, ha il proprio indirizzo IP. Oltre al router, anche la porta WAN ha il proprio indirizzo IP.

I computer collegati alle porte LAN del router devono avere un indirizzo IP sulla stessa sottorete del router stesso. Inoltre, nelle impostazioni di rete di questi PC, è necessario impostare l'indirizzo del gateway predefinito in modo che corrisponda all'indirizzo IP del router. Infine, il dispositivo che si connette alla porta WAN dalla rete esterna deve avere un indirizzo IP della stessa sottorete della porta WAN del router.

Poiché il router funge da gateway tra la rete locale e Internet, è logico aspettarsi da esso una funzione come la protezione della rete interna da accessi non autorizzati. Pertanto, quasi tutti i moderni router di classe SOHO dispongono di firewall hardware integrati, chiamati anche firewall.

Caratteristiche del firewall

Il compito principale di qualsiasi firewall si riduce in ultima analisi alla protezione della rete interna. Per risolvere questo problema, i firewall devono essere in grado di mascherare la rete protetta, bloccando tutti i tipi conosciuti attacchi hacker, bloccare la fuga di informazioni dalla rete interna, controllare le applicazioni che accedono alla rete esterna.

Per implementare queste funzioni, i firewall analizzano tutto il traffico tra le reti esterne e interne per verificarne la conformità a determinati criteri o regole stabiliti che determinano le condizioni per il passaggio del traffico da una rete all'altra. Se il traffico soddisfa i criteri specificati, il firewall lo passa attraverso se stesso. In caso contrario, ovvero se i criteri specificati non vengono soddisfatti, il traffico viene bloccato dal firewall. I firewall filtrano il traffico in entrata e in uscita e consentono di controllare l'accesso a determinate risorse o applicazioni di rete. Possono registrare tutti i tentativi di accesso non autorizzato alle risorse della rete locale ed emettere avvisi sui tentativi di penetrazione.

Nel loro scopo, i firewall assomigliano soprattutto a un checkpoint (checkpoint) di una struttura protetta, dove vengono controllati i documenti per tutti coloro che entrano nel territorio della struttura e per tutti coloro che ne escono. Se il pass è in regola è consentito l'accesso al territorio. I firewall funzionano esattamente allo stesso modo, solo i pacchetti di rete agiscono come persone che passano attraverso il checkpoint e il passaggio è la corrispondenza delle intestazioni di questi pacchetti a un insieme predefinito di regole.

I firewall sono davvero così affidabili?

È sicuro affermare che un firewall fornisce il 100% di sicurezza per la rete o il PC personale di un utente? Certamente no. Se non altro perché nessun sistema in generale offre una garanzia di sicurezza al 100%. Un firewall dovrebbe essere trattato come uno strumento che, se correttamente configurato, può complicare enormemente il compito di un utente malintenzionato di penetrare nel personal computer di un utente. Sottolineiamo: solo per complicare, ma non per garantire la sicurezza assoluta. A proposito, se non stiamo parlando di proteggere la rete locale, ma di proteggere un PC separato con accesso a Internet, quindi fornendolo sicurezza personale il firewall ICF (Internet Firewall di connessione) integrato nella sala operatoria Sistema Windows xp. Pertanto, in futuro parleremo solo di firewall hardware aziendali progettati per proteggere le piccole reti.

Se il firewall installato all'ingresso della rete locale è completamente attivato (di norma, ciò corrisponde alle impostazioni predefinite), la rete che protegge è completamente impenetrabile e inaccessibile dall'esterno. Tuttavia, una tale completa impenetrabilità della rete interna ha il suo lato negativo. Il fatto è che in questo caso diventa impossibile utilizzare i servizi Internet (ad esempio ICQ e programmi simili) installati sul PC. Pertanto, il compito di configurare il firewall è creare finestre nel muro inizialmente vuoto che il firewall rappresenta per l'attaccante, consentendo ai programmi utente di rispondere alle richieste dall'esterno e infine implementare l'interazione controllata della rete interna con il mondo esterno. Tuttavia, più tali finestre appaiono in un tale muro, più vulnerabile diventa la rete stessa. Quindi ribadiamo ancora una volta: nessun firewall può garantire l'assoluta sicurezza della rete locale che protegge.

Classificazione firewall

Le capacità dei firewall e la loro intelligenza dipendono dal livello del modello di riferimento OSI su cui operano. Maggiore è il livello OSI su cui è costruito il firewall, maggiore è il livello di protezione fornito.

Richiama questo Modello OSI (sistema aperto Interconnessione) include sette livelli di architettura di rete. Il primo, il più basso, è strato fisico. È seguito dai livelli di collegamento, rete, trasporto, sessione, presentazione e applicazione o applicazione. Per fornire il filtraggio del traffico, il firewall deve operare almeno al terzo livello del modello OSI, ovvero al livello di rete, dove i pacchetti vengono instradati in base alla traduzione degli indirizzi MAC in indirizzi di rete. Dal punto di vista del protocollo TCP/IP, questo livello corrisponde al livello IP (Internet Protocol). Ricevendo le informazioni sul livello di rete, i firewall sono in grado di determinare l'indirizzo di origine e di destinazione di un pacchetto e verificare se il traffico può passare tra queste destinazioni. Tuttavia, le informazioni a livello di rete non sono sufficienti per analizzare il contenuto di un pacchetto. I firewall che operano al livello di trasporto del modello OSI ricevono un po' più di informazioni sui pacchetti e, in questo senso, possono fornire schemi di protezione della rete più intelligenti. Per quanto riguarda i firewall che funzionano a livello di applicazione, hanno accesso a informazioni complete sui pacchetti di rete, il che significa che tali firewall forniscono la protezione di rete più affidabile.

