Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Windows 10
  • Mekanizmat e sigurisë së informacionit. Modemët me firewall (Firewall) me funksion SPI

Mekanizmat e sigurisë së informacionit. Modemët me firewall (Firewall) me funksion SPI

28.04.2019 Windows 10



Pse keni nevojë për një mur zjarri në një ruter?

Një rrjet pa tel ka nevojë për mbrojtje të kujdesshme, sepse këtu krijohen mundësitë më të favorshme për përgjimin e informacionit. Prandaj, nëse disa kompjuterë janë të lidhur në një rrjet duke përdorur një ruter, një mur zjarri duhet të instalohet dhe përdoret jo vetëm në çdo kompjuter, por edhe në ruter. Për shembull, funksioni i murit të zjarrit në një ruter të serisë DI-XXX kryhet nga SPI, i cili kryen kontroll shtesë të paketave. Lënda e kontrollit është nëse paketat i përkasin lidhjes së vendosur.

Gjatë një sesioni lidhjeje, hapet një port, i cili mund të sulmohet nga pako të jashtme; një moment veçanërisht i favorshëm për këtë është kur seanca përfundon dhe porti mbetet i hapur për disa minuta. Prandaj SPI kujton Gjendja e tanishme sesioni dhe analizon të gjitha paketat hyrëse. Ato duhet të korrespondojnë me atë që pritet - vijnë nga adresa në të cilën është dërguar kërkesa, kanë numra të caktuar. Nëse paketa nuk korrespondon me seancën, domethënë është e pasaktë, ajo bllokohet dhe kjo ngjarje regjistrohet në regjistër. Një mur zjarri në ruter ju lejon gjithashtu të bllokoni lidhjet dalëse nga një kompjuter i infektuar.

YouTube Enciklopedike

    1 / 5

    ✪ 1. Administrator i Cisco ASA. Çfarë është një mur zjarri?

    ✪ ZoneAlarm FreeWall - Firewall falas për kompjuterin tuaj

    ✪ 2. Administrator i Cisco ASA. Ndërmjet muret e zjarrit Cisco

    ✪ Firewall

    Titra

Qëllimi

Ndër detyrat që zgjidhin muret e zjarrit, kryesorja është mbrojtja e segmenteve të rrjetit ose hosteve individuale nga aksesi i paautorizuar duke përdorur dobësi në protokollet e modelit të rrjetit OSI ose në softuerin e instaluar në kompjuterët e rrjetit. Firewall-et lejojnë ose mohojnë trafikun duke krahasuar karakteristikat e tij me modele të specifikuara.

Vendi më i zakonshëm për instalimin e mureve të zjarrit është në perimetrin e një rrjeti lokal për të mbrojtur hostet e brendshëm nga sulmet e jashtme. Megjithatë, sulmet mund të fillojnë edhe nga hostet e brendshëm - në këtë rast, nëse hosti i sulmuar ndodhet në të njëjtin rrjet, trafiku nuk do të kalojë perimetrin e rrjetit dhe muri i zjarrit nuk do të aktivizohet. Prandaj, aktualisht, muret e zjarrit vendosen jo vetëm në kufi, por edhe midis segmenteve të ndryshme të rrjetit, gjë që siguron nivel shtesë sigurinë

Histori

Pajisjet e para që kryejnë funksionin e filtrimit trafiku i rrjetit, u shfaq në fund të viteve 1980 kur interneti ishte i ri dhe nuk përdorej në shkallë globale. Këto pajisje ishin ruterë që inspektojnë trafikun bazuar në të dhënat e përfshira në kokat e protokollit të shtresës së rrjetit. Më pas, me zhvillimin teknologjitë e rrjetit, këto pajisje tani janë në gjendje të filtrojnë trafikun duke përdorur të dhëna nga protokollet e nivelit më të lartë të transportit. Ruterat mund të konsiderohen si zbatimi i parë i harduerit dhe softuerit të një muri zjarri.

Firewall-et e softuerit u shfaqën shumë më vonë dhe ishin shumë më të rinj se programet antivirus. Për shembull, projekti Netfilter/iptables (një nga muret e para të zjarrit të softuerit të ndërtuar në kernelin Linux që nga versioni 2.4) u themelua në 1998. Kjo paraqitje e vonë është mjaft e kuptueshme, pasi për një kohë të gjatë antivirusi zgjidhi problemin e mbrojtjes së kompjuterëve personalë nga malware. Sidoqoftë, në fund të viteve 1990, viruset filluan të shfrytëzojnë në mënyrë aktive mungesën e mureve të zjarrit në kompjuterë, gjë që çoi në rritjen e interesit të përdoruesve për këtë klasë pajisjesh.

Filtrimi i trafikut

Filtrimi i trafikut kryhet bazuar në një grup rregullash të parakonfiguruara të quajtura rregullore. Është e përshtatshme të mendohet për një mur zjarri si një sekuencë filtrash që përpunojnë një rrjedhë informacioni. Secili prej filtrave është krijuar për të interpretuar një rregull të veçantë. Sekuenca e rregullave në një grup ka një ndikim të rëndësishëm në performancën e murit të zjarrit. Për shembull, shumë mure zjarri krahasojnë në mënyrë sekuenciale trafikun me rregullat derisa të gjendet një përputhje. Për mure të tilla zjarri, rregullat që përputhen me trafikun më të madh duhet të vendosen sa më lart në listë, duke rritur kështu performancën.

Ekzistojnë dy parime për përpunimin e trafikut në hyrje. Parimi i parë thotë: "Ajo që nuk është e ndaluar shprehimisht është e lejuar". Në këtë rast, nëse muri i zjarrit merr një paketë që nuk bie nën asnjë rregull, ajo transmetohet më tej. Parimi i kundërt - "Ajo që nuk lejohet shprehimisht është e ndaluar" - garanton siguri shumë më të madhe, pasi mohon të gjithë trafikun që nuk lejohet në mënyrë eksplicite nga rregullat. Megjithatë, ky parim rezulton në barrë shtesë për administratorin.

Në fund të fundit, muret e zjarrit kryejnë një nga dy operacionet në trafikun në hyrje: kalojnë paketën në ( lejojnë) ose hidhni paketën ( mohojnë). Disa mure zjarri kanë një funksion më shumë - refuzoj, në të cilën paketa është hedhur, por dërguesi informohet se shërbimi në të cilin po përpiqej të hynte është i padisponueshëm. Në të kundërt, gjatë operacionit mohojnë dërguesi nuk është i informuar për padisponueshmërinë e shërbimit, i cili është më i sigurt.

Klasifikimi i mureve të zjarrit

Ende nuk ka një klasifikim të vetëm dhe përgjithësisht të pranuar të mureve të zjarrit. Megjithatë, në shumicën e rasteve, shtresa e mbështetur e modelit të rrjetit OSI është karakteristika kryesore në klasifikimin e tyre. Duke marrë parasysh këtë model, dallohen llojet e mëposhtme të mureve të zjarrit:

  1. Çelësat e menaxhuar.
  2. Filtrat e grupit.
  3. Portat e nivelit të sesionit.
  4. Ndërmjetësuesit e shtresave të aplikimit.
  5. Inspektorët e gjendjes.

Çelësat e menaxhuar

Shumë prodhues pajisjet e rrjetit, të tilla si Cisco, Nortel, 3Com, ZyXEL, ofrojnë aftësinë në çelësat e tyre për të filtruar trafikun bazuar në adresat MAC të përfshira në kokat e kornizës. Për shembull, në çelsat e familjes Cisco Catalyst kjo veçori zbatohet duke përdorur mekanizmin Port Security. . Megjithatë këtë metodë filtrimi nuk është efektiv, pasi pajisja e instaluar në kartën e rrjetit Adresa MAC mund të ndryshohet lehtësisht në mënyrë programore, meqenëse vlera e specifikuar përmes drejtuesit ka një përparësi më të lartë se ajo e koduar në tabelë. Prandaj, shumë ndërprerës modernë ju lejojnë të përdorni parametra të tjerë si një veçori filtri - për shembull, VLAN ID. Teknologjia e rrjetit lokal virtual Zonë Lokale Network) ju lejon të krijoni grupe të hosteve, trafiku i të cilëve është plotësisht i izoluar nga nyjet e tjera të rrjetit.

Filtrat e grupit

Filtrat e paketave funksionojnë në shtresën e rrjetit dhe kontrollojnë kalimin e trafikut bazuar në informacionin që gjendet në kokën e paketës. Shumë mure zjarri të këtij lloji mund të funksionojë me titujt e protokollit të një niveli më të lartë transporti (për shembull, TCP ose UDP). Filtrat e paketave ishin një nga të parët që u shfaqën në tregun e mureve të zjarrit dhe deri më sot mbeten lloji më i zakonshëm. Kjo teknologji zbatohet në shumicën dërrmuese të ruterave dhe madje edhe në disa ndërprerës.

Kur analizoni kokën e paketës së rrjetit, mund të përdoren parametrat e mëposhtëm:

  • Adresat IP të burimit dhe destinacionit;
  • lloji i protokollit të transportit;
  • fushat e kokës së shërbimit të protokolleve të rrjetit dhe shtresave të transportit;
  • porti i burimit dhe i destinacionit.

Është mjaft e zakonshme filtrimi i paketave të fragmentuara, gjë që e bën të vështirë zbulimin e disa sulmeve. Shumë sulme rrjeti e shfrytëzojnë këtë dobësi në muret e zjarrit duke i kaluar paketat që përmbajnë të dhëna të ndaluara si fragmente të një pakete tjetër të besuar. Një mënyrë për të luftuar këtë lloj sulmi është konfigurimi i murit të zjarrit për të bllokuar paketat e fragmentuara. Disa mure zjarri mund të defragmentojnë paketat përpara se t'i përcjellin në rrjetin e brendshëm, por kjo kërkon burime shtesë vetë muri i zjarrit, veçanërisht memoria. Defragmentimi duhet të përdoret me shumë maturi, përndryshe vetë një mur i tillë zjarri mund të bëhet lehtësisht viktimë e një sulmi DoS.

Filtrat e paketave mund të zbatohen në komponentët e mëposhtëm të infrastrukturës së rrjetit:

  • ruterat kufitar;
  • OS;

Për shkak se filtrat e paketave zakonisht inspektojnë vetëm të dhënat në rrjet dhe kryejnë transportin e shtresave, ata mund ta bëjnë këtë mjaft shpejt. Prandaj, filtrat e paketave të integruara në ruterat e skajeve janë ideale për t'u vendosur në skajet e një rrjeti me besim të ulët. Megjithatë, filtrat e paketave nuk kanë aftësinë për të analizuar protokollet në nivele më të larta të modelit të rrjetit OSI. Përveç kësaj, filtrat e paketave janë zakonisht të prekshëm ndaj sulmeve që përdorin mashtrimin e adresave të rrjetit. Sulme të tilla zakonisht kryhen për të anashkaluar kontrollin e aksesit të zbatuar nga një mur zjarri.

