Për të kundërshtuar aksesin e paautorizuar në internet, ME duhet të vendoset midis rrjetit të mbrojtur të organizatës, i cili është i brendshëm, dhe një rrjeti të jashtëm potencialisht armiqësor (Fig. 9.1). Në të njëjtën kohë, të gjitha ndërveprimet ndërmjet këtyre rrjeteve duhet të kryhen vetëm nëpërmjet ME-së. Organizativisht, ME është pjesë e rrjetit të mbrojtur.
Oriz. 9.1. Diagrami i lidhjes ndërmjet muri i zjarrit UNË
ME, duke mbrojtur shumë nyje të rrjetit të brendshëm në të njëjtën kohë, është krijuar për të zgjidhur:
‣‣‣ detyra e kufizimit të aksesit të përdoruesve të jashtëm (në lidhje me rrjetin e mbrojtur) në burimet e brendshme rrjeti i korporatës. Përdorues të tillë përfshijnë partnerë, përdorues të largët, hakerë, madje edhe punonjës të vetë kompanisë që përpiqen të kenë akses në serverët e bazës së të dhënave të mbrojtur nga ME;
‣‣‣ detyrën e kufizimit të aksesit të përdoruesve të rrjetit të mbrojtur në burimet e jashtme. Zgjidhja e këtij problemi lejon, për shembull, të rregullojë aksesin në serverë që nuk u kërkohet të kryejnë detyra zyrtare.
Deri më tani, nuk ka asnjë klasifikim të vetëm të njohur përgjithësisht të ME. Ato mund të klasifikohen, për shembull, sipas karakteristikave kryesore të mëposhtme.
Duke funksionuar në nivelet e modelit OSI:‣‣‣ filtri i paketave (ruteri i shqyrtimit -ruteri i shqyrtimit); ‣‣‣ porta e shtresës së sesionit (transporti i shqyrtimit);‣‣‣ porta e aplikimit (porta e aplikimit); ‣‣‣ portë e nivelit të ekspertëve (firewall inspektimi shtetëror).
Teknologjia e përdorur:‣‣‣ kontrolli i statusit të protokollit (inspektimi shtetëror); ‣‣‣ bazuar në module ndërmjetëse (prokurë).
Sipas ekzekutimit:‣‣‣ hardueri dhe softueri;‣‣‣ softuer.
Sipas diagramit të lidhjes:‣‣‣ skema e unifikuar e mbrojtjes së rrjetit;Skema ‣‣‣ me segmente të hapura të rrjetit të mbrojtur të mbyllur dhe të pambrojtur;‣‣‣ Skema me mbrojtje të veçantë të segmenteve të rrjetit të mbyllur dhe të hapur.
Qëllimi i mureve të zjarrit Një mur zjarri ose muri i zjarrit është një grup harduerësh ose mjete softuerike, i cili kontrollon dhe filtron paketat e rrjetit që kalojnë përmes tij në përputhje me rregullat e specifikuara. Detyra kryesore e rrjetit… [lexo më shumë].
Firewall
Në praktikë, CS-të e shpërndara dhe të grumbulluara të korporatave shpesh të mbyllura janë të lidhura me rrjete publike si interneti. Mënyrat e ndërveprimit midis përdoruesve të një DCS të mbyllur me një sistem publik mund të jenë të ndryshme:
— me ndihmën e një QPS publike ku ata komunikojnë sistem i vetëm segmente të mbyllura sistemi i korporatës ose abonentë në distancë;
— përdoruesit e një RCN të mbyllur ndërveprojnë me pajtimtarët rrjet publik.
Në modalitetin e parë, detyra e vërtetimit të pajtimtarëve (proceseve) ndërvepruese zgjidhet shumë më me efikasitet sesa në mënyrën e dytë. Kjo është për shkak të mundësisë së përdorimit të kriptimit të pajtimtarëve kur ndërveproni me CS të një rrjeti korporativ.
Nëse abonentët e rrjetit publik nuk përdorin enkriptimin e pajtimtarëve, është pothuajse e pamundur të sigurohet vërtetim i fortë proceset, konfidencialiteti i informacionit, mbrojtja nga zëvendësimi dhe modifikimi i paautorizuar i mesazheve.