A seconda del livello del modello OSI su cui operano i firewall, storicamente si è sviluppata la seguente classificazione di questi dispositivi:

filtro pacchetto (filtro pacchetto);
gateway a livello di sessione (gateway a livello di circuito);
gateway a livello di applicazione (gateway a livello di applicazione);
Ispezione dei pacchetti con stato (SPI).

Notare che questa classificazioneè solo di interesse storico, poiché tutti i firewall moderni sono classificati come i firewall SPI più avanzati (in termini di sicurezza della rete).

Filtri di pacchetti

I firewall di tipo filtro pacchetti sono i più semplici (meno intelligenti). Questi firewall operano a livello di rete del modello OSI oa livello IP dello stack di protocollo TCP/IP. Tali firewall sono obbligatori in ogni router, poiché qualsiasi router opera almeno al terzo livello del modello OSI.

Il compito dei filtri di pacchetto è filtrare i pacchetti in base alle informazioni sull'indirizzo IP di origine o di destinazione, nonché sui numeri di porta.

Nei firewall come i filtri di pacchetto, ogni pacchetto viene analizzato per vedere se soddisfa i criteri di trasmissione o blocca la trasmissione prima che venga trasmesso. A seconda del pacchetto e dei criteri di trasmissione generati, il firewall può trasmettere il pacchetto, rifiutarlo o inviare una notifica all'iniziatore della trasmissione.

I filtri di pacchetto sono facili da implementare e hanno poco o nessun effetto sulla velocità di instradamento.

Gateway a livello di sessione

I gateway a livello di sessione sono firewall che operano a livello di sessione del modello OSI oa livello TCP (Transport Control Protocol) dello stack di protocollo TCP/IP. Questi firewall monitorano il processo di creazione di una connessione TCP (l'organizzazione delle sessioni di scambio di dati tra terminali) e consentono di determinare se una determinata sessione di comunicazione è legittima. I dati trasmessi a un computer remoto sulla rete esterna tramite un gateway a livello di sessione non contengono informazioni sull'origine della trasmissione, ovvero sembra che i dati vengano inviati dal firewall stesso e non da un computer all'interno rete (protetta). Tutti i firewall basati sul protocollo NAT sono gateway a livello di sessione (il protocollo NAT verrà descritto di seguito).

Anche i gateway a livello di sessione non hanno un impatto significativo sulla velocità di routing. Allo stesso tempo, questi gateway non sono in grado di filtrare i singoli pacchetti.

Gateway a livello di applicazione

I gateway a livello di applicazione, o server proxy, operano a livello di applicazione del modello OSI. Il livello dell'applicazione è responsabile dell'accesso delle applicazioni alla rete. Le attività a questo livello includono il trasferimento di file, la condivisione messaggi postali e gestione della rete. Ricevendo informazioni sui pacchetti a livello di applicazione, i gateway a livello di applicazione possono implementare il blocco dell'accesso a determinati servizi. Ad esempio, se il gateway a livello di applicazione è configurato come proxy Web, l'eventuale traffico relativo ai protocolli Telnet, FTP e Gopher verrà bloccato. Poiché questi firewall analizzano i pacchetti a livello di applicazione, sono in grado di filtrare comandi specifici come http:post, get e così via. Questa funzione non è disponibile per i filtri di pacchetto oi gateway a livello di sessione. I gateway a livello di applicazione possono anche essere utilizzati per registrare l'attività dei singoli utenti e impostare sessioni di comunicazione. Questi firewall offrono un modo più affidabile per proteggere le reti rispetto ai gateway a livello di sessione e ai filtri di pacchetto.

Firewall SPI

L'ultimo tipo di firewall Stateful Packet Inspection (SPI) combina i vantaggi dei filtri di pacchetto, dei gateway a livello di sessione e dei gateway a livello di applicazione. Cioè, infatti, stiamo parlando di firewall multilivello che funzionano contemporaneamente a livello di rete, sessione e applicazione.

I firewall SPI eseguono il filtraggio dei pacchetti a livello di rete, determinano la legittimità di stabilire una sessione di comunicazione in base ai dati del livello di sessione e analizzano il contenuto dei pacchetti in base ai dati del livello dell'applicazione.

Questi firewall forniscono il modo più affidabile per proteggere le reti e sono attualmente lo standard de facto.

Impostazioni firewall

La metodologia e le opzioni per la configurazione dei firewall dipendono da modello specifico. Sfortunatamente, non ci sono regole uniformi per la configurazione, per non parlare di un'interfaccia uniforme. Possiamo solo parlare di alcune regole generali che dovrebbero essere seguite. In realtà, la regola principale è abbastanza semplice: devi proibire tutto ciò che non è necessario per il normale funzionamento della rete.

Molto spesso, le opzioni per la configurazione dei firewall si riducono all'attivazione di alcune regole predefinite e alla creazione di regole statiche sotto forma di tabella.