Portat e sesionit

Meqenëse ky lloj muri i zjarrit eliminon komunikimin e drejtpërdrejtë midis dy hosteve, porta e shtresës së sesionit është i vetmi element lidhës midis rrjetit të jashtëm dhe burimeve të brendshme. Kjo krijon pamjen nga e cila kërkojnë të gjitha rrjeti i jashtëm porta përgjigjet dhe e bën pothuajse të pamundur përcaktimin e topologjisë së rrjetit të mbrojtur. Për më tepër, meqenëse kontakti midis nyjeve vendoset vetëm nëse është i vlefshëm, porta e shtresës së sesionit parandalon mundësinë e sulmeve DoS të qenësishme në filtrat e paketave.

Pavarësisht efektivitetit të kësaj teknologjie, ajo ka një pengesë serioze: si të gjitha klasat e mësipërme të mureve të zjarrit, portat e nivelit të sesionit nuk kanë aftësinë për të verifikuar përmbajtjen e fushës së të dhënave, gjë që lejon një sulmues të transmetojë "kuajt e Trojës" në rrjetin e mbrojtur.

Agjentët e Shtresave të Aplikimit

Disavantazhet e këtij lloji të murit të zjarrit janë sasia e madhe e kohës dhe burimeve të shpenzuara për analizimin e secilës paketë. Për këtë arsye, ato në përgjithësi nuk janë të përshtatshme për aplikime në kohë reale. Një tjetër disavantazh është paaftësia lidhje automatike mbështetje për aplikacionet dhe protokollet e reja të rrjetit, pasi secila prej tyre kërkon agjentin e vet.

Inspektorët e Shtetit

Secili nga llojet e mësipërme të mureve të zjarrit përdoret për të mbrojtur rrjetet e korporatave dhe ka një sërë avantazhesh. Megjithatë, do të ishte shumë më efektive të mblidheshin të gjitha këto avantazhe në një pajisje dhe të merrni një mur zjarri që filtron trafikun nga rrjeti në nivelin e aplikacionit. Kjo ide u zbatua tek inspektorët shtetërorë, duke ndërthurur performancën e lartë dhe sigurinë. Kjo klasë e mureve të zjarrit ju lejon të kontrolloni:

  • çdo paketë e transmetuar bazohet në një tabelë rregullash;
  • çdo seancë - bazuar në tabelën e gjendjes;
  • Çdo aplikacion bazohet në ndërmjetës të zhvilluar.

Duke filtruar trafikun bazuar në parimin e një porte në nivel sesioni, këtë klasë muret e zjarrit nuk ndërhyjnë në procesin e vendosjes së lidhjeve ndërmjet nyjeve. Prandaj, performanca e inspektorit shtetëror është dukshëm më e lartë se ajo e ndërmjetësit të shtresës së aplikimit dhe portës së shtresës së sesionit dhe është e krahasueshme me performancën e filtrave të paketave. Një avantazh tjetër i inspektorëve shtetërorë është transparenca për përdoruesit: softueri i klientit nuk ka nevojë personalizim shtesë. Këto mure zjarri kanë aftësi të mëdha zgjerimi. Kur shfaqet një shërbim i ri ose një protokoll i ri i shtresës së aplikacionit, thjesht duhet të shtoni disa shabllone për ta mbështetur atë. Megjithatë, inspektorët shtetërorë janë në thelb më pak të sigurt se ndërmjetësit e nivelit të aplikimit.

Termi inspektim shtetëror, i prezantuar nga Check Point Software, është bërë kaq i popullarizuar në mesin e prodhuesve të pajisjeve të rrjetit, saqë tani pothuajse çdo mur zjarri klasifikohet si kjo teknologji, edhe nëse nuk e zbaton plotësisht atë.

Zbatimi

Ekzistojnë dy versione të mureve të zjarrit - softuer dhe harduer-softuer. Nga ana tjetër, versioni i softuerit dhe harduerit ka dy lloje - në formën e një moduli të veçantë në një ndërprerës ose ruter dhe në formën e një pajisjeje të specializuar.

Në ditët e sotme, përdoret më shpesh një zgjidhje softuerike, e cila në pamje të parë duket më tërheqëse. Kjo për faktin se për ta përdorur atë, duket se mjafton vetëm të blini softuer të murit të zjarrit dhe ta instaloni atë në çdo kompjuter në organizatë. Sidoqoftë, siç tregon praktika, organizata nuk ka gjithmonë kompjuter pa pagesë, dhe madje plotësimin e kërkesave mjaft të larta për burimet e sistemit. Pas gjetjes së kompjuterit (më shpesh, i blerë), vijon procesi i instalimit dhe konfigurimit të sistemit operativ, si dhe vetë softuerit të murit të zjarrit. Është e lehtë të shihet se përdorimi i një kompjuteri personal të rregullt nuk është aq i thjeshtë sa mund të duket. Kjo është arsyeja pse sistemet e specializuara harduerike dhe softuerike quhen pajisje sigurie, bazuar, si rregull,

Me një shumëllojshmëri të madhe profesionistësh software mbrojtje nga lloje te ndryshme sulmet në rrjetin lokal nga jashtë (d.m.th., nga interneti) të gjithë kanë një pengesë serioze kosto e larte. Dhe nëse po flasim për në lidhje me rrjetet e vogla të klasës SOHO, atëherë blerja e paketave solide është një luks i papërballueshëm. Në të njëjtën kohë, vlen të përmendet se për rrjetet e vogla, aftësitë e paketave të tilla mund të jenë edhe të tepërta. Prandaj, për të mbrojtur rrjetet e vogla të klasës SOHO, zgjidhjet e lira të harduerit - muret e zjarrit - janë përdorur gjerësisht. Sipas dizajnit, muret e zjarrit ose mund të zbatohen si një zgjidhje e pavarur ose të jenë pjesë integrale Ruterët e klasës SOHO, në veçanti ruterat pa tela, i cili ju lejon të kombinoni segmentet me tela dhe pa tel bazuar në to rrjet lokal.
Në këtë artikull ne do të shohim kryesore funksionalitetin muret e zjarrit modern të harduerit që janë ndërtuar në ruterat e klasës SOHO dhe përdoren për të mbrojtur rrjetet e vogla lokale.

Firewall-et si pjesë e ruterave

Meqenëse ruterat janë pajisje rrjeti të instaluara në kufirin midis rrjeteve të brendshme dhe të jashtme dhe kryejnë funksionin e një porte rrjeti, në aspektin e projektimit ata duhet të kenë të paktën dy porte. LAN është i lidhur me një nga këto porte dhe kjo portë bëhet porta e brendshme LAN. Një rrjet i jashtëm (Internet) është i lidhur me portin e dytë, duke e kthyer atë në një port të jashtëm WAN. Si rregull, ruterat e klasës SOHO kanë një portë WAN dhe disa (nga një në katër) porte LAN, të cilat kombinohen në një ndërprerës. Në shumicën e rasteve, porta WAN e switch-it ka një ndërfaqe 10/100Base-TX dhe me të mund të lidhet ose një modem xDSL me ndërfaqen e duhur ose një kabllo rrjeti Ethernet.

Për më tepër, përdorimi i gjerë i rrjeteve pa tel ka çuar në shfaqjen e një klase të tërë të të ashtuquajturve ruterë pa tel. Këto pajisje, përveç një ruteri klasik me porte WAN dhe LAN, përmbajnë një pikë aksesi të integruar me valë që mbështet protokollin IEEE 802.11a/b/g. Segmenti pa tel i rrjetit, i cili ju lejon të organizoni një pikë aksesi, nga pikëpamja e ruterit i referohet rrjetit të brendshëm dhe në këtë kuptim, kompjuterët e lidhur me ruterin me valë nuk ndryshojnë nga ata të lidhur me LAN. port.

Çdo ruter, si një pajisje e shtresës së rrjetit, ka adresën e vet IP. Përveç ruterit, porti WAN ka gjithashtu adresën e vet IP.

Kompjuterët e lidhur me portat LAN të ruterit duhet të kenë një adresë IP në të njëjtin nënrrjet si vetë ruteri. Përveç kësaj, në cilësimet e rrjetit të këtyre PC-ve, duhet të vendosni adresën e paracaktuar të portës që të përputhet me adresën IP të ruterit. Së fundi, pajisja e lidhur me portën WAN nga rrjeti i jashtëm duhet të ketë një adresë IP nga e njëjta nënrrjet si porta WAN e ruterit.

Meqenëse ruteri vepron si një portë midis rrjetit lokal dhe internetit, është logjike të presim funksione të tilla si mbrojtja e rrjetit të brendshëm nga aksesi i paautorizuar. Prandaj, pothuajse gjithçka ruterë modernë Klasa SOHO ka mure mbrojtëse të integruara, të cilat quhen gjithashtu mure zjarri.

Karakteristikat e Firewall-it

Qëllimi kryesor i çdo muri zjarri në fund të fundit zbret në sigurimin e sigurisë së rrjetit të brendshëm. Për të zgjidhur këtë problem, muret e zjarrit duhet të jenë në gjendje të maskojnë rrjetin e mbrojtur, të bllokojnë gjithçka lloje të njohura sulmet e hakerëve, bllokoni rrjedhjen e informacionit nga rrjeti i brendshëm, kontrolloni aplikacionet që hyjnë në rrjetin e jashtëm.

Për të zbatuar funksionet e specifikuara, muret e zjarrit analizojnë të gjithë trafikun ndërmjet rrjeteve të jashtme dhe të brendshme për pajtueshmëri me disa kritere ose rregulla të vendosura që përcaktojnë kushtet për kalimin e trafikut nga një rrjet në tjetrin. Nëse trafiku plotëson kriteret e specifikuara, muri i zjarrit e lejon atë të kalojë. Përndryshe, gjegjësisht nëse kriteret e përcaktuara nuk plotësohen, trafiku bllokohet nga firewall-i. Firewall-et filtrojnë si hyrjen ashtu edhe trafiku në dalje dhe gjithashtu ju lejon të kontrolloni aksesin në burime ose aplikacione të caktuara të rrjetit. Ata mund të regjistrojnë të gjitha përpjekjet e aksesit të paautorizuar në burimet e rrjetit lokal dhe të lëshojnë paralajmërime për përpjekjet për ndërhyrje.