Për të bllokuar kërcënimet që vijnë nga një sistem publik, përdoret një softuer i veçantë ose mjet harduer-software, i cili quhet muri i zjarrit(Firewall) (Fig. 34). Si rregull, një mur zjarri zbatohet në një kompjuter të dedikuar, përmes të cilit një DCS i sigurt (fragmenti i tij) lidhet me një rrjet publik.
 |
Firewall zbaton kontrollin mbi informacionin që hyn në DCS të sigurt dhe (ose) largohet nga sistemi i sigurt.
Firewall-i kryen katër funksione:
— filtrimi i të dhënave;
— përdorimi i agjentëve mbrojtës;
- përkthimi i adresës;
- regjistrimi i ngjarjeve.
Funksioni kryesor i një muri zjarri është filtrimi trafiku hyrës (dalës). Në varësi të shkallës së sigurisë së rrjetit të korporatës, mund të vendosen rregulla të ndryshme filtrimi. Rregullat e filtrimit vendosen duke zgjedhur një sekuencë filtrash që lejojnë ose mohojnë transmetimin e të dhënave (paketave) në shtresën e filtrit ose protokollit të ardhshëm.
Firewall-i kryen filtrim në nivelet e kanalit, rrjetit, transportit dhe aplikimit. Si sasi e madhe nivelet mbulojnë ekranin, aq më i përsosur është. Firewall-et e krijuar për të mbrojtur informacionin e një shkalle të lartë rëndësie duhet të ofrojnë:
— filtrim sipas adresave të dërguesit dhe të marrësit (ose sipas atributeve të tjera ekuivalente);
— filtrimi i paketave të protokolleve të shërbimit të përdorura për të diagnostikuar dhe kontrolluar funksionimin e pajisjeve të rrjetit;
- filtrimi duke marrë parasysh ndërfaqen e rrjetit hyrës dhe dalës si një mjet për vërtetimin e adresave të rrjetit;
— filtrim duke marrë parasysh çdo fushë të rëndësishme të paketave të rrjetit;
- filtrimi në nivel transporti i kërkesave për të vendosur lidhjet virtuale;
- filtrimi në nivel aplikimi i kërkesave për shërbimet e aplikimit;
- filtrim në bazë të datës dhe orës;
— mundësia e fshehjes së subjekteve të aksesit nga të mbrojturit rrjeti kompjuterik;
- Mundësia e përkthimit të adresës.
Firewall mund të përdoret agjentët mbrojtës(proxy servers), të cilët janë programe ndërmjetëse dhe sigurojnë vendosjen e një lidhjeje ndërmjet subjektit dhe objektit të aksesit, dhe më pas dërgojnë informacione, duke ushtruar kontroll dhe regjistrim.
Tema 3. Teknologjitë bazë të sigurisë së rrjetit
Një funksion shtesë i agjentit mbrojtës është të fshehë objektin e vërtetë nga subjekti i aksesit. Veprimet e agjentit mbrojtës janë transparente për pjesëmarrësit në ndërveprim.
Funksioni përkthimi i adresës Muri i zjarrit është krijuar për të fshehur nga pajtimtarët e jashtëm adresat e vërteta të brendshme. Kjo ju lejon të fshehni topologjinë dhe përdorimin e rrjetit më shumë adresat nëse nuk ka mjaftueshëm të alokuara për një rrjet të sigurt.
Firewall performon regjistrimi i ngjarjes në revista të specializuara. Është e mundur të konfiguroni ekranin për regjistrimin me plotësinë e kërkuar për një aplikacion të caktuar. Analiza e të dhënave ju lejon të regjistroni përpjekjet për të shkelur rregullat e vendosura për shkëmbimin e informacionit në rrjet dhe të identifikoni sulmuesin.