Consideriamo ad esempio le possibilità di configurazione di un firewall incluso nel router Gigabyte GN-B49G. Questo router ha una serie di regole predefinite che consentono di implementare diversi livelli di sicurezza della rete interna. Queste regole includono quanto segue:

L'accesso alla configurazione e all'amministrazione del Router dal lato WAN è proibito. L'attivazione di questa funzione impedisce l'accesso alle impostazioni del router dalla rete esterna;
L'accesso da Global-IP a Private-IP è proibito all'interno della LAN. Questa funzione consente di bloccare l'accesso all'interno della rete locale da indirizzi IP globali (se presenti) a indirizzi IP riservati per uso privato;
Impedisci la condivisione di file e stampanti dall'esterno della rete del router. La funzione impedisce l'utilizzo dall'esterno dell'accesso condiviso a stampanti e file sulla rete interna;
L'esistenza del router non può essere rilevata dal lato WAN. Questa funzione rende il router invisibile dalla rete esterna;
Gli attacchi Denial of Service (DoS) vengono prevenuti. Quando questa funzione è attivata, viene implementata la protezione contro gli attacchi DoS (Denial of Service). Gli attacchi DoS sono un tipo di attacco di rete che consiste in più richieste al server che richiedono un servizio fornito dal sistema. Il server spende le sue risorse per stabilire una connessione e servirla e, con un certo flusso di richieste, non può farvi fronte. La protezione contro attacchi di questo tipo si basa sull'analisi delle sorgenti di traffico eccessivo rispetto al traffico normale e sul divieto della sua trasmissione.

Come abbiamo già notato, molti firewall hanno regole predefinite che sono essenzialmente le stesse di quelle sopra elencate, ma possono avere altri nomi.

Un altro modo per configurare un firewall è creare regole statiche che consentano non solo di proteggere la rete dall'esterno, ma anche di limitare l'accesso alla rete esterna per gli utenti della rete locale. Le possibilità di creare regole sono abbastanza flessibili e ti consentono di implementare quasi tutte le situazioni. Per creare una regola, specificare l'indirizzo IP di origine (o intervallo di indirizzi), le porte di origine, gli indirizzi IP e le porte di destinazione, il tipo di protocollo, la direzione di trasmissione del pacchetto (dalla rete interna alla rete esterna o viceversa) e il azione da intraprendere quando il pacchetto viene rilevato con le proprietà specificate (rilasciare o saltare il pacchetto). Ad esempio, se si desidera impedire agli utenti della rete interna (intervallo di indirizzi IP: 192.168.1.1-192.168.1.100) di accedere al server FTP (porta 21) situato all'indirizzo IP esterno 64.233.183.104, allora la regola può essere formulato come segue:

direzione di inoltro dei pacchetti: da LAN a WAN;
Indirizzi IP di origine: 192.168.1.1-192.168.1.100;
porta sorgente: 1-65535;
porto di destinazione: 21;
protocollo: TCP;
azione: cadere.

La configurazione statica della regola del firewall per l'esempio precedente è mostrata in Fig. uno.

Protocollo NAT come parte integrante del firewall

Tutti i router moderni con firewall integrati supportano NAT (Network Address Translation).

Il protocollo NAT non fa parte del firewall, ma allo stesso tempo contribuisce ad aumentare la sicurezza della rete. Il compito principale del protocollo NAT è risolvere il problema della carenza di indirizzi IP, che sta diventando sempre più urgente con l'aumentare del numero di computer.

Il fatto è che nell'attuale versione del protocollo IPv4 vengono assegnati quattro byte per determinare l'indirizzo IP, il che consente di formare oltre quattro miliardi di indirizzi di computer di rete. Naturalmente, in quei giorni in cui Internet era agli inizi, era difficile persino immaginare che un giorno questo numero di indirizzi IP potesse non essere sufficiente. Per risolvere parzialmente il problema della carenza di indirizzi IP, una volta è stato proposto il protocollo di traduzione degli indirizzi di rete NAT.

Il protocollo NAT è definito da RFC 1631, che definisce come avviene la traduzione degli indirizzi di rete.

Nella maggior parte dei casi, un dispositivo NAT traduce gli indirizzi IP riservati per uso privato sulle reti locali in indirizzi IP pubblici.

Lo spazio degli indirizzi privati è regolato da RFC 1918. Questi indirizzi includono i seguenti intervalli IP: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.168.255.255.

Secondo RFC 1918, gli indirizzi IP privati non possono essere utilizzati in rete globale, quindi possono essere utilizzati liberamente solo per scopi interni.

Prima di passare alle funzionalità del protocollo NAT, diamo un'occhiata a come avviene una connessione di rete tra due PC.

Quando un computer su una rete stabilisce una connessione con un altro computer, viene aperto un socket, identificato dall'indirizzo IP di origine, dalla porta di origine, dall'indirizzo IP di destinazione, dalla porta di destinazione e dal protocollo di rete. Il formato del pacchetto IP fornisce un campo a due byte per i numeri di porta. Ciò consente di definire 65.535 porte che svolgono il ruolo di una sorta di canali di comunicazione. Delle 65.535 porte, le prime 1023 sono riservate a note servizi server come Web, FTP, Telnet, ecc. Tutte le altre porte possono essere utilizzate per qualsiasi altro scopo.

Se, ad esempio, un computer di rete accede al server FTP (porta 21), quando il socket viene aperto, il sistema operativo assegna alla sessione qualsiasi porta superiore a 1023. Ad esempio, può essere la porta 2153. Quindi il pacchetto IP inviato dal lato PC al server FTP conterrà l'indirizzo IP di origine, la porta di origine (2153), l'indirizzo IP di destinazione e la porta di destinazione (21). L'indirizzo IP e la porta del mittente verranno utilizzati per la risposta del server al client. L'utilizzo di porte diverse per diverse sessioni di rete consente ai client di rete di stabilire simultaneamente più sessioni con server diversi o con i servizi dello stesso server.

Ora diamo un'occhiata al processo di creazione di una sessione quando si utilizza un router NAT al confine tra la rete interna e Internet.