Për sa i përket qëllimit të tyre, muret e zjarrit të kujtojnë më së shumti një pikë kontrolli (pikë kontrolli) të një objekti të mbrojtur, ku kontrollohen dokumentet e të gjithëve që hyjnë në territorin e objektit dhe të gjithë atyre që dalin prej tij. Nëse kalimi është në rregull, qasja në territor lejohet. Firewall-et funksionojnë saktësisht në të njëjtën mënyrë, vetëm roli i njerëzve që kalojnë nëpër pikën e kontrollit janë paketat e rrjetit, dhe kalimi është që titujt e këtyre paketave të përputhen me një grup rregullash të paracaktuara.

A janë me të vërtetë muret e zjarrit kaq të besueshëm?

A është e mundur të thuhet se një mur zjarri ofron 100% siguri për rrjetin e një përdoruesi ose PC personal? Sigurisht qe jo. Qoftë vetëm sepse asnjë sistem fare nuk jep një garanci 100% të sigurisë. Një mur zjarri duhet të trajtohet si një mjet që, nëse konfigurohet saktë, mund të komplikojë ndjeshëm detyrën e një sulmuesi për të depërtuar në kompjuterin personal të një përdoruesi. Le të theksojmë: vetëm i ndërlikon gjërat, por nuk garanton aspak siguri absolute. Nga rruga, nëse nuk po flasim për mbrojtjen e një rrjeti lokal, por për mbrojtjen e një kompjuteri individual që ka qasje në internet, atëherë Firewall ICF(Internet Connection Firewall), i integruar në sallën e operacionit Sistemi Windows XP. Prandaj, në të ardhmen do të flasim vetëm për muret e zjarrit të pajisjeve të korporatave që synojnë mbrojtjen e rrjeteve të vogla.

Nëse firewall-i i instaluar në hyrje të rrjetit lokal aktivizohet nga program të plotë(si rregull, kjo korrespondon me cilësimet e paracaktuara), atëherë rrjeti që mbron është plotësisht i padepërtueshëm dhe i paarritshëm nga jashtë. Sidoqoftë, një padepërtueshmëri e tillë e plotë e rrjetit të brendshëm ka gjithashtu të vetën ana e kundërt. Fakti është se në këtë rast bëhet e pamundur përdorimi i shërbimeve të Internetit (për shembull, ICQ dhe programe të ngjashme) të instaluara në PC. Kështu, detyra e vendosjes së një muri zjarri është të krijojë dritare në murin fillimisht bosh që muri i zjarrit përfaqëson për një sulmues, duke ofruar mundësinë programet e përdoruesve t'u përgjigjet kërkesave nga jashtë dhe në fund të zbatojë ndërveprimin e kontrolluar ndërmjet rrjetit të brendshëm dhe botës së jashtme. Megjithatë, sa më shumë dritare të tilla shfaqen në një mur të tillë, aq më i prekshëm bëhet vetë rrjeti. Pra, le të theksojmë edhe një herë: asnjë mur zjarri nuk mund të garantojë sigurinë absolute të rrjetit lokal që mbron.

Klasifikimi i mureve të zjarrit

Aftësitë dhe inteligjenca e mureve të zjarrit varen nga shtresa e modelit të referencës OSI në të cilën ata veprojnë. Sa më i lartë të jetë niveli OSI mbi të cilin është ndërtuar firewall-i, aq më i lartë është niveli i mbrojtjes që ai ofron.

Le t'ju kujtojmë se Modeli OSI(Open System Interconnection) përfshin shtatë shtresa të arkitekturës së rrjetit. E para, më e ulëta, është niveli fizik. Kjo pasohet nga lidhja e të dhënave, rrjeti, transporti, sesioni, prezantimi dhe shtresat e aplikacionit ose aplikacionit. Për të siguruar filtrimin e trafikut, një mur zjarri duhet të funksionojë të paktën në shtresën e tretë të modelit OSI, domethënë në shtresën e rrjetit, ku paketat drejtohen bazuar në përkthimin e adresave MAC në adresat e rrjetit. Nga pikëpamja e protokollit TCP/IP, kjo shtresë korrespondon me shtresën IP (Internet Protocol). Duke marrë informacionin e shtresës së rrjetit, muret e zjarrit janë në gjendje të përcaktojnë adresat e burimit dhe destinacionit të një pakete dhe të kontrollojnë nëse trafiku lejohet ndërmjet këtyre destinacioneve. Megjithatë, nuk ka informacion të mjaftueshëm për shtresën e rrjetit për të analizuar përmbajtjen e paketës. Firewall-et që veprojnë në shtresën e transportit të modelit OSI marrin pak më shumë informacion rreth paketave dhe, në këtë kuptim, mund të ofrojnë skema më inteligjente të mbrojtjes së rrjetit. Sa i përket mureve të zjarrit që funksionojnë në nivelin e aplikacionit, ata kanë akses në informacionin e plotë rreth paketave të rrjetit, që do të thotë se muret e tilla të zjarrit ofrojnë mbrojtjen më të besueshme të rrjetit.

Në varësi të nivelit të modelit OSI në të cilin funksionojnë muret e zjarrit, historikisht është zhvilluar klasifikimi i mëposhtëm i këtyre pajisjeve:

  • filtri i paketave;
  • portë e nivelit të sesionit (portë e nivelit të qarkut);
  • portë e nivelit të aplikacionit;
  • Inspektimi shtetëror i paketave (SPI).

Vini re se këtë klasifikim ka vetëm interes historik, pasi të gjithë muret e zjarrit modern i përkasin kategorisë së mureve të zjarrit SPI më të avancuar (përsa i përket mbrojtjes së rrjetit).

Filtrat e grupit

Muret e zjarrit të tipit të filtrit të paketave janë më themeloret (më pak inteligjente). Këto mure zjarri funksionojnë në shtresën e rrjetit të modelit OSI ose në shtresën IP të stakut të protokollit TCP/IP. Të tilla mure zjarri kërkohen në çdo ruter, pasi çdo ruter funksionon të paktën në shtresën e tretë të modelit OSI.

Puna e filtrave të paketave është të filtrojnë paketat bazuar në informacionin rreth adresës IP të burimit ose destinacionit dhe numrave të portit.

Në muret e zjarrit të tipit të filtrit të paketave, çdo paketë analizohet për të përcaktuar nëse i plotëson kriteret e transmetimit ose nëse transmetimi është i bllokuar përpara se të transmetohet. Në varësi të paketës dhe kritereve të transmetimit të krijuara, muri i zjarrit mund të transmetojë paketën, ta refuzojë atë ose t'i dërgojë një njoftim iniciatorit të transmetimit.

Filtrat e paketave janë të lehta për t'u zbatuar dhe praktikisht nuk kanë asnjë efekt në shpejtësinë e rrugëtimit.

Portat e sesionit

Portat e shtresave të sesionit janë mure zjarri që funksionojnë në shtresën e sesionit të modelit OSI ose në shtresën TCP (Protokolli i Kontrollit të Transportit) të grumbullit të protokollit TCP/IP. Këto mure zjarri monitorojnë procesin e krijimit të një lidhjeje TCP (organizimi i sesioneve të shkëmbimit të të dhënave midis makinerive fundore) dhe ju lejojnë të përcaktoni nëse një sesion i caktuar komunikimi është i ligjshëm. Të dhënat e dërguara në një kompjuter të largët në një rrjet të jashtëm përmes një porte të nivelit të sesionit nuk përmbajnë informacion në lidhje me burimin e transmetimit, domethënë, gjithçka duket sikur të dhënat dërgohen nga vetë muri i zjarrit, dhe jo nga një kompjuter në rrjet i brendshëm (i mbrojtur). Të gjitha muret e zjarrit të bazuara në protokollin NAT janë porta të shtresave të sesionit (protokolli NAT do të përshkruhet më poshtë).

Portat e nivelit të sesionit gjithashtu nuk kanë një ndikim të rëndësishëm në shpejtësinë e rrugëtimit. Në të njëjtën kohë, këto porta nuk janë të afta të filtrojnë paketa individuale.

Portat e Aplikimit

Portat e shtresës së aplikacionit, ose serverët proxy, funksionojnë në shtresën e aplikimit të modelit OSI. Shtresa e aplikacionit është përgjegjëse për aksesin e aplikacionit në rrjet. Detyrat në këtë nivel përfshijnë transferimin e skedarëve, shkëmbimin me postë dhe menaxhimin e rrjetit. Duke marrë informacion rreth paketave në nivelin e aplikacionit, portat e nivelit të aplikacionit mund të zbatojnë bllokimin e aksesit në shërbime të caktuara. Për shembull, nëse porta e nivelit të aplikacionit është konfiguruar si një përfaqësues në ueb, atëherë çdo trafik që lidhet me protokollet Telnet, FTP, Gopher do të bllokohet. Për shkak se këto mure zjarri analizojnë paketat në shtresën e aplikacionit, ato janë në gjendje të filtrojnë komanda specifike, të tilla si http:post, get, etj. Ky funksion nuk është i disponueshëm as për filtrat e paketave dhe as për portat e shtresave të sesionit. Portat e nivelit të aplikacionit mund të përdoren gjithashtu për të regjistruar aktivitetin e përdoruesve individualë dhe për të vendosur sesione komunikimi ndërmjet tyre. Këto mure zjarri ofrojnë më shumë mënyrë e besueshme mbrojtja e rrjetit në krahasim me portat e nivelit të sesionit dhe filtrat e paketave.

Firewallet SPI

Lloji i fundit i murit të zjarrit, Stateful Packet Inspection (SPI), kombinon përfitimet e filtrave të paketave, portave të shtresave të sesionit dhe portave të shtresave të aplikacionit. Kjo është, në fakt, ne po flasim për mure zjarri me shumë nivele që funksionojnë njëkohësisht në nivelet e rrjetit, sesionit dhe aplikacionit.

Muret e zjarrit SPI filtrojnë paketat në shtresën e rrjetit, përcaktojnë legjitimitetin e një sesioni komunikimi bazuar në të dhënat e shtresës së sesionit dhe analizojnë përmbajtjen e paketave bazuar në të dhënat e shtresës së aplikacionit.

Këto mure zjarri ofrojnë mënyrën më të besueshme për të mbrojtur rrjetet dhe aktualisht janë standardi de facto.

Vendosja e mureve të zjarrit

Metodologjia dhe aftësitë për konfigurimin e mureve të zjarrit varen nga model specifik. Fatkeqësisht, nuk ka rregulla uniforme të konfigurimit, aq më pak një ndërfaqe uniforme. Mund të flasim vetëm për disa rregulla të përgjithshme që duhen ndjekur. Në fakt, rregulli bazë është mjaft i thjeshtë: është e nevojshme të ndalohet gjithçka që nuk kërkohet për funksionimin normal të rrjetit.