Ekrani nuk është simetrik. Ai bën dallimin midis koncepteve: "jashtë" dhe "brenda". Ekrani siguron mbrojtje për zonën e brendshme nga një mjedis i jashtëm i pakontrolluar dhe potencialisht armiqësor. Në të njëjtën kohë, ekrani ju lejon të kufizoni aksesin në objektet e rrjetit publik nga ana e subjekteve të mbrojtura të rrjetit. Në rast të shkeljes së autoritetit, bllokohet puna e subjektit të aksesit dhe të gjitha informacionin e nevojshëmështë regjistruar. Firewall-et mund të përdoren gjithashtu brenda rrjeteve të sigurta të korporatave. Nëse ka fragmente rrjeti në DCS me shkallë të ndryshme të konfidencialitetit të informacionit, atëherë këshillohet që të ndahen fragmente të tilla me mure zjarri. Në këtë rast, ekranet quhen të brendshëm.
Në varësi të shkallës së konfidencialitetit dhe rëndësisë së informacionit, janë instaluar 5 klasa sigurie të murit të zjarrit. Çdo klasë karakterizohet nga një grup minimal i kërkesave të sigurisë së informacionit. Klasa më e ulët e sigurisë është e pesta, dhe më e larta është e para. Një mur zjarri i klasit të parë instalohet kur përpunohet informacioni i klasifikuar si "rëndësi të veçantë".
Firewall-et duhet të implementohen në formë sisteme të specializuara. Kjo duhet të rrisë performancën e sistemeve të tilla (i gjithë shkëmbimi kryhet përmes ekranit), si dhe të rrisë sigurinë e informacionit duke thjeshtuar strukturën. Duke pasur parasysh rëndësinë e mureve të zjarrit në garantimin e sigurisë së informacionit në të gjithë një rrjet të sigurt, ato u nënshtrohen kërkesave të larta për kontrollin e aksesit, sigurimin e integritetit të informacionit, rikuperueshmërinë, testimin, etj. Administratori siguron funksionimin e murit të zjarrit. E dëshirueshme vendin e punës administratori i vendosur direkt në murin e zjarrit, i cili thjeshton identifikimin dhe vërtetimin e administratorit, dhe gjithashtu thjeshton performancën e funksioneve të administrimit.
Në rrjetet me një kurs këmbimi të lartë, një mur zjarri mund të zbatohet në dy ose më shumë kompjuterë, të cilët janë të vendosur në mënyrë të përshtatshme në një objekt. Funksionet e murit të zjarrit dhe të portës (urë) mund të zbatohen në të njëjtën CS. Në praktikë, shpesh fragmente të një rrjeti të sigurtë komunikojnë me njëri-tjetrin përmes një rrjeti publik. Të gjithë fragmentet lidhen me rrjetin publik përmes mureve të zjarrit.
Përparimi shkencor dhe teknologjik sot po bën hapa të mëdhenj, sepse dje ende nuk mund të themi me siguri se çfarë është një kompjuter, dhe sot po diskutojmë tashmë mënyrat për ta siguruar atë, dhe këto metoda tani ka mjaft. Sidoqoftë, cilat prej tyre janë më të besueshme, përdoruesit zakonisht mësojnë nga përvoja e tyre, ndonjëherë negative. Sot do të flasim për një nga mënyrat që do të ndihmojnë në sigurimin e kompjuterit tuaj - një mur zjarri.
Çfarë është një mur zjarri?
Një vit më parë, 90% e përdoruesve të internetit nuk mund të thoshin me siguri se çfarë është firewall ose si quhet firewall në një mënyrë tjetër. Sot, tregu i teknologjisë së internetit është plotësisht i mbushur me një shumëllojshmëri të paguar dhe versionet falas ky program, sepse në kushtet e shfaqjes së vazhdueshme të viruseve, funksionimi i një kompjuteri pa një mur zjarri është thjesht i pamundur. Ndoshta jo të gjithë e dinë, por një kompjuter i lidhur në internet pa një mur zjarri të instaluar infektohet me viruse në vetëm disa orë.
Nga rruga, një nga llojet falas të këtij programi është Zone Alarm, i cili është mjaft i përshtatshëm për një përdorues me një kompjuter në shtëpi. Është mjaft i besueshëm, por nuk duhet të jeni plotësisht të sigurt për të, sepse hakerë profesionistë gjeni gjithnjë e më shumë dobësi në sistemet ekzistuese operative.