Quando un client di rete interno comunica con un server di rete esterno, proprio come quando viene stabilita una connessione tra due PC, viene aperto un socket, identificato dall'indirizzo IP di origine, dalla porta di origine, dall'indirizzo IP di destinazione, dalla porta di destinazione e dal protocollo di rete. Quando un'applicazione invia dati su questo socket, l'indirizzo IP di origine e la porta di origine vengono inseriti nel pacchetto nei campi del parametro di origine. I campi del parametro di destinazione conterranno l'indirizzo IP del server e la porta del server. Ad esempio, un computer di rete interno con indirizzo IP 192.168.0.1 può accedere a un server Web WAN con indirizzo IP 64.233.188.104. In questo caso, il sistema operativo client può assegnare la porta 1251 (porta di origine) alla sessione stabilita e la porta di destinazione è la porta del servizio Web, ovvero 80. Quindi verranno indicati i seguenti attributi nell'intestazione del pacchetto inviato (figura 2):

porta sorgente: 1251;
Indirizzo IP di destinazione: 64.233.183.104;
porta di destinazione: 80;
protocollo: TCP.

Il dispositivo NAT (router) intercetta il pacchetto in uscita dalla rete interna e inserisce nella sua tabella interna la mappatura delle porte di origine e di destinazione del pacchetto utilizzando l'indirizzo IP di destinazione, la porta di destinazione, l'indirizzo IP esterno del dispositivo NAT, la porta esterna , protocollo di rete e indirizzo IP interno e porta del client.

Supponiamo che nell'esempio precedente il router NAT abbia un indirizzo IP esterno 195.2.91.103 (indirizzo della porta WAN) e, per una sessione stabilita, la porta esterna del dispositivo NAT sia 3210. In questo caso, la tabella di mappatura delle porte interne delle porte di origine e di destinazione del pacchetto contiene le seguenti informazioni:

Indirizzo IP di origine: 192.168.0.1;
porta sorgente: 1251;
indirizzo IP esterno

Dispositivi NAT: 195.2.91.103;

porta esterna del dispositivo NAT: 3210;
Indirizzo IP di destinazione: 64.233.183.104;
porta di destinazione: 80;
protocollo: TCP.

Il dispositivo NAT quindi "traduce" il pacchetto traducendo i campi di origine nel pacchetto: l'indirizzo IP e la porta interni del client vengono sostituiti con l'indirizzo IP e la porta esterni del dispositivo NAT. In questo esempio, il pacchetto convertito conterrà le seguenti informazioni:

Indirizzo IP di origine: 195.2.91.103;
porta sorgente: 3210;
Indirizzo IP di destinazione: 64.233.183.104;
porta di destinazione: 80;
protocollo: TCP.

Il pacchetto convertito viene inviato sulla rete esterna e alla fine raggiunge il server specificato.

Alla ricezione del pacchetto, il server invierà i pacchetti di risposta all'indirizzo IP esterno e alla porta del dispositivo NAT (router), specificando nei campi sorgente il proprio indirizzo IP e la propria porta (Fig. 3). Nell'esempio considerato, il pacchetto di risposta dal server conterrà le seguenti informazioni nell'intestazione:

porta sorgente: 80;
Indirizzo IP di destinazione: 195.2.91.103;
porta di destinazione: 3210;
protocollo: TCP.

Riso. 3. Il principio di funzionamento di un dispositivo NAT durante il trasferimento di un pacchetto da una rete esterna a una interna

Il dispositivo NAT riceve questi pacchetti dal server e ne analizza il contenuto in base alla sua tabella di mappatura delle porte. Se nella tabella viene trovata una mappatura della porta per la quale l'indirizzo IP di origine, la porta di origine, la porta di destinazione e il protocollo di rete dal pacchetto in entrata corrispondono all'indirizzo IP dell'host remoto, alla porta remota e al protocollo di rete specificati nella mappatura della porta, allora NAT eseguirà la traduzione inversa: sostituirà l'indirizzo IP esterno e la porta esterna nei campi di destinazione del pacchetto con l'indirizzo IP e la porta interna del client di rete interno. Pertanto, il pacchetto trasmesso alla rete interna, per l'esempio discusso sopra, avrà i seguenti attributi:

Indirizzo IP di origine: 64.233.183.104;
porta sorgente: 80;
Indirizzo IP di destinazione: 192.168.0.1;
porto di destinazione: 1251;
protocollo: TCP.

Tuttavia, se non c'è corrispondenza nella tabella di mappatura delle porte, allora pacchetto in arrivo viene rifiutato e la connessione viene interrotta.

Grazie al router NAT, qualsiasi PC della rete interna è in grado di trasferire i dati alla WAN utilizzando l'indirizzo IP esterno e la porta del router. Allo stesso tempo, gli indirizzi IP della rete interna, in quanto porte assegnate alle sessioni, rimangono invisibili dalla rete esterna.

Tuttavia, un router NAT consente la comunicazione tra computer sulla rete interna ed esterna solo se la comunicazione viene avviata da un computer sulla rete interna. Se un computer sulla rete esterna tenta di accedere a un computer sulla rete interna di propria iniziativa, tale connessione viene rifiutata dal dispositivo NAT. Pertanto, oltre a risolvere il problema degli indirizzi IP insufficienti, il NAT contribuisce anche alla sicurezza della rete interna.