Më shpesh, aftësia për të konfiguruar muret e zjarrit zbret në aktivizimin e disa rregullave të paracaktuara dhe krijimin e rregullave statike në formën e një tabele.

Le të marrim, si shembull, opsionet për konfigurimin e murit të zjarrit të përfshirë në ruterin Gigabyte GN-B49G. Ky ruter ka një numër rregullash të paracaktuara që ju lejojnë të zbatoni nivele të ndryshme të sigurisë së rrjetit të brendshëm. Këto rregulla përfshijnë sa vijon:

  • Qasja në konfigurimin dhe administrimin e ruterit nga ana WAN është e ndaluar. Aktivizimi i këtij funksioni ndalon hyrjen në cilësimet e ruterit nga rrjeti i jashtëm;
  • Qasja nga Global-IP në Private-IP është e ndaluar brenda LAN. Ky funksion ju lejon të bllokoni aksesin brenda rrjetit lokal nga adresat IP globale (nëse ka) në adresat IP të rezervuara për përdorim privat;
  • Parandaloni ndarjen e skedarëve dhe printerit nga jashtë rrjetit të ruterit. Funksioni parandalon përdorimin e aksesit të përbashkët te printerët dhe skedarët në rrjetin e brendshëm nga jashtë;
  • Ekzistenca e ruterit nuk mund të zbulohet nga ana WAN. Ky funksion e bën ruterin të padukshëm nga rrjeti i jashtëm;
  • Parandalohen sulmet e tipit Denial of Service (DoS). Kur aktivizohet ky funksion, zbatohet mbrojtja kundër sulmeve DoS (Mohimi i Shërbimit). Sulmet DoS ky është një lloj sulmi në rrjet, i cili konsiston në marrjen e shumë kërkesave në server që kërkojnë një shërbim të ofruar nga sistemi. Serveri shpenzon burimet e tij për krijimin e një lidhjeje dhe shërbimin e tij dhe, duke pasur parasysh një rrjedhë të caktuar kërkesash, nuk mund t'i përballojë ato. Mbrojtja nga sulmet e këtij lloji bazohet në analizimin e burimeve të trafikut që është i tepruar në krahasim me trafikun normal dhe ndalimin e transmetimit të tij.

Siç e kemi vërejtur tashmë, shumë mure zjarri kanë rregulla të paracaktuara, të cilat në thelb janë të njëjta me ato të listuara më sipër, por mund të kenë emra të ndryshëm.

Një mënyrë tjetër për të konfiguruar një mur zjarri është krijimi i rregullave statike që ju lejojnë jo vetëm të mbroni rrjetin nga jashtë, por edhe të kufizoni përdoruesit e rrjetit lokal të hyjnë në rrjetin e jashtëm. Mundësitë për krijimin e rregullave janë mjaft fleksibël dhe ju lejojnë të zbatoni pothuajse çdo situatë. Për të krijuar një rregull, ju specifikoni adresën IP të burimit (ose gamën e adresave), portat e burimit, adresat IP dhe portet e destinacionit, llojin e protokollit, drejtimin e transmetimit të paketave (nga rrjeti i brendshëm në rrjetin e jashtëm ose anasjelltas) dhe veprimi që duhet të ndërmerret kur paketa zbulohet me vetitë e treguara (heqeni ose kapërceni paketën). Për shembull, nëse doni të ndaloni përdoruesit e rrjetit të brendshëm (gama e adresave IP: 192.168.1.1-192.168.1.100) të hyjnë në serverin FTP (porti 21) i vendosur në adresën IP të jashtme 64.233.183.104, atëherë rregulli mund të jetë formuluar si më poshtë:

  • drejtimi i transmetimit të paketave: LAN-në-WAN;
  • Adresat IP të burimit: 192.168.1.1-192.168.1.100;
  • porta burimore: 1-65535;
  • porti i destinacionit: 21;
  • protokolli: TCP;
  • veprim: rënie.

Konfigurimi statik i një rregulli të murit të zjarrit për shembullin e diskutuar më sipër është paraqitur në Fig. 1.

Protokolli NAT si pjesë e një muri zjarri

Të gjithë ruterat modernë me mure zjarri të integruar mbështesin protokollin e transmetimit adresat e rrjetit NAT (Përkthimi i adresave të rrjetit).

Protokolli NAT nuk është pjesë e një muri zjarri, por në të njëjtën kohë ndihmon në përmirësimin e sigurisë së rrjetit. Detyra kryesore e protokollit NAT është të zgjidhë problemin e mungesës së adresave IP, e cila bëhet gjithnjë e më urgjente me rritjen e numrit të kompjuterëve.

Fakti është se në versionin aktual të protokollit IPv4, katër bajt janë ndarë për të përcaktuar adresën IP, gjë që bën të mundur gjenerimin e mbi katër miliardë adresave të kompjuterëve të rrjetit. Sigurisht, në ato ditë kur Interneti sapo po shfaqej, ishte e vështirë të imagjinohej që një ditë ky numër i adresave IP mund të mos mjaftonte. Për të zgjidhur pjesërisht problemin e mungesës së adresave IP, një herë u propozua protokolli i përkthimit të adresave të rrjetit NAT.

Protokolli NAT përcaktohet nga standardi RFC 1631, i cili përcakton se si ndodh përkthimi i adresës së rrjetit.

Në shumicën e rasteve, një pajisje NAT konverton adresat IP që janë të rezervuara për përdorim privat në rrjetet lokale në adresa IP publike.

Hapësira e adresave private rregullohet nga RFC 1918. Këto adresa përfshijnë intervalet e mëposhtme të IP: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.5.25.1.

Sipas RFC 1918, adresat IP private nuk mund të përdoren në World Wide Web, kështu që ato mund të përdoren lirisht vetëm për qëllime të brendshme.

Para se të kalojmë në specifikat e protokollit NAT, le të shohim se si ndodh një lidhje rrjeti midis dy PC.

Kur një kompjuter në një rrjet krijon një lidhje me një kompjuter tjetër, hapet një fole, e përcaktuar nga adresa IP e burimit, porta e burimit, adresa IP e destinacionit, porta e destinacionit dhe protokolli i rrjetit. Formati i paketës IP ofron një fushë me dy bajtë për numrat e porteve. Kjo ju lejon të përcaktoni 65,535 porte, të cilat luajnë rolin e kanaleve unike të komunikimit. Nga 65,535 portet, 1,023 të parat janë të rezervuara për të njohurit shërbimet e serverit si Web, FTP, Telnet etj. Të gjitha portet e tjera mund të përdoren për çdo qëllim tjetër.

Nëse, për shembull, një kompjuter rrjeti i qaset një serveri FTP (porti 21), atëherë kur hapet foleja, sistemi operativ i cakton sesionit çdo port mbi 1023. Për shembull, mund të jetë porti 2153. Pastaj paketa IP e dërguar nga serveri PC në FTP, do të përmbajë adresën IP të dërguesit, portën e dërguesit (2153), adresën IP të marrësit dhe portën e destinacionit (21). Adresa IP e burimit dhe porta do të përdoren për përgjigjen e serverit ndaj klientit. Përdorimi i portave të ndryshme për sesione të ndryshme të rrjetit i lejon klientët e rrjetit të krijojnë njëkohësisht seanca të shumta me serverë të ndryshëm ose me shërbime nga i njëjti server.

Tani le të shohim procesin e krijimit të një sesioni kur përdorni një ruter NAT në kufirin e rrjetit të brendshëm dhe Internetit.

Kur një klient i rrjetit të brendshëm krijon një lidhje me një server të jashtëm rrjeti, atëherë, si në rastin e vendosjes së një lidhjeje midis dy PC, hapet një fole, e përcaktuar nga adresa IP e burimit, porta e burimit, adresa IP e destinacionit, porta e destinacionit, dhe protokollin e rrjetit. Kur një aplikacion transmeton të dhëna mbi këtë prizë, adresa IP e burimit dhe porta e burimit futen në paketë në fushat e opsioneve të burimit. Fushat e opsioneve të destinacionit do të përmbajnë adresën IP të serverit dhe portën e serverit. Për shembull, një kompjuter në rrjetin e brendshëm me një adresë IP prej 192.168.0.1 mund të aksesojë një server ueb WAN me një adresë IP prej 64.233.188.104. Në këtë rast, sistemi operativ i klientit mund të caktojë portin 1251 (port burim) në seancën e krijuar, dhe porta e destinacionit është porta e shërbimit në ueb, domethënë 80. Pastaj atributet e mëposhtme do të tregohen në kokën e paketës së dërguar (Fig. 2):

  • porta burimore: 1251;
  • Adresa IP e marrësit: 64.233.183.104;
  • porti i destinacionit: 80;
  • protokolli: TCP.

Pajisja NAT (ruteri) kap paketën që vjen nga rrjeti i brendshëm dhe fut në tabelën e tij të brendshme një hartë të porteve të burimit dhe destinacionit të paketës duke përdorur adresën IP të destinacionit, portin e destinacionit, adresën IP të jashtme të pajisjes NAT, portin e jashtëm. , protokolli i rrjetit dhe IP-të e brendshme - adresa dhe porta e klientit.

Le të supozojmë se në shembullin e diskutuar më sipër, ruteri NAT ka një adresë IP të jashtme prej 195.2.91.103 (adresa e portit WAN), dhe për seancën e vendosur, porta e jashtme e pajisjes NAT është 3210. Në këtë rast, tabela e brendshme për hartëzimin e porteve të burimit dhe destinacionit të paketës përmban informacionin e mëposhtëm:

  • Burimi IP: 192.168.0.1;
  • porta burimore: 1251;
  • adresa IP e jashtme

Pajisjet NAT: 195.2.91.103;

  • porta e jashtme e pajisjes NAT: 3210;
  • Adresa IP e marrësit: 64.233.183.104;
  • porti i destinacionit: 80;
  • protokolli: TCP.

Pajisja NAT më pas "transmeton" paketën duke transformuar fushat burimore në paketë: adresa IP e brendshme dhe porta e klientit zëvendësohen me adresën dhe portin e jashtëm IP të pajisjes NAT. Në këtë shembull, paketa e konvertuar do të përmbajë informacionin e mëposhtëm:

  • IP e burimit: 195.2.91.103;
  • porta e burimit: 3210;
  • Adresa IP e marrësit: 64.233.183.104;
  • porti i destinacionit: 80;
  • protokolli: TCP.

Paketa e konvertuar dërgohet përmes rrjetit të jashtëm dhe në fund arrin në serverin e specifikuar.