Parimi i shkëmbimit të informacionit
Është koha për të zbuluar se si kompjuterët tanë marrin informacion të infektuar nga jashtë. Dhe gjithçka ndodh pasi kompjuteri lidhet me internetin dhe merr adresën e tij IP. Kjo adresë nuk duhet t'i dihet askujt përveç jush dhe ISP-së tuaj. Dhe më pas kompjuteri juaj i dërgon një kërkesë një tjetri dhe raporton adresën e tij. Pas kësaj, të dhënat shkëmbehen dhe nuk dihet sa është probabiliteti që të mos merrni skedarë të infektuar në këtë moment.
Pra, tashmë e keni kuptuar që për të hakuar kompjuterin tuaj, duhet të dini adresën e tij IP. Natyrisht, ju shkëmbeni rregullisht adresa me kompjuterë të tjerë, kjo është e nevojshme për të punuar në internet. Megjithatë, nëse përdorni burime të besueshme, pronarët e tyre nuk do të hakojnë kompjuterin tuaj ose nuk do t'ua zbulojnë adresat e klientëve të tjerëve.
Edhe pse do të ketë gjithmonë boshllëqe për hakerat: ka programe të veçanta, të cilat zgjedhin pikërisht ato adresat e rrjetit për të cilat janë renditur kompjuterët. Këtu do t'ju ndihmojë muri i zjarrit.
Nevoja për një mur zjarri
Në përgjithësi, një mur zjarri ka dy qëllime. Për këtë do të flasim tani.
1. Mbrojtja e kompjuterit tuaj nga rrjedhja e informacionit.
Tani, siç e dini, të ndryshme Viruset trojane ose, siç i quajnë ata, Trojanë. Nëse një Trojan futet në një kompjuter, ai ose mund të vjedhë fjalëkalime dhe të tjera informacion i rendesishem, ose lejoni dikë tjetër të kontrollojë kompjuterin tuaj nga distanca. Nga ana tjetër, Firewall parashikon rrjetëzim vetëm për disa programe të njohura për të, si p.sh klienti i postës, shfletues, etj. Nëse programi nuk është i njohur për të, ai ose ju kërkon leje për të hyrë në rrjet, ose refuzon hyrjen pa lejen tuaj.
2. Mbrojtje kundër depërtimit në kompjuter nga jashtë.
Ndonjëherë disa Sistemet Operative, për shembull, i njëjti Windows, mbani disa porte të hapura.
Dokument Studenti Nr.098756 nga INTUIT
Kjo do të thotë se infeksione të ndryshme të rrjetit mund të përhapen përmes tyre. Prandaj, portet duhet të mbyllen dhe të bëhen të padukshme. Dhe atëherë kompjuteri juaj do të bëhet i padukshëm dhe askush nuk do ta sulmojë atë.
Megjithatë, hakerat me përvojë mund të marrin ende adresën e kompjuterit tuaj, edhe nëse të gjitha portat janë të padukshme. Prandaj, një detyrë tjetër e internetit ekrani i murit të zjarrit- bëni portet të padukshme dhe mbyllni ato, atëherë probabiliteti i hakimit zvogëlohet.
Data e publikimit: 13-01-2011, 23:53
123456 Tjetër ⇒
Mbrojtja dhe muret e zjarrit
Konceptet bazë
Bazuar në materialet e dokumentit drejtues të Komisionit Shtetëror Teknik të Rusisë, një mur zjarri (ME) është një mjet lokal (një komponentësh) ose funksionalisht i shpërndarë (kompleks) që kontrollon informacionin që hyn në AS dhe / ose largohet nga AS, dhe siguron mbrojtjen e AS duke filtruar informacionin, pra analizimin e tij sipas një sërë kriteresh dhe një vendim për shpërndarjen e tij në (nga) AU.
Ne do të përdorim konceptet e një muri zjarri (ME), një mur zjarri, një mur zjarri, një portë me një shtesë software firewall si ekuivalent.
Deklarata zyrtare e problemit të shqyrtimit është si më poshtë. Le të ketë dy grupe sistemesh informacioni. Një ekran është një mjet për të kufizuar aksesin e klientëve nga një grup te serverët nga një grup tjetër. Ekrani i kryen funksionet e tij duke kontrolluar të gjitha flukset e informacionit ndërmjet dy grupeve të sistemeve (Fig. 1a). Kontrolli i rrjedhës konsiston në filtrimin e tyre, ndoshta me disa transformime.