Problemi relativi ai dispositivi NAT

Nonostante l'apparente semplicità dei dispositivi NAT, sono associati ad alcuni problemi che spesso complicano l'organizzazione dell'interazione tra i computer della rete o addirittura ne impediscono la creazione. Ad esempio, se la rete locale è protetta da un dispositivo NAT, qualsiasi client sulla rete interna può stabilire una connessione con il server WAN, ma non viceversa. Cioè, dalla rete esterna, non è possibile avviare una connessione a un server che si trova sulla rete interna dietro un dispositivo NAT. Ma cosa succede se sulla rete interna è presente un servizio (come un server FTP o Web) a cui gli utenti della rete esterna devono poter accedere? Per risolvere questo problema, i router NAT utilizzano la zona perimetrale e le tecnologie di port forwarding, che verranno descritte in dettaglio di seguito.

Un altro problema con i dispositivi NAT è che alcune applicazioni di rete includono l'indirizzo IP e la porta nella parte dati del pacchetto. È chiaro che il dispositivo NAT non è in grado di tradurre tali indirizzi. Di conseguenza, se un'applicazione di rete inserisce un indirizzo IP o una porta nella porzione di payload di un pacchetto, il server risponde a tale pacchetto utilizzando l'indirizzo IP e la porta nidificati per i quali non esiste una voce di mappatura corrispondente nella tabella interna del dispositivo NAT . Di conseguenza, tale pacchetto verrà eliminato dal dispositivo NAT e, pertanto, le applicazioni che utilizzano questa tecnologia non saranno in grado di funzionare in presenza di dispositivi NAT.

Esistono applicazioni di rete che utilizzano una porta (come porta del mittente) durante la trasmissione dei dati, ma attendono una risposta su un'altra porta. Il dispositivo NAT analizza il traffico in uscita e mappa la porta di origine. Tuttavia, il dispositivo NAT non sa che è prevista una risposta su una porta diversa e non può eseguire la mappatura appropriata. Di conseguenza, i pacchetti di risposta indirizzati a una porta che non ha una corrispondenza nella tabella interna del dispositivo NAT verranno eliminati.

Un altro problema con i dispositivi NAT è l'accesso multiplo alla stessa porta. Consideriamo una situazione in cui diversi client di una rete locale, separati dalla rete esterna da un dispositivo NAT, accedono alla stessa porta standard. Ad esempio, potrebbe essere la porta 80 riservata a un servizio Web. Poiché tutti i client della rete interna utilizzano lo stesso indirizzo IP, sorge la domanda: come può un dispositivo NAT determinare a quale client della rete interna si riferisce la richiesta esterna? Per risolvere questo problema, solo un client alla volta sulla rete interna ha accesso alla porta standard.

Port forwarding statico (mappatura delle porte)

Per rendere accessibili dalla rete esterna determinate applicazioni in esecuzione su un server della rete interna (come un server Web o un server FTP), è necessario impostare nel dispositivo NAT una mappatura tra le porte utilizzate da determinate applicazioni e gli indirizzi IP. quei server intranet su cui vengono eseguite queste applicazioni. In questo caso, parlano della tecnologia di mappatura delle porte e lo stesso server di rete interno è chiamato server virtuale. Di conseguenza, qualsiasi richiesta dalla rete esterna all'indirizzo IP esterno del dispositivo NAT (router) sulla porta specificata verrà automaticamente reindirizzata al server virtuale di rete interno specificato.

Ad esempio, se sulla rete interna è configurato un server FTP virtuale, che viene eseguito su un PC con indirizzo IP 192.168.0.10, durante la configurazione server virtuale vengono impostati l'indirizzo IP del server virtuale (192.168.0.10), il protocollo utilizzato (TCP) e la porta dell'applicazione (21). In tal caso, quando si accede all'indirizzo esterno del dispositivo NAT (la porta WAN del router) sulla porta 21, l'utente sulla rete esterna può accedere al server FTP sulla rete interna, nonostante l'utilizzo del protocollo NAT. Un esempio di configurazione di un server virtuale su un router NAT reale è mostrato in fig. 4.

In genere, i router NAT consentono di creare più port forwarding statici. Quindi, su un server virtuale, puoi aprire più porte contemporaneamente o creare più server virtuali con indirizzi IP diversi. Tuttavia, con il port forwarding statico, non è possibile inoltrare una singola porta a più indirizzi IP, il che significa che una porta può corrispondere a un singolo indirizzo IP. Non è possibile, ad esempio, configurare più Web server con indirizzi IP differenti per fare ciò, sarà necessario modificare la porta Web server predefinita e, accedendo alla porta 80, nelle impostazioni del router, specificare la Web port modificata come Private Port.server.

La maggior parte dei modelli di router consente inoltre di impostare il reindirizzamento statico di un gruppo di porte, ovvero di associare un intero gruppo di porte contemporaneamente all'indirizzo IP di un server virtuale. Questa funzione è utile se devi supportare applicazioni che utilizzano un gran numero di porte, come giochi o conferenze audio/video. Numero di gruppi di porte inoltrati per diversi modelli i router variano, ma di solito ce ne sono almeno dieci.

Port forwarding dinamico (applicazione speciale)

Il port forwarding statico consente di risolvere parzialmente il problema dell'accesso da una rete esterna ai servizi di rete locale protetti da un dispositivo NAT. Tuttavia, esiste anche un compito opposto: la necessità di fornire agli utenti della rete locale l'accesso a una rete esterna tramite un dispositivo NAT. Il fatto è che alcune applicazioni (ad esempio giochi su Internet, videoconferenze, telefonia via Internet e altre applicazioni che richiedono la creazione simultanea di molte sessioni) non sono compatibili con la tecnologia NAT. Per risolvere questo problema, viene utilizzato il cosiddetto port forwarding dinamico (a volte chiamato applicazione speciale), quando il port forwarding è impostato a livello di singolo applicazioni di rete.