Pasi të ketë marrë paketën, serveri do t'i përcjellë paketat e përgjigjes në adresën IP të jashtme dhe portin e pajisjes NAT (ruter), duke treguar adresën IP dhe portin e vet në fushat burimore (Fig. 3). Në shembullin e konsideruar, paketa e përgjigjes nga serveri do të përmbajë informacionin e mëposhtëm në kokë:

  • porta e burimit: 80;
  • Adresa IP e marrësit: 195.2.91.103;
  • porti i destinacionit: 3210;
  • protokolli: TCP.

Oriz. 3. Parimi i funksionimit të një pajisjeje NAT kur transmeton një paketë nga një rrjet i jashtëm në një të brendshëm

Pajisja NAT merr këto pako nga serveri dhe analizon përmbajtjen e tyre bazuar në tabelën e saj të hartës së portit. Nëse në tabelë gjendet një hartë portash për të cilën adresa IP e burimit, porta e burimit, porta e destinacionit dhe protokolli i rrjetit nga paketa hyrëse përputhen me adresën IP të hostit të largët, me porti i largët dhe me protokollin e rrjetit të specifikuar në hartën e portit, atëherë do të performojë NAT konvertim i anasjelltë: Zëvendëson adresën IP të jashtme dhe portën e jashtme në fushat e destinacionit të paketës me adresën IP dhe portën e brendshme të klientit të rrjetit të brendshëm. Kështu, një paketë e transmetuar në rrjetin e brendshëm për shembullin e diskutuar më sipër do të ketë atributet e mëposhtme:

  • Burimi IP: 64.233.183.104;
  • porta e burimit: 80;
  • Adresa IP e marrësit: 192.168.0.1;
  • porti i destinacionit: 1251;
  • protokolli: TCP.

Megjithatë, nëse nuk ka përputhje në tabelën e hartës së portit, atëherë paketa hyrëse refuzohet dhe lidhja ndërpritet.

Falë një ruteri NAT, çdo PC në rrjetin e brendshëm është në gjendje të transferojë të dhëna në Rrjetin Global duke përdorur adresën IP të jashtme dhe portin e ruterit. Në këtë rast, adresat IP të rrjetit të brendshëm, si porte të caktuara për sesionet, mbeten të padukshme nga rrjeti i jashtëm.

Megjithatë, një ruter NAT lejon shkëmbimin e të dhënave midis kompjuterëve në rrjetet e brendshme dhe të jashtme vetëm nëse ky shkëmbim inicohet nga një kompjuter në rrjetin e brendshëm. Nëse një kompjuter në rrjetin e jashtëm përpiqet të hyjë në një kompjuter në rrjetin e brendshëm me iniciativën e tij, lidhja refuzohet nga pajisja NAT. Prandaj, përveç zgjidhjes së problemit të mungesës së adresave IP, protokolli NAT ndihmon edhe në përmirësimin e sigurisë së rrjetit të brendshëm.

Probleme që lidhen me pajisjet NAT

Megjithë thjeshtësinë e dukshme të pajisjeve NAT, ato shoqërohen me disa probleme që shpesh e ndërlikojnë organizimin e ndërveprimit midis kompjuterëve të rrjetit ose madje pengojnë krijimin e tij. Për shembull, nëse rrjeti lokal mbrohet nga një pajisje NAT, atëherë çdo klient në rrjetin e brendshëm mund të krijojë një lidhje me serverin WAN, por jo anasjelltas. Kjo do të thotë, nuk mund të filloni një lidhje nga një rrjet i jashtëm me një server të vendosur në rrjetin e brendshëm pas një pajisjeje NAT. Por, çka nëse ka një shërbim në rrjetin e brendshëm (për shembull, një server FTP ose Web) në të cilin përdoruesit në rrjetin e jashtëm duhet të kenë akses? Për të zgjidhur këtë problem, ruterat NAT përdorin teknologji të çmilitarizuara të zonës dhe përcjelljes së portit, të cilat do të përshkruhen në detaje më poshtë.

Një problem tjetër me pajisjet NAT është se disa aplikacione të rrjetit përfshijnë adresën IP dhe portin në pjesën e të dhënave të paketës. Është e qartë se pajisja NAT nuk është në gjendje të kryejë një përkthim të tillë adresash. Si rezultat, nëse një aplikacion rrjeti fut një adresë IP ose port në pjesën e ngarkesës së një pakete, serveri që i përgjigjet asaj pakete do të përdorë adresën IP të ndërlidhur dhe portin për të cilin nuk ka asnjë hyrje korresponduese të hartës në tabelën e brendshme të pajisjes NAT. . Si rezultat, një paketë e tillë do të hidhet poshtë nga pajisja NAT, dhe për këtë arsye aplikacionet që përdorin këtë teknologji nuk do të mund të funksionojnë në prani të pajisjeve NAT.

Ka aplikacione rrjeti që përdorin një portë (si port burim) për të transmetuar të dhëna, por presin një përgjigje në një portë tjetër. Pajisja NAT analizon trafikun në dalje dhe përputhet me portën e burimit. Megjithatë, pajisja NAT nuk e di se një përgjigje pritet në një port tjetër dhe nuk mund të kryejë hartëzimin përkatës. Si rezultat, paketat e përgjigjes drejtuar një porti që nuk ka një hartë në tabelën e brendshme të pajisjes NAT do të hiqen.

Një problem tjetër me pajisjet NAT janë akseset e shumëfishta në të njëjtin port. Le të shqyrtojmë një situatë ku disa klientë të një rrjeti lokal, të ndarë nga rrjeti i jashtëm nga një pajisje NAT, hyjnë në të njëjtën port standard. Për shembull, kjo mund të jetë porta 80, e cila është e rezervuar për një shërbim Web. Meqenëse të gjithë klientët e rrjetit të brendshëm përdorin të njëjtën adresë IP, lind pyetja: si mund të përcaktojë një pajisje NAT se cili klient i brendshëm i rrjetit është një kërkesë e jashtme? Për të zgjidhur këtë problem, vetëm një klient i rrjetit të brendshëm ka akses në portin standard në çdo kohë të caktuar.

Përcjellja statike e portit (Hartë portuale)

Për t'i bërë disa aplikacione që funksionojnë në një server në rrjetin e brendshëm (siç është një server në internet ose një server FTP) të aksesueshëm nga rrjeti i jashtëm, pajisja NAT duhet të konfigurohet për të hartuar portat e përdorura nga disa aplikacione në adresat IP. ata serverë të brendshëm të rrjetit në të cilat funksionojnë këto aplikacione. Në këtë rast, ata flasin për teknologjinë e ridrejtimit të portit (Port mapping), dhe vetë serveri i rrjetit të brendshëm quhet server virtual. Si rezultat, çdo kërkesë nga rrjeti i jashtëm në adresën IP të jashtme të pajisjes NAT (ruteri) në portin e specifikuar do të ridrejtohet automatikisht në serverin virtual të specifikuar në rrjetin e brendshëm.

Për shembull, nëse rrjeti i brendshëm është i konfiguruar server virtual FTP, i cili funksionon në një PC me adresën IP 192.168.0.10, më pas kur konfiguroni një server virtual, specifikohen adresa IP e serverit virtual (192.168.0.10), protokolli i përdorur (TCP) dhe porta e aplikacionit (21). . Në një rast të tillë, kur hyn në adresën e jashtme të pajisjes NAT (porta WAN e ruterit) në portën 21, një përdorues në rrjetin e jashtëm mund të hyjë në serverin FTP në rrjetin e brendshëm, pavarësisht përdorimit të protokollit NAT. Një shembull i konfigurimit të një serveri virtual në një ruter të vërtetë NAT është paraqitur në Fig. 4.

Në mënyrë tipike, ruterat NAT ju lejojnë të krijoni përcjellje të shumëfishta portash statike. Pra, në një server virtual mund të hapni disa porte në të njëjtën kohë ose të krijoni disa serverë virtualë me adresa IP të ndryshme. Sidoqoftë, me përcjelljen statike të portit, nuk mund të përcillni një port të vetëm në adresa të shumta IP, që do të thotë se një port mund të korrespondojë me një adresë të vetme IP. Është e pamundur, për shembull, të konfiguroni disa serverë ueb me adresa IP të ndryshme; për ta bërë këtë, do t'ju duhet të ndryshoni portën e paracaktuar të serverit në internet dhe, kur të hyni në portin 80, të specifikoni portën e ndryshuar të uebit në cilësimet e ruterit si të brendshme. port (Port Private).server.

Shumica e modeleve të ruterit ju lejojnë gjithashtu të vendosni ridrejtimin statik të një grupi portash, domethënë të caktoni një grup të tërë portash menjëherë në adresën IP të një serveri virtual. Ky funksion është i dobishëm nëse keni nevojë të mbështetni aplikacione që përdorin një numër të madh portash, si lojëra ose konferenca audio/video. Numri i grupeve të porteve të përcjella ndryshon midis modeleve të ndryshme të ruterit, por zakonisht ka të paktën dhjetë.

Përcjellja dinamike e portit (aplikacion special)

Përcjellja statike e portit mund të zgjidhë pjesërisht problemin e aksesit nga një rrjet i jashtëm në shërbimet e rrjetit lokal të mbrojtur nga një pajisje NAT. Sidoqoftë, ekziston edhe detyra e kundërt - nevoja për t'u siguruar përdoruesve të rrjetit lokal qasje në një rrjet të jashtëm përmes një pajisjeje NAT. Fakti është se disa aplikacione (për shembull, lojërat në internet, video-konferencat, telefonia në internet dhe aplikacione të tjera që kërkojnë vendosjen e njëkohshme të seancave të shumta) nuk janë në përputhje me teknologjinë NAT. Për të zgjidhur këtë problem, përdoret i ashtuquajturi ridrejtim dinamik i portit (nganjëherë i quajtur Aplikim Special), kur ridrejtimi i portit vendoset në nivelin e aplikacioneve individuale të rrjetit.

Nëse ruteri mbështet këtë funksion, duhet të specifikoni numrin e portit të brendshëm (ose intervalin e portit) të lidhur me të aplikim specifik(zakonisht referuar si Trigger Port), dhe specifikoni numrin e portit të jashtëm të pajisjes NAT (Port Publik), i cili do të vendoset në portin e brendshëm.

Kur aktivizohet përcjellja dinamike e portit, ruteri monitoron trafikun dalës nga rrjeti i brendshëm dhe kujton adresën IP të kompjuterit nga e ka origjinën ai trafik. Kur të dhënat kthehen në segment lokal Përcjellja e portit është aktivizuar dhe të dhënat kalohen brenda. Pas përfundimit të transferimit, ridrejtimi çaktivizohet dhe më pas çdo kompjuter tjetër mund të krijojë një ridrejtim të ri në adresën e tij IP.