Fig.1a. Ekrani si mjet i kontrollit të aksesit.
Në nivelin tjetër të detajeve, ekrani (membrana gjysmë e përshkueshme) mund të përfaqësohet lehtësisht si një seri filtrash. Secili prej filtrave, pas analizimit të të dhënave, mund t'i vonojë (mos i humbasë), ose mund t'i "hedhë" menjëherë nga ekrani. Përveç kësaj, lejohet transformimi i të dhënave, transferimi i një pjese të të dhënave në filtrin tjetër për analiza të mëtejshme, ose përpunimi i të dhënave në emër të adresuesit dhe kthimi i rezultatit te dërguesi (Fig. 1b).
Fig.1b. Ekrani si një sekuencë filtrash
Përveç funksioneve të kontrollit të aksesit, ekranet regjistrojnë shkëmbimin e informacionit.
Firewall-i ndodhet ndërmjet rrjetit të mbrojtur (të brendshëm) dhe mjedisi i jashtëm(rrjetet e jashtme ose segmente të tjera të rrjetit të korporatës). Në rastin e parë, flitet për një ME të jashtëm, në të dytin, për një të brendshme. Muri i zjarrit është vendi i përsosur për të vendosur mjete auditim aktiv. ME është në gjendje të zbatojë një reagim të fuqishëm arbitrarisht ndaj aktivitetit të dyshimtë, deri në prishjen e lidhjes me mjedisin e jashtëm.
Këshillohet që të caktoni identifikimin / vërtetimin në murin e zjarrit përdoruesit e jashtëm të cilët kanë nevojë për qasje në burimet e korporatës(me mbështetje koncepti hyrje e vetme në rrjet).
Në bazë të parimeve shtresa mbrojtëse për roje lidhjet e jashtme zakonisht përdoret mbrojtja me dy komponentë (Fig. 2). Filtrimi parësor (për shembull, paketat me adresa IP të caktuara të përfshira në "listën e zezë") kryhet router kufitar, e ndjekur nga të ashtuquajturat zonë e demilitarizuar(rrjet me siguri të moderuar të sigurisë, ku është i jashtëm shërbimet e informacionit organizatat - Web, e-mail, etj) dhe firewall-i kryesor, i cili mbron pjesën e brendshme të rrjetit të korporatës.
Fig.2. Mbrojtje me dy komponentë me një zonë të çmilitarizuar.
Teorikisht një mur zjarri (veçanërisht i brendshëm) duhet të jetë me shumë protokolla, megjithatë, në praktikë, dominimi i familjes së protokolleve TCP / IP është aq i madh saqë mbështetja për protokollet e tjera duket të jetë një tepricë që është e dëmshme për sigurinë (sa më kompleks të jetë shërbimi, aq më i cenueshëm është).
Firewall i jashtëm dhe i brendshëm mund të bëhet ngushtica, që nga vëllimi trafiku i rrjetit tenton të rritet me shpejtësi. Një nga qasjet për zgjidhjen e këtij problemi përfshin ndarjen e ME në disa pjesë harduerike dhe organizimin e specializuar proxy servers. Firewall-i kryesor mund të bëjë një klasifikim të përafërt trafiku në hyrje sipas llojit dhe besojini filtrimin ndërmjetësve të duhur (për shembull, një ndërmjetës që analizon trafikun HTTP). Trafiku në dalje përpunohet fillimisht nga serveri i ndërmjetësimit, i cili mund të performojë dhe funksionalisht veprimet e dobishme, të tilla si memoria e faqeve të serverëve të jashtëm të uebit, gjë që redukton ngarkesën në rrjet në përgjithësi dhe murin kryesor të zjarrit në veçanti.
Situatat ku rrjeti i korporatës përmban vetëm një kanal të jashtëm janë përjashtim dhe jo rregull. Më shpesh, një rrjet i korporatës përbëhet nga disa segmente gjeografikisht të shpërndara, secila prej të cilave është e lidhur me internetin. Në këtë rast, çdo lidhje duhet të mbrohet nga mburoja e saj. Mund të supozojmë se firewall-i i jashtëm i korporatës është i përbërë (i shpërndarë) dhe kërkohet të zgjidhë problemin e administrimit të koordinuar të të gjithë komponentëve.