Se il router supporta questa funzione, è necessario specificare il numero di porta interno (o l'intervallo di porte) associato a specifica applicazione(solitamente indicata con Trigger Port) e impostare il numero della porta esterna del dispositivo NAT (Porta pubblica), che verrà mappata sulla porta interna.

Quando il port forwarding dinamico è abilitato, il router monitora il traffico in uscita dalla rete interna e ricorda l'indirizzo IP del computer che origina questo traffico. Quando i dati vengono restituiti a segmento locale il port forwarding è attivato e i dati vengono trasmessi. Al termine del trasferimento, il reindirizzamento viene disabilitato e quindi qualsiasi altro computer può creare un nuovo reindirizzamento al proprio indirizzo IP.

Il port forwarding dinamico viene utilizzato principalmente per servizi che richiedono richieste e trasferimenti di dati a breve termine, perché se un computer utilizza il forwarding di una determinata porta, allo stesso tempo un altro computer non può fare lo stesso. Se si desidera personalizzare il funzionamento delle applicazioni che necessitano di un flusso costante di dati che occupano una porta attiva a lungo, il reindirizzamento dinamico è inefficace. Tuttavia, in questo caso, c'è una soluzione al problema che sta nell'uso di una zona smilitarizzata.

Zona demilitarizzata

Una zona demilitarizzata (DMZ) è un altro modo per aggirare le restrizioni del protocollo NAT. Questa funzione è fornita da tutti i router moderni. Quando si posiziona un computer LAN interno nella DMZ, diventa trasparente al NAT. In effetti, ciò significa che il computer sulla rete interna si trova virtualmente davanti al firewall. Per un PC situato in una zona DMZ, tutte le porte vengono reindirizzate a un indirizzo IP interno, che consente di organizzare il trasferimento dei dati da una rete esterna a una rete interna.

Se, ad esempio, un server con un indirizzo IP 192.168.1.10, situato nella rete locale interna, si trova nella zona DMZ e la rete locale stessa è protetta da un dispositivo NAT, quando viene ricevuta una richiesta su qualsiasi porta dalla rete esterna all'indirizzo della porta WAN Dispositivi NAT, questa richiesta verrà reindirizzata all'indirizzo IP 192.168.1.10, ovvero all'indirizzo del server virtuale nella zona DMZ.

Di norma, i router NAT di classe SOHO consentono di posizionare un solo computer nella zona DMZ. Un esempio di configurazione di un computer in una zona DMZ è mostrato in fig. cinque.

Riso. 5. Un esempio di configurazione di un computer nella zona DMZ

Poiché un computer ospitato in una zona DMZ diventa accessibile dalla rete esterna e non è protetto in alcun modo da un firewall, diventa una vulnerabilità della rete. È necessario ricorrere all'inserimento di computer nella zona smilitarizzata solo come ultima risorsa, quando nessun altro modo per aggirare le restrizioni del protocollo NAT è adatto per un motivo o per l'altro.

Tecnologia di attraversamento NAT

I modi che abbiamo elencato per aggirare le restrizioni del protocollo NAT possono essere alquanto difficili per gli utenti inesperti. Per facilitare l'amministrazione, è stata proposta una tecnologia automatizzata per la configurazione dei dispositivi NAT. La tecnologia NAT Traversal (NAT traversal) consente alle applicazioni di rete di determinare se sono protette da un dispositivo NAT, apprendere l'indirizzo IP esterno ed eseguire il port forwarding a Modalità automatica. Pertanto, il vantaggio di NAT Traversal è che l'utente non deve configurare manualmente la mappatura delle porte.

La tecnologia NAT Traversal si basa sui protocolli UPnP (Universal Plug and Play), quindi è spesso necessario controllare l'opzione UPnP & NAT nei router per attivare questa tecnologia.

YouTube enciclopedico

1 / 5

✪ 1. Amministratore Cisco ASA. Cos'è un firewall?

✪ ZoneAlarm Free Firewall - Firewall gratuito per il tuo computer

✪ 2. Amministratore Cisco ASA. Firewall Cisco

✪ Firewall

Sottotitoli

Scopo

Tra i compiti risolti dai firewall, il principale è proteggere segmenti di rete o singoli host da accessi non autorizzati utilizzando vulnerabilità nei protocolli del modello di rete OSI o nel software installato sui computer della rete. I firewall consentono o negano il traffico confrontando le sue caratteristiche con determinati modelli.

Il luogo più comune in cui installare i firewall è ai margini del perimetro della rete locale per proteggere gli host interni da attacchi esterni. Tuttavia, gli attacchi possono partire anche da host interni: in questo caso, se l'host attaccato si trova sulla stessa rete, il traffico non attraverserà il perimetro della rete e il firewall non verrà attivato. Pertanto, al momento, i firewall sono posizionati non solo al confine, ma anche tra diversi segmenti di rete, il che fornisce un ulteriore livello di sicurezza.

Storia

I primi dispositivi che svolgevano la funzione di filtraggio del traffico di rete sono comparsi alla fine degli anni '80, quando Internet era un'innovazione e non veniva utilizzato in scala globale. Questi dispositivi erano router che ispezionavano il traffico in base ai dati contenuti nelle intestazioni dei protocolli del livello di rete. Successivamente, con lo sviluppo delle tecnologie di rete, questi dispositivi sono stati in grado di filtrare il traffico utilizzando i dati provenienti da protocolli di livello di trasporto superiore. I router possono essere considerati la prima implementazione hardware-software di un firewall.