Përcjellja dinamike e portit përdoret kryesisht për shërbime që përfshijnë kërkesa afatshkurtër dhe transferime të të dhënave, sepse nëse një kompjuter përdor një përcjellje porti të caktuar, një kompjuter tjetër nuk mund të bëjë të njëjtën gjë në të njëjtën kohë. Nëse keni nevojë të konfiguroni aplikacione që kërkojnë një rrjedhë të vazhdueshme të të dhënave që zënë një port për një kohë të gjatë, atëherë ridrejtimi dinamik është i paefektshëm. Megjithatë, në këtë rast, ekziston një zgjidhje për problemin - ajo qëndron në përdorimin e një zone të çmilitarizuar.

Zona DMZ

Zona e demilitarizuar (DMZ) është një mënyrë tjetër për të anashkaluar kufizimet e protokollit NAT. Të gjithë ruterat modernë ofrojnë këtë veçori. Kur një kompjuter në një rrjet të brendshëm lokal vendoset në një zonë DMZ, ai bëhet transparent për protokollin NAT. Kjo në thelb do të thotë që kompjuteri i rrjetit të brendshëm është praktikisht i vendosur përpara murit të zjarrit. Për një kompjuter të vendosur në një zonë DMZ, të gjitha portet ridrejtohen në një adresë IP të brendshme, e cila ju lejon të organizoni transferimin e të dhënave nga një rrjet i jashtëm në një të brendshëm.

Nëse, për shembull, një server me adresë IP 192.168.1.10, i vendosur në rrjetin e brendshëm lokal, ndodhet në një zonë DMZ dhe vetë rrjeti lokal mbrohet nga një pajisje NAT, atëherë kur një kërkesë arrin në ndonjë port nga rrjeti i jashtëm në adresën e portit WAN Për një pajisje NAT, kjo kërkesë do të përcillet në adresën IP 192.168.1.10, domethënë në adresën e serverit virtual në zonën DMZ.

Si rregull, ruterët NAT të klasës SOHO lejojnë që vetëm një kompjuter të vendoset në zonën DMZ. Një shembull i konfigurimit të një kompjuteri në një zonë DMZ është paraqitur në Fig. 5.

Oriz. 5. Shembull i konfigurimit të kompjuterit në një zonë DMZ

Meqenëse një kompjuter i vendosur në një zonë DMZ bëhet i aksesueshëm nga një rrjet i jashtëm dhe nuk mbrohet në asnjë mënyrë nga një mur zjarri, ai bëhet një pikë e cenueshme e rrjetit. Ju duhet të drejtoheni në vendosjen e kompjuterëve në një zonë të çmilitarizuar vetëm si mjetin e fundit, kur asnjë metodë tjetër për të anashkaluar kufizimet e protokollit NAT nuk është e përshtatshme për një arsye ose një tjetër.

Teknologjia NAT Traversal

Metodat që kemi renditur për të anashkaluar kufizimet e protokollit NAT mund të paraqesin disa vështirësi për përdoruesit fillestarë. Për të lehtësuar administrimin, u propozua teknologji e automatizuar konfigurimi i pajisjeve NAT. Teknologjia NAT Traversal (pasazh NAT) lejon aplikacionet e rrjetit përcaktoni që ato mbrohen nga një pajisje NAT, gjeni adresën IP të jashtme dhe kryeni përcjelljen e portit në modaliteti automatik. Kështu, avantazhi i teknologjisë NAT Traversal është se përdoruesi nuk duhet të konfigurojë manualisht hartëzimin e porteve.

Teknologjia NAT Traversal bazohet në protokollet UPnP (Universal Plug and Play), prandaj, për të aktivizuar këtë teknologji, shpesh është e nevojshme të kontrolloni opsionin UPnP&NAT në ruter.

Duke folur për komponentin softuer dhe harduer të sistemit të sigurisë së informacionit, duhet pranuar se më së shumti metodë efektive mbrojtja e objekteve të rrjetit lokal (segmenti i rrjetit) nga ndikimet nga rrjete të hapura(për shembull, Interneti), përfshin vendosjen e një elementi të caktuar që kontrollon dhe filtron paketat e rrjetit që kalojnë përmes tij në përputhje me rregullat e specifikuara. Ky element quhet firewall (firewall) ose muri i zjarrit, muri i zjarrit.

Firewall, firewall, firewall, firewall– formuar nga transliterimi i termit anglez firewall.

Firewall (gjermanisht: Brandmauer)- një term i huazuar nga gjuha gjermane, i cili është një analog i "firewall" në anglisht në kuptimin e tij origjinal (një mur që ndan ndërtesat ngjitur, duke mbrojtur kundër përhapjes së zjarrit).

Rrjeti/Firewall (Firewall)– një grup harduerësh ose softuerësh që monitoron dhe filtron paketat e rrjetit që kalojnë përmes tij duke përdorur protokolle të ndryshme në përputhje me rregullat e specifikuara.

Detyra kryesore e një muri zjarri është të mbrojë rrjetet kompjuterike dhe/ose nyjet individuale nga aksesi i paautorizuar. Firewall-et quhen ndonjëherë filtra, pasi detyra e tyre kryesore është të mos kalojnë (filtroni) paketat që nuk plotësojnë kriteret e përcaktuara në konfigurim.

Për të siguruar në mënyrë efektive një rrjet, një mur zjarri monitoron dhe menaxhon të gjitha të dhënat që rrjedhin nëpër të. Për të marrë vendime kontrolli për shërbimet TCP/IP (d.m.th., përpjekjet për përcjelljen, bllokimin ose regjistrimin e lidhjes), muri i zjarrit duhet të marrë, ruajë, zgjedhë dhe përpunojë informacionin e marrë nga të gjitha shtresat e komunikimit dhe nga aplikacionet e tjera.

Firewall kalon të gjithë trafikun përmes vetes, duke marrë një vendim për çdo paketë që kalon: ta lejojë atë të kalojë apo jo. Në mënyrë që firewall-i të kryejë këtë operacion, duhet të përcaktojë një sërë rregullash filtrimi. Vendimi nëse do të përdoret një mur zjarri për të filtruar paketat e të dhënave të lidhura me protokolle dhe adresa specifike varet nga politika e sigurisë e miratuar nga rrjeti që mbrohet. Në thelb, një mur zjarri është një grup komponentësh që janë konfiguruar për të zbatuar të zgjedhurit politikat e sigurisë. Politika siguria e rrjetitÇdo organizatë duhet të përfshijë (ndër të tjera) dy komponentë: një politikë për aksesin në shërbimet e rrjetit dhe një politikë për zbatimin e mureve të zjarrit.

Megjithatë, nuk mjafton thjesht të kontrolloni paketat individualisht. Informacioni i statusit të lidhjes i marrë nga inspektimi i kaluar i lidhjes dhe aplikacionet e tjera është një faktor kryesor në vendimin e kontrollit kur përpiqeni të krijoni një lidhje të re. Si gjendja e lidhjes (që rrjedh nga rrjedha e kaluar e të dhënave) ashtu edhe gjendja e aplikimit (që rrjedh nga aplikacione të tjera) mund të merren parasysh për të marrë një vendim.

Prandaj, vendimet e menaxhimit kërkojnë që muri i zjarrit të ketë akses, analizë dhe përdorim të faktorëve të mëposhtëm:

  • informacioni i lidhjes – informacion nga të shtatë shtresat (modelet OSI) në paketë;
  • historia e lidhjes - informacioni i marrë nga lidhjet e mëparshme;
  • gjendja e nivelit të aplikacionit – informacioni i gjendjes së lidhjes i marrë nga aplikacione të tjera;
  • manipulimi i informacionit - llogaritja e shprehjeve të ndryshme bazuar në të gjithë faktorët e mësipërm.
Llojet e mureve të zjarrit

Ekzistojnë disa lloje të mureve të zjarrit në varësi të karakteristikave të mëposhtme:

  • nëse mburoja siguron një lidhje midis një nyje dhe një rrjeti ose midis dy ose më shumë rrjeteve të ndryshme;
  • a ndodh kontrolli i rrjedhës në nivel rrjeti ose më shumë nivele të larta modele OSI;
  • nëse monitorohen apo jo gjendjet e lidhjeve aktive.

Në varësi të mbulimit të flukseve të kontrolluara të të dhënave, muret e zjarrit ndahen në:

  • mur tradicional i rrjetit (ose firewall).– një program (ose një pjesë integrale e sistemit operativ) në një portë (një pajisje që transmeton trafikun ndërmjet rrjeteve) ose zgjidhje harduerike, kontrollin e flukseve të të dhënave hyrëse dhe dalëse ndërmjet rrjeteve të lidhura (objektet e rrjetit të shpërndarë);
  • firewall personal– një program i instaluar në kompjuterin e një përdoruesi dhe i krijuar për të mbrojtur vetëm këtë kompjuter nga aksesi i paautorizuar.

Në varësi të nivelit OSI në të cilin ndodh kontrolli i aksesit, muret e zjarrit mund të funksionojnë në:

  • niveli i rrjetit, kur filtrimi ndodh bazuar në adresat e dërguesit dhe marrësit të paketave, numrat e portave të shtresës së transportit të modelit OSI dhe rregullat statike të specifikuara nga administratori;
  • niveli i seancës(i njohur edhe si shtetërore), kur seancat ndërmjet aplikacioneve monitorohen dhe paketat që shkelin specifikimet TCP/IP nuk kalohen, shpesh përdoren në operacione me qëllim të keq - skanimi i burimeve, hakimi përmes zbatimeve të pasakta TCP/IP, lidhjet e lëshuara/ngadalta, injektimi i të dhënave;
  • niveli i aplikimit(ose niveli i aplikimit), kur filtrimi bëhet në bazë të analizave të dhënat e aplikacionit transmetohet brenda paketës. Këto lloj ekranesh ju lejojnë të bllokoni transmetimin e informacionit të padëshiruar dhe potencialisht të dëmshëm bazuar në politikat dhe cilësimet.

Filtrimi në nivel rrjeti

Filtrimi i paketave hyrëse dhe dalëse kryhet në bazë të informacionit të përmbajtur në fushat e mëposhtme të titullit TCP dhe IP të paketave: adresa IP e dërguesit; Adresa IP e marrësit; porti i dërguesit; porta e marrësit.

Filtrimi mund të zbatohet menyra te ndryshme për të bllokuar lidhjet me kompjuterë të caktuar ose portet. Për shembull, mund të bllokoni lidhjet që vijnë nga adresa specifike ata kompjuterë dhe rrjete që konsiderohen jo të besueshme.