Ekzistojnë gjithashtu ME personale të krijuara për të mbrojtur kompjuterë individualë. Dallimi kryesor midis një muri zjarri personal dhe një muri zjarri të shpërndarë është prania e një funksioni të centralizuar të menaxhimit.
Firewall dhe funksionet e tij
Nëse muret e zjarrit personal menaxhohen vetëm nga kompjuteri në të cilin janë instaluar dhe janë ideale për përdorim shtëpiak, atëherë muret e zjarrit të shpërndarë mund të menaxhohen në mënyrë qendrore, nga një tastierë e vetme menaxhimi. Dallime të tilla lejuan disa prodhues të lëshojnë zgjidhjet e tyre në dy versione - personale (për përdoruesit shtëpiak) dhe të shpërndara (për përdoruesit e korporatave).
Si funksionojnë muret e zjarrit
Ekzistojnë dy mënyra kryesore për të krijuar grupe rregullash firewall: "përfshirëse" dhe "ekskluzive". Një mur zjarri përjashtues lejon kalimin e të gjithë trafikut, përveç trafikut që përputhet me grupin e rregullave. Një firewall aktivizues funksionon pikërisht në mënyrë të kundërt. Ai lejon vetëm trafikun që përputhet me rregullat dhe bllokon gjithçka tjetër.
Muret e zjarrit gjithëpërfshirës janë përgjithësisht më të sigurt se muret e zjarrit ekskluziv, sepse ato reduktojnë shumë rrezikun që muret e zjarrit të kalojnë trafikun e padëshiruar.
Siguria mund të rritet më tej duke përdorur një "firewall shtetëror". Një mur i tillë zjarri kursen informacione rreth lidhjeve të hapura dhe lejon vetëm trafikun përmes lidhjet e hapura ose hapjen e lidhjeve të reja. Disavantazhi i një muri zjarri shtetëror është se ai mund të jetë i prekshëm ndaj Sulmet DoS(Mohimi i Shërbimit, mohimi i shërbimit) nëse shumë lidhje të reja hapen shumë shpejt. Shumica e mureve të zjarrit ju lejojnë të kombinoni sjelljen shtetërore dhe pa shtetësi, e cila është optimale për aplikacionet e botës reale.
Numri i incidenteve që lidhen me sigurinë e informacionit, sipas agjencive kryesore analitike, është vazhdimisht në rritje. Specialistët e sigurisë së informacionit vënë në dukje rritjen e aktivitetit të ndërhyrësve të jashtëm duke përdorur zhvillimet më të fundit në fushën e sulmit, duke u përpjekur të depërtojnë në rrjetet e korporatave për të kryer veprat e tyre "të pista".
Numri i incidenteve që lidhen me sigurinë e informacionit, sipas agjencive kryesore analitike, është vazhdimisht në rritje. Specialistët e sigurisë së informacionit vënë në dukje rritjen e aktivitetit të ndërhyrësve të jashtëm duke përdorur zhvillimet më të fundit në fushën e sulmit, duke u përpjekur të depërtojnë në rrjetet e korporatave për të kryer veprat e tyre "të pista". Ato nuk kufizohen në vjedhjen e informacionit ose çaktivizimin e nyjeve të rrjetit. Nuk është e pazakontë që rrjetet e hakuara të përdoren për të nisur sulme të reja. Prandaj, mbrojtja e perimetrit sistemi i informacionit eshte nje element i detyrueshëm sistemeve siguria e informacionit organizatave.
Në të njëjtën kohë, për të përcaktuar përbërjen e përbërësve të mbrojtjes rrethuese që sigurojnë nivelin minimal (fillestar) të sigurisë së informacionit, është e nevojshme të analizohen kërcënimet më të zakonshme ndaj burimeve të informacionit të organizatës:
sulmet e rrjetit që synojnë mungesën e burimeve të informacionit (për shembull, serverët në internet, shërbimet Email etj.) - Sulmet DoS dhe DDoS;
kompromentimi i burimeve të informacionit dhe përshkallëzimi i privilegjeve si nga persona të brendshëm ashtu edhe nga ndërhyrës të jashtëm, si për qëllimin e përdorimit të burimeve tuaja, ashtu edhe për qëllimin e shkaktimit të dëmit;
veprimet e një keqdashëse kodi i programit(viruset, krimbat e rrjetit, trojans, spyware, etj.);
një rrjedhje informacion konfidencial dhe vjedhja e të dhënave si përmes rrjetit (e-mail, FTP, web, etj.) ashtu edhe përmes media e jashtme;
sulme të ndryshme të rrjetit në aplikacione.