I firewall software sono apparsi molto più tardi ed erano molto più giovani dei programmi antivirus. Ad esempio, il progetto Netfilter/iptables (uno dei primi firewall software integrati nel kernel Linux dalla versione 2.4) è stato fondato nel 1998. Questa apparizione tardiva è comprensibile, poiché a lungo antivirus ha risolto il problema della protezione dei personal computer dai malware. Tuttavia, alla fine degli anni '90, i virus hanno iniziato a utilizzare attivamente la mancanza di firewall sui computer, il che ha portato a un maggiore interesse degli utenti per questa classe di dispositivi.

Filtraggio del traffico

Il filtraggio del traffico si basa su una serie di regole preconfigurate denominate set di regole. È conveniente pensare a un firewall come a una sequenza di filtri che elaborano il flusso di informazioni. Ognuno dei filtri è progettato per interpretare una regola separata. La sequenza di regole in un set influisce in modo significativo sulle prestazioni di un firewall. Ad esempio, molti firewall confrontano costantemente il traffico con le regole finché non viene trovata una corrispondenza. Per tali firewall, le regole che corrispondono alla maggior parte del traffico dovrebbero essere posizionate il più in alto possibile nell'elenco, aumentando così le prestazioni.

Esistono due principi per l'elaborazione del traffico in entrata. Il primo principio dice: "Ciò che non è esplicitamente proibito è permesso". IN questo caso, se il firewall ha ricevuto un pacchetto che non rientra in alcuna regola, viene trasmesso ulteriormente. Il principio opposto - "Ciò che non è esplicitamente consentito è vietato" - garantisce una sicurezza molto maggiore, poiché vieta tutto il traffico che non è esplicitamente consentito dalle regole. Tuttavia, questo principio si trasforma in un onere aggiuntivo per l'amministratore.

In definitiva, i firewall eseguono una delle due operazioni sul traffico in entrata: inoltrare il pacchetto ( permettere) o rilasciare il pacchetto ( negare). Alcuni firewall hanno un'altra operazione: rifiutare, in cui il pacchetto viene eliminato, ma il mittente viene informato che il servizio a cui stava tentando di accedere non è disponibile. Al contrario, durante l'operazione negare il mittente non viene informato dell'indisponibilità del servizio, che è più sicuro.

Classificazione firewall

Fino ad ora, non esiste una classificazione unificata e generalmente riconosciuta dei firewall. Tuttavia, nella maggior parte dei casi, il livello supportato del modello di rete OSI è la caratteristica principale nella loro classificazione. Dato questo modello, si distinguono i seguenti tipi di firewall:

switch gestiti.
filtri di pacchetto.
Gateway a livello di sessione.
Intermediari a livello di applicazione.
Ispettori di stato.

Switch gestiti

Molti produttori di apparecchiature di rete, come Cisco, Nortel, 3Com, ZyXEL, forniscono nei propri switch la possibilità di filtrare il traffico in base agli indirizzi MAC contenuti nelle intestazioni dei frame. Ad esempio, negli switch della famiglia Cisco Catalyst, questa funzione è implementata utilizzando il meccanismo Port Security. . Tuttavia, questo metodo di filtraggio non è efficace, poiché l'indirizzo MAC impostato dall'hardware nella scheda di rete può essere facilmente modificato dal software, poiché il valore specificato tramite il driver ha una priorità maggiore rispetto a quello cablato nella scheda. Pertanto, molti switch moderni consentono di utilizzare altri parametri come attributo di filtro, ad esempio l'ID VLAN. La tecnologia della rete locale virtuale (Ing. Rete locale virtuale) consente di creare gruppi di host il cui traffico è completamente isolato dagli altri nodi di rete.

Filtri di pacchetti

I filtri di pacchetto operano a livello di rete e controllano il passaggio del traffico in base alle informazioni contenute nell'intestazione del pacchetto. Molti firewall di questo tipo possono funzionare con intestazioni di protocollo e un livello di trasporto superiore (ad esempio, TCP o UDP). I filtri di pacchetto sono stati tra i primi ad apparire sul mercato dei firewall e fino ad oggi rimangono il tipo più comune di essi. Questa tecnologia implementato nella stragrande maggioranza dei router e persino in alcuni switch.

Quando si analizza l'intestazione pacchetto di rete possono essere utilizzate le seguenti opzioni:

indirizzi IP di origine e destinazione;
tipo di protocollo di trasporto;
campi di servizio intestazioni di protocolli di rete e livelli di trasporto;
porta di origine e di destinazione.

Molto spesso è necessario filtrare i pacchetti frammentati, il che rende difficile identificare alcuni attacchi. Molti attacchi di rete sfruttano questa vulnerabilità del firewall presentando i pacchetti contenenti dati proibiti come frammenti di un altro pacchetto attendibile. Un modo per combattere questo tipo di attacco è configurare il firewall per bloccare i pacchetti frammentati. Alcuni firewall possono deframmentare i pacchetti prima di inoltrarli alla rete interna, ma ciò richiede risorse aggiuntive dal firewall stesso, in particolare la memoria. La deframmentazione dovrebbe essere utilizzata in modo molto ragionevole, altrimenti un tale firewall può facilmente diventare esso stesso vittima di un attacco DoS.