  • kosto relativisht e ulët;
  • fleksibilitet në përcaktimin e rregullave të filtrimit;
  • një vonesë e lehtë në kalimin e paketave.

Të metat:

  • nuk mbledh pako të fragmentuara;
  • nuk ka asnjë mënyrë për të gjurmuar marrëdhëniet (lidhjet) midis paketave.?

Filtrimi i nivelit të sesionit

Në varësi të monitorimit të lidhjeve aktive, muret e zjarrit mund të jenë:

  • pa shtetësi(filtrim i thjeshtë), të cilat nuk monitorojnë lidhjet aktuale (për shembull, TCP), por filtrojnë rrjedhën e të dhënave vetëm bazuar në rregulla statike;
  • shtetërore, shtetërore inspektimi i paketave(SPI)(filtrimi i ndërgjegjshëm për kontekstin), monitorimi i lidhjeve aktuale dhe kalimi i vetëm atyre paketave që plotësojnë logjikën dhe algoritmet e protokolleve dhe aplikacioneve përkatëse.

Firewall-et me SPI ju lejojnë të luftoni në mënyrë më efektive lloje të ndryshme Sulmet DoS dhe dobësitë e disa protokolleve të rrjetit. Përveç kësaj, ato sigurojnë funksionimin e protokolleve të tilla si H.323, SIP, FTP, etj., të cilat përdorin skema komplekse të transferimit të të dhënave ndërmjet marrësve, të vështira për t'u përshkruar me rregulla statike dhe shpesh të papajtueshme me muret e zjarrit standard, pa shtetësi.

Përparësitë e një filtrimi të tillë përfshijnë:

  • analiza e përmbajtjes së paketave;
  • nuk kërkohet asnjë informacion në lidhje me funksionimin e protokolleve të shtresës 7.

Të metat:

  • është e vështirë të analizohen të dhënat e nivelit të aplikacionit (ndoshta duke përdorur ALG - Application level gateway).

Porta e nivelit të aplikacionit, ALG (porta e nivelit të aplikacionit)– një komponent i një ruteri NAT që kupton një protokoll aplikacioni dhe kur paketat e këtij protokolli kalojnë përmes tij, ai i modifikon ato në atë mënyrë që përdoruesit pas NAT të mund të përdorin protokollin.

Shërbimi ALG ofron mbështetje për protokollet e nivelit të aplikacionit (të tilla si SIP, H.323, FTP, etj.) për të cilat Përkthimi i Adresave të Rrjetit nuk lejohet. Ky shërbim përcakton llojin e aplikacionit në paketat që vijnë nga ndërfaqja e brendshme e rrjetit dhe në përputhje me rrethanat kryen përkthimin e adresës/portit për to përmes ndërfaqes së jashtme.

Teknologjia SPI(Stateful Packet Inspection) ose teknologjia e inspektimit të paketave duke marrë parasysh gjendjen e protokollit është sot një metodë e avancuar e kontrollit të trafikut. Kjo teknologji ju lejon të kontrolloni të dhënat deri në nivelin e aplikacionit pa kërkuar aplikim të veçantë një ndërmjetës ose përfaqësues për çdo protokoll të mbrojtur ose shërbim rrjeti.

Historikisht, muret e zjarrit kanë evoluar nga filtrat e paketave me qëllime të përgjithshme në programet e mesme specifike të protokollit deri te inspektimi i gjendjes. Teknologjitë e mëparshme vetëm plotësonin njëra-tjetrën, por nuk siguronin kontroll të plotë mbi lidhjet. Filtrat e paketave nuk kanë akses në lidhjen dhe informacionin e gjendjes së aplikacionit që është i nevojshëm për sistemin e sigurisë për të marrë një vendim përfundimtar. Programet e Middleware përpunojnë vetëm të dhëna të nivelit të aplikacionit, gjë që shpesh rezulton në mundësi të ndryshme për të hakuar sistemin. Arkitektura shtetërore e inspektimit është unike sepse ju lejon të operoni në të gjithë informacione të mundshme duke kaluar nëpër makinën e portës: të dhënat nga paketa, të dhënat e gjendjes së lidhjes, të dhënat e nevojshme nga aplikacioni.

Një shembull se si funksionon mekanizmi i Inspektimit Shtetëror. Monitorët e mureve të zjarrit Sesioni FTP, duke kontrolluar të dhënat në nivelin e aplikacionit. Kur një klient kërkon që serveri të hapë një lidhje të kundërt (komandë FTP PORT), muri i zjarrit nxjerr numrin e portit nga ajo kërkesë. Lista ruan adresat e klientëve dhe serverëve dhe numrat e portave. Kur zbulohet një përpjekje për të krijuar një lidhje të të dhënave FTP, muri i zjarrit skanon listën dhe kontrollon nëse lidhja është me të vërtetë një përgjigje ndaj një kërkese të vlefshme klienti. Lista e lidhjeve mbahet në mënyrë dinamike në mënyrë që të hapen vetëm ato të nevojshme Portet FTP. Me mbylljen e seancës, portet bllokohen duke ofruar një nivel të lartë sigurie.

Filtrimi i nivelit të aplikacionit

Për të mbrojtur një sërë dobësish të qenësishme në filtrimin e paketave, muret e zjarrit duhet të përdorin programe aplikacioni për të filtruar lidhjet me shërbime të tilla si Telnet, HTTP, FTP. Aplikim i ngjashëm thirrur shërbim proxy, dhe hosti në të cilin funksionon shërbimi proxy është një portë e nivelit të aplikacionit. Një portë e tillë eliminon ndërveprimin e drejtpërdrejtë midis një klienti të autorizuar dhe një hosti të jashtëm. Porta filtron të gjitha paketat hyrëse dhe dalëse në nivelin e aplikacionit (niveli i aplikacionit - niveli më i lartë modeli i rrjetit) dhe mund të analizojë përmbajtjen e të dhënave, p.sh. Adresa URL, të përfshira në një mesazh HTTP, ose një komandë që përmbahet në një mesazh FTP. Ndonjëherë është më efektive të filtroni paketat bazuar në informacionin që përmban vetë të dhënat. Filtrat e paketave dhe filtrat e nivelit të lidhjes nuk përdorin përmbajtjen e rrjedhës së informacionit kur marrin vendime për filtrim, por filtrimi i nivelit të aplikacionit mund ta bëjë këtë. Filtrat e shtresës së aplikacionit mund të përdorin informacion nga kreu i paketës, si dhe përmbajtjen e të dhënave dhe informacionin e përdoruesit. Administratorët mund të përdorin filtrimin e nivelit të aplikacionit për të kontrolluar aksesin bazuar në identitetin e përdoruesit dhe/ose bazuar në detyrën specifike që përdoruesi po përpiqet të kryejë. Në filtrat e nivelit të aplikacionit, mund të vendosni rregulla bazuar në komandat e lëshuara nga aplikacioni. Për shembull, një administrator mund të ndalojë përdorues specifik shkarkoni skedarë në një kompjuter specifik nga duke përdorur FTP ose të lejojë përdoruesin të presë skedarë përmes FTP në të njëjtin kompjuter.

Krahasimi i mureve të zjarrit të harduerit dhe softuerit

Për të krahasuar muret e zjarrit, ne do t'i ndajmë ato në dy lloje: 1-hardware dhe software-hardware dhe 2-software.

Muret e zjarrit të harduerit dhe softuerit përfshijnë pajisje të instaluara në skajin e rrjetit. Firewall-et e softuerit janë ato që instalohen në hostet fundorë.

Drejtimet kryesore të natyrshme si në llojin e parë ashtu edhe në atë të dytë:

  • garantimi i sigurisë së trafikut në hyrje dhe në dalje;
  • një rritje e konsiderueshme në sigurinë e rrjetit dhe një reduktim i rrezikut për hostet e nënrrjetit kur filtroni shërbimet e njohura të pambrojtura;
  • aftësia për të kontrolluar aksesin në sistemet e rrjetit;
  • Njoftimi i ngjarjeve nëpërmjet alarmeve të duhura që aktivizohen kur ndodh ndonjë aktivitet i dyshimtë (përpjekje hetimore ose sulme);
  • duke ofruar një zgjidhje sigurie me kosto të ulët që është e lehtë për t'u zbatuar dhe menaxhuar.

Firewallet e harduerit dhe softuerit mbështesin gjithashtu funksionalitetin që lejon:

  • të parandalojë çdo shërbim të cenueshëm nga marrja e informacionit ose injektimi i informacionit në nënrrjetin e mbrojtur;
  • regjistroni përpjekjet për akses dhe siguroni statistikat e nevojshme për përdorimin e internetit;
  • të sigurojë mjete për rregullimin e rendit të hyrjes në rrjet;
  • ofrojnë menaxhimin e centralizuar trafiku.

Muret e zjarrit të softuerit, përveç fushave kryesore, lejojnë:

  • kontrolloni nisjen e aplikacioneve në hostin ku janë instaluar;
  • mbrojeni objektin nga depërtimi përmes "kapave" (dyert e pasme);
  • ofrojnë mbrojtje kundër kërcënimeve të brendshme.

Muri i zjarrit nuk është një pajisje simetrike. Ai bën dallimin midis koncepteve "jashtë" dhe "brenda". Një mur zjarri mbron zonën e brendshme nga një mjedis i jashtëm i pakontrolluar dhe potencialisht armiqësor. Në të njëjtën kohë, muri i zjarrit ju lejon të kufizoni aksesin në objekte rrjet publik nga ana e subjekteve të rrjetit të mbrojtur. Nëse shkelet autoriteti, puna e subjektit të aksesit bllokohet dhe të gjitha informacionet e nevojshme regjistrohen në regjistër.

Firewall-et mund të përdoren gjithashtu brenda rrjeteve të sigurta të korporatave. Nëse rrjeti lokal ka nënrrjeta me shkallë të ndryshme të konfidencialitetit të informacionit, atëherë këshillohet që të ndahen fragmente të tilla me mure zjarri. Në këtë rast, ekranet quhen të brendshëm.

Ekzistojnë disa lloje të mureve të zjarrit në varësi të karakteristikave të mëposhtme:

    nëse mburoja siguron një lidhje midis një nyje dhe një rrjeti ose midis dy ose më shumë rrjeteve të ndryshme;

    nëse kontrolli i rrjedhës së të dhënave ndodh në shtresën e rrjetit ose në nivele më të larta të modelit OSI;

    nëse monitorohen apo jo gjendjet e lidhjeve aktive.