Për të minimizuar kërcënimet ndaj sigurisë së informacionit, është e nevojshme të futen muret e zjarrit nivele të ndryshme Modelet OSI siç tregohen në tabelë.
Tabela. Firewall-et dhe modelet OSI
Funksionimi i të gjitha mureve të zjarrit bazohet në përdorimin e informacionit nga nivele të ndryshme të modelit OSI (tabela). Modeli OSI, i zhvilluar nga Organizata Ndërkombëtare për Standardizim, përcakton shtatë nivele në të cilat sistemet kompjuterike ndërveprojnë me njëri-tjetrin - duke u nisur nga niveli mjedisi fizik transmetimi i të dhënave dhe duke përfunduar me nivelin programet e aplikimit përdoret për komunikim. AT rast i përgjithshëm, sa më i lartë të jetë niveli i modelit OSI në të cilin muri i zjarrit filtron paketat, aq më i lartë është niveli i mbrojtjes që ofron.
Mund të zgjidhet metodat e mëposhtme kontrolli i trafikut ndërmjet rrjeteve lokale dhe të jashtme:
1. Filtrimi i paketave- bazuar në konfigurimin e konfigurimit të filtrit. Në varësi të faktit nëse paketa hyrëse i plotëson kushtet e specifikuara në filtra, ajo lejohet në rrjet ose hidhet.
2. Kjo klasë routers është një përkthyes i lidhjes TCP. Gateway merr një kërkesë nga një klient i autorizuar për të shërbime specifike dhe pas kontrollit të vlefshmërisë së seancës së kërkuar vendos një lidhje me destinacionin (host i jashtëm). Gateway pastaj kopjon paketat në të dy drejtimet pa i filtruar ato. Si rregull, destinacioni caktohet paraprakisht, ndërsa mund të ketë shumë burime. Duke përdorur porte të ndryshme, mund të krijoni një sërë konfigurimesh lidhjesh. Ky lloj Gateway ju lejon të krijoni një përkthyes të lidhjes TCP për çdo shërbim të përcaktuar nga përdoruesi bazuar në TCP, të kontrolloni aksesin në këtë shërbim dhe të mblidhni statistika për përdorimin e tij.
3. Proxy server- vendoset ndërmjet rrjeteve lokale dhe të jashtme pajisje shtesë një server proxy që shërben si një "portë" përmes së cilës duhet të kalojë i gjithë trafiku në hyrje dhe në dalje. inspektimi shtetëror- inspektimi i trafikut në hyrje - një nga mënyrat më të avancuara për të zbatuar një mur zjarri. Inspektimi nuk nënkupton analizën e të gjithë paketës, por vetëm pjesën kryesore të veçantë të saj dhe krahasimin me një të paracaktuar. vlerat e njohura nga databaza e burimeve të lejuara. Kjo metodë siguron performancën më të lartë të murit të zjarrit dhe vonesën më të ulët.
Parimi i funksionimit të murit të zjarrit bazohet në kontrollin e trafikut që vjen nga jashtë.
Një mur zjarri mund të zbatohet në harduer ose softuer. Zbatimi specifik varet nga shkalla e rrjetit, sasia e trafikut dhe detyrat e nevojshme. Lloji më i zakonshëm i mureve të zjarrit është softueri. Në këtë rast, ai zbatohet si një program që funksionon në kompjuterin e destinacionit ose në skaj pajisje rrjeti, për shembull, një ruter. Në rastin e një zbatimi harduer, një mur zjarri është një element i veçantë i rrjetit që zakonisht ka aftësi më të mëdha të performancës, por kryen detyra të ngjashme.