I filtri di pacchetto possono essere implementati nei seguenti componenti dell'infrastruttura di rete:

router di confine;
sistema operativo;

Poiché i filtri di pacchetti in genere controllano solo i dati nella rete e le intestazioni del livello di trasporto, possono farlo abbastanza rapidamente. Pertanto, i filtri di pacchetti incorporati nei router di confine sono ideali per il posizionamento ai margini di una rete a basso livello di attendibilità. Tuttavia, i filtri di pacchetto non sono in grado di analizzare i protocolli dei livelli superiori del modello di rete OSI. Inoltre, i filtri di pacchetto sono generalmente vulnerabili agli attacchi che utilizzano lo spoofing dell'indirizzo di rete. Tali attacchi vengono in genere eseguiti per aggirare il controllo degli accessi imposto da un firewall.

Gateway a livello di sessione

Poiché questo tipo di firewall esclude la comunicazione diretta tra due host, il gateway a livello di sessione è l'unico elemento di connessione tra la rete esterna e le risorse interne. Ciò crea l'impressione che tutte le richieste provenienti dalla rete esterna ricevano risposta dal gateway e rende quasi impossibile determinare la topologia della rete protetta. Inoltre, poiché il contatto tra i nodi viene stabilito solo se consentito, il gateway a livello di sessione previene la possibilità di un attacco DoS inerente ai filtri di pacchetto.

Nonostante l'efficacia di questa tecnologia, presenta un grave inconveniente: come tutte le suddette classi di firewall, i gateway a livello di sessione non hanno la capacità di controllare il contenuto del campo dati, il che consente a un utente malintenzionato di trasferire "cavalli di Troia" a la rete protetta.

Broker a livello di applicazione

Gli svantaggi di questo tipo di firewall sono l'elevato tempo e le risorse impiegate per analizzare ogni pacchetto. Per questo motivo, generalmente non sono adatti per applicazioni in tempo reale. Un altro svantaggio è l'incapacità connessione automatica supporto per nuove applicazioni e protocolli di rete, poiché ognuno di essi richiede il proprio agente.

Ispettori di Stato

Ciascuno dei suddetti tipi di firewall viene utilizzato per proteggere le reti aziendali e presenta una serie di vantaggi. Tuttavia, sarebbe molto più efficiente raccogliere tutti questi vantaggi in un unico dispositivo e ottenere un firewall che filtra il traffico dalla rete al livello dell'applicazione. Questa idea è stata implementata negli ispettori statali, che combinano alte prestazioni e sicurezza. Questa classe di firewall consente di controllare:

ogni pacchetto trasmesso - basato su una tabella di regole;
ogni sessione - in base alla tabella di stato;
ogni applicazione si basa su intermediari sviluppati.

Filtrando il traffico secondo il principio di un gateway a livello di sessione, data classe i firewall non interferiscono con il processo di stabilire una connessione tra i nodi. Pertanto, le prestazioni dell'ispettore di stato sono notevolmente superiori a quelle del broker a livello di applicazione e del gateway a livello di sessione ed è paragonabile alle prestazioni dei filtri di pacchetto. Un altro vantaggio degli ispettori statali è la trasparenza per l'utente: per il cliente Software nessuna configurazione aggiuntiva richiesta. Questi firewall sono altamente espandibili. Quando viene visualizzato un nuovo servizio o un nuovo protocollo a livello di applicazione, è sufficiente aggiungere alcuni modelli per supportarlo. Tuttavia, gli ispettori statali tendono a essere meno sicuri dei proxy a livello di applicazione.

Il termine stateful inspection, introdotto da Check Point Software, è così amato dai produttori di apparecchiature di rete che ormai quasi tutti i firewall sono classificati come questa tecnologia, anche se non la implementano completamente.

Implementazione

Esistono due versioni di firewall: software e hardware-software. A sua volta, la versione hardware-software ha due varietà: nella forma modulo separato in uno switch o router e come dispositivo specializzato.

Attualmente, viene utilizzata più spesso una soluzione software, che a prima vista sembra più attraente. Questo perché per usarlo sembrerebbe sufficiente acquistare un software firewall e installarlo su qualsiasi computer disponibile nell'organizzazione. Tuttavia, come dimostra la pratica, un'organizzazione non ha sempre un computer gratuito e nemmeno uno che soddisfa requisiti abbastanza elevati per le risorse di sistema. Dopo che il computer è stato ancora trovato (il più delle volte acquistato), segue il processo di installazione e configurazione del sistema operativo, nonché, direttamente, il software firewall. È facile vedere che l'utilizzo di un personal computer convenzionale non è così facile come potrebbe sembrare. Ecco perché sistemi hardware e software specializzati, chiamati apparecchio di sicurezza, di solito basato su

Perché hai bisogno di un firewall nel router. Protezione hardware delle reti SOHO tramite firewall

CAMBIO GENERAZIONALE

"NUOVA GENERAZIONE" OGGI

DRIVER DI CRESCITA E NUOVI SVILUPPI

Tipi di firewall

Confronto di firewall hardware e software

Firewall come parte integrante dei router

Caratteristiche del firewall

I firewall sono davvero così affidabili?

Classificazione firewall

Filtri di pacchetti

Gateway a livello di sessione

Gateway a livello di applicazione

Firewall SPI

Impostazioni firewall

Protocollo NAT come parte integrante del firewall

Problemi relativi ai dispositivi NAT

Port forwarding dinamico (applicazione speciale)

Zona demilitarizzata

Tecnologia di attraversamento NAT

YouTube enciclopedico

Sottotitoli

Scopo

Storia

Filtraggio del traffico

Classificazione firewall

Switch gestiti

Filtri di pacchetti

Gateway a livello di sessione

Broker a livello di applicazione

Ispettori di Stato

Implementazione

Principali articoli correlati