Në varësi të mbulimit të flukseve të kontrolluara të të dhënave, muret e zjarrit ndahen në:

    rrjet tradicional (ose mur zjarri) - një program (ose një pjesë integrale e sistemit operativ) në një portë (një pajisje që transmeton trafikun ndërmjet rrjeteve) ose një zgjidhje harduerike që kontrollon rrjedhat e të dhënave hyrëse dhe dalëse midis rrjeteve të lidhura (objektet e rrjetit të shpërndarë) ;

    firewall personal është një program i instaluar në kompjuterin e një përdoruesi dhe i krijuar për të mbrojtur vetëm këtë kompjuter nga aksesi i paautorizuar.

Në varësi të nivelit OSI në të cilin ndodh kontrolli i aksesit, muret e zjarrit mund të funksionojnë në:

    niveli i rrjetit, kur filtrimi ndodh bazuar në adresat e dërguesit dhe marrësit të paketave, numrat e portave të shtresës së transportit të modelit OSI dhe rregullat statike të specifikuara nga administratori;

    niveli i seancës(i njohur edhe si shtetërore), kur seancat ndërmjet aplikacioneve monitorohen dhe paketat që shkelin specifikimet TCP/IP nuk kalohen, shpesh përdoren në operacione me qëllim të keq - skanimi i burimeve, hakimi përmes zbatimeve të pasakta TCP/IP, lidhjet e lëshuara/ngadalta, injektimi i të dhënave;

    niveli i aplikimit(ose niveli i aplikimit), kur filtrimi kryhet bazuar në analizën e të dhënave të aplikacionit të transmetuara brenda paketës. Këto lloj ekranesh ju lejojnë të bllokoni transmetimin e informacionit të padëshiruar dhe potencialisht të dëmshëm bazuar në politikat dhe cilësimet.

Filtrimi në nivel rrjeti

Filtrimi i paketave hyrëse dhe dalëse kryhet në bazë të informacionit të përmbajtur në fushat e mëposhtme të titullit TCP dhe IP të paketave: adresa IP e dërguesit; Adresa IP e marrësit; porti i dërguesit; porta e marrësit.

Filtrimi mund të zbatohet në mënyra të ndryshme për të bllokuar lidhjet me kompjuterë ose porte specifike. Për shembull, mund të bllokoni lidhjet që vijnë nga adresa specifike të atyre kompjuterëve dhe rrjeteve që konsiderohen jo të besueshme.

    kosto relativisht e ulët;

    fleksibilitet në përcaktimin e rregullave të filtrimit;

    një vonesë e lehtë në kalimin e paketave.

Të metat:

    nuk mbledh pako të fragmentuara;

    nuk ka asnjë mënyrë për të gjurmuar marrëdhëniet (lidhjet) midis paketave.?

Filtrimi i nivelit të sesionit

Në varësi të monitorimit të lidhjeve aktive, muret e zjarrit mund të jenë:

    pa shtetësi(filtrim i thjeshtë), të cilat nuk monitorojnë lidhjet aktuale (për shembull, TCP), por filtrojnë rrjedhën e të dhënave vetëm bazuar në rregulla statike;

    inspektim i gjendjes, i gjendjes së paketave (SPI)(filtrimi i ndërgjegjshëm për kontekstin), monitorimi i lidhjeve aktuale dhe kalimi i vetëm atyre paketave që plotësojnë logjikën dhe algoritmet e protokolleve dhe aplikacioneve përkatëse.

Firewall-et me SPI bëjnë të mundur luftimin më efektiv të llojeve të ndryshme të sulmeve DoS dhe dobësive të disa protokolleve të rrjetit. Përveç kësaj, ato sigurojnë funksionimin e protokolleve të tilla si H.323, SIP, FTP, etj., të cilat përdorin skema komplekse të transferimit të të dhënave ndërmjet marrësve, të vështira për t'u përshkruar me rregulla statike dhe shpesh të papajtueshme me muret e zjarrit standard, pa shtetësi.

Përparësitë e një filtrimi të tillë përfshijnë:

    analiza e përmbajtjes së paketave;

    nuk kërkohet asnjë informacion në lidhje me funksionimin e protokolleve të shtresës 7.

Të metat:

    është e vështirë të analizohen të dhënat e nivelit të aplikacionit (ndoshta duke përdorur ALG - Application level gateway).

Porta e nivelit të aplikacionit, ALG (porta e nivelit të aplikacionit) është një komponent i një ruteri NAT që kupton një protokoll aplikacioni dhe kur paketat e këtij protokolli kalojnë përmes tij, ai i modifikon ato në atë mënyrë që përdoruesit pas NAT të mund të përdorin protokollin.

Shërbimi ALG ofron mbështetje për protokollet e nivelit të aplikacionit (të tilla si SIP, H.323, FTP, etj.) për të cilat Përkthimi i Adresave të Rrjetit nuk lejohet. Ky shërbim përcakton llojin e aplikacionit në paketat që vijnë nga ndërfaqja e brendshme e rrjetit dhe në përputhje me rrethanat kryen përkthimin e adresës/portit për to përmes ndërfaqes së jashtme.

Teknologjia SPI (Stateful Packet Inspection) ose teknologjia e inspektimit të paketave duke marrë parasysh gjendjen e protokollit është sot një metodë e avancuar e kontrollit të trafikut. Kjo teknologji ju lejon të kontrolloni të dhënat deri në nivelin e aplikacionit pa kërkuar një ndërmjetës të veçantë ose aplikacion proxy për çdo protokoll të mbrojtur ose shërbim rrjeti.

Historikisht, muret e zjarrit kanë evoluar nga filtrat e paketave me qëllime të përgjithshme në programet e mesme specifike të protokollit deri te inspektimi i gjendjes. Teknologjitë e mëparshme vetëm plotësonin njëra-tjetrën, por nuk siguronin kontroll të plotë mbi lidhjet. Filtrat e paketave nuk kanë akses në lidhjen dhe informacionin e gjendjes së aplikacionit që është i nevojshëm për sistemin e sigurisë për të marrë një vendim përfundimtar. Programet e Middleware përpunojnë vetëm të dhëna të nivelit të aplikacionit, gjë që shpesh krijon mundësi të ndryshme për hakimin e sistemit. Arkitektura e inspektimit të gjendjes është unike sepse ju lejon të trajtoni të gjitha informacionet e mundshme që kalojnë përmes makinës së portës: të dhënat nga paketa, të dhënat për gjendjen e lidhjes, të dhënat e nevojshme nga aplikacioni.

Një shembull i mekanizmitShtetëroreInspektimi. Firewall monitoron sesionin FTP duke ekzaminuar të dhënat në nivelin e aplikacionit. Kur një klient kërkon që serveri të hapë një lidhje të kundërt (komandë FTP PORT), muri i zjarrit nxjerr numrin e portit nga ajo kërkesë. Lista ruan adresat e klientëve dhe serverëve dhe numrat e portave. Kur zbulohet një përpjekje për të krijuar një lidhje të të dhënave FTP, muri i zjarrit skanon listën dhe kontrollon nëse lidhja është me të vërtetë një përgjigje ndaj një kërkese të vlefshme klienti. Lista e lidhjeve mbahet në mënyrë dinamike në mënyrë që të hapen vetëm portat e nevojshme FTP. Me mbylljen e seancës, portet bllokohen duke ofruar një nivel të lartë sigurie.

Oriz. 2.12. Një shembull i mekanizmit të inspektimit shtetëror që punon me protokollin FTP

Filtrimi i nivelit të aplikacionit

Për të mbrojtur një sërë dobësish të qenësishme në filtrimin e paketave, muret e zjarrit duhet të përdorin programe aplikacioni për të filtruar lidhjet me shërbime të tilla si Telnet, HTTP, FTP. Një aplikacion i tillë quhet një shërbim proxy, dhe hosti në të cilin funksionon shërbimi proxy quhet një portë e nivelit të aplikacionit. Një portë e tillë eliminon ndërveprimin e drejtpërdrejtë midis një klienti të autorizuar dhe një hosti të jashtëm. Porta filtron të gjitha paketat hyrëse dhe dalëse në shtresën e aplikacionit (shtresa e aplikacionit - shtresa e sipërme e modelit të rrjetit) dhe mund të analizojë përmbajtjen e të dhënave, të tilla si një URL që gjendet në një mesazh HTTP ose një komandë në një mesazh FTP. Ndonjëherë është më efektive të filtroni paketat bazuar në informacionin që përmban vetë të dhënat. Filtrat e paketave dhe filtrat e nivelit të lidhjes nuk përdorin përmbajtjen e rrjedhës së informacionit kur marrin vendime për filtrim, por filtrimi i nivelit të aplikacionit mund ta bëjë këtë. Filtrat e nivelit të aplikacionit mund të përdorin informacion nga kreu i paketës, si dhe përmbajtjen e të dhënave dhe informacionin e përdoruesit. Administratorët mund të përdorin filtrimin e nivelit të aplikacionit për të kontrolluar aksesin bazuar në identitetin e përdoruesit dhe/ose bazuar në detyrën specifike që përdoruesi po përpiqet të kryejë. Në filtrat e nivelit të aplikacionit, mund të vendosni rregulla bazuar në komandat e lëshuara nga aplikacioni. Për shembull, një administrator mund të parandalojë një përdorues specifik që të shkarkojë skedarë në një kompjuter specifik duke përdorur FTP, ose të lejojë një përdorues të presë skedarë nëpërmjet FTP në të njëjtin kompjuter.

Përparësitë e një filtrimi të tillë përfshijnë:

    rregulla të thjeshta filtrimi;

    mundësia e organizimit numer i madhçeqe. Mbrojtja në nivelin e aplikacionit lejon një numër të madh kontrollesh shtesë, gjë që zvogëlon gjasat e hakimit duke përdorur vrima në softuer;

    aftësia për të analizuar të dhënat e aplikacionit.

Të metat:

    performancë relativisht e ulët në krahasim me filtrimin e paketave;

    proxy duhet të kuptojë protokollin e tij (pamundësia e përdorimit me protokolle të panjohura)?;

    Si rregull, ai funksionon nën sisteme operative komplekse.

Artikujt më të mirë mbi këtë temë

Si të ndani një qelizë në dysh në Excel: truket e dobishme Si të ndani një kolonë në Excel me 2
Si të ndani një qelizë në dysh në Excel: truket e dobishme Si të ndani një kolonë në Excel me 2
Llogaria personale Rosreestr
Llogaria personale Rosreestr
Rivendosja e baterisë së laptopit Bëni vetë Rivendosja e një kontrolluesi të baterisë së laptopit
Rivendosja e baterisë së laptopit Bëni vetë Rivendosja e një kontrolluesi të baterisë së laptopit
Kategoritë:
© 2023 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.