Firewall ju lejon të konfiguroni filtrat që janë përgjegjës për kalimin e trafikut sipas kritereve të mëposhtme:
1. Adresa IP. Siç e dini, çdo pajisje fundore që funksionon mbi protokollin IP duhet të ketë një adresë unike. Duke vendosur një adresë ose një gamë të caktuar, mund të ndaloni marrjen e paketave prej tyre, ose, anasjelltas, të lejoni aksesin vetëm nga këto adresa IP.
2. Emri i domenit. Siç e dini, një faqe në internet, ose më saktë adresën e saj IP, mund t'i caktohet një emër alfanumerik, i cili është shumë më i lehtë për t'u mbajtur mend sesa një grup numrash. Kështu, filtri mund të konfigurohet që të kalojë trafikun vetëm në/nga një prej burimeve, ose të mohojë aksesin në të.
3. Port. Bëhet fjalë për rreth portet e softuerit, d.m.th. pikat e hyrjes së aplikacionit në shërbimet e rrjetit. Kështu, për shembull, ftp përdor portin 21, dhe aplikacionet për shfletimin e faqeve të internetit përdorin portën 80. Kjo ju lejon të ndaloni aksesin nga shërbimet dhe aplikacionet e padëshiruara në rrjet, ose, anasjelltas, të lejoni qasjen vetëm në to.
4. Protokolli. Firewall-i mund të konfigurohet që të lejojë vetëm një protokoll të kalojë, ose të mohojë aksesin duke përdorur atë. Në mënyrë tipike, lloji i protokollit mund t'ju tregojë se cilat detyra përdor dhe grupin e cilësimeve të sigurisë që përdor. Kështu, qasja mund të konfigurohet vetëm për të ekzekutuar një aplikacion specifik dhe për të parandaluar potencialisht akses i rrezikshëm duke përdorur të gjitha protokollet e tjera.
Më sipër liston vetëm parametrat kryesorë që mund të rregullohen. Mund të zbatohen gjithashtu opsione të tjera filtri që janë specifike për këtë aplikacion. rrjet specifik, në varësi të detyrave të kryera në të.
Kështu, muri i zjarrit ofron një grup të plotë detyrash për të parandaluar aksesin e paautorizuar, dëmtimin ose vjedhjen e të dhënave ose ndryshe. ndikim negativ të cilat mund të ndikojnë në performancën e rrjetit. Në mënyrë tipike, një mur zjarri përdoret në lidhje me mjete të tjera mbrojtëse, të tilla si softueri antivirus.
Krijo një politikë filtri për muret e zjarrit
Ekzistojnë dy mënyra kryesore për të krijuar grupe rregullash firewall: "përfshirëse" dhe "ekskluzive". Një mur zjarri përjashtues lejon kalimin e të gjithë trafikut, përveç trafikut që përputhet me grupin e rregullave. Një firewall aktivizues funksionon pikërisht në mënyrë të kundërt. Ai lejon vetëm trafikun që përputhet me rregullat dhe bllokon gjithçka tjetër.
Firewall gjithëpërfshirës siguron një shkallë shumë më të madhe kontrolli trafiku në dalje. Prandaj, një mur zjarri mundësues është zgjedhja më e mirë për sistemet që ofrojnë shërbime në internet. Ai gjithashtu kontrollon llojin e trafikut të krijuar jashtë dhe të drejtuar në rrjetin tuaj privat. Trafiku që nuk përfshihet në rregullat bllokohet dhe regjistrimet përkatëse bëhen në skedarin e regjistrit. Muret e zjarrit gjithëpërfshirës janë përgjithësisht më të sigurt se muret e zjarrit ekskluziv, sepse ato reduktojnë shumë rrezikun që muret e zjarrit të kalojnë trafikun e padëshiruar.
Siguria mund të rritet më tej duke përdorur një "firewall shtetëror". Një firewall i tillë kursen informacione për lidhjet e hapura dhe lejon trafikun vetëm përmes lidhjeve të hapura ose hapjes së lidhjeve të reja. Disavantazhi i një muri mbrojtës shtetëror është se ai mund të jetë i cenueshëm ndaj sulmeve të Mohimit të Shërbimit (DoS) nëse shumë lidhje të reja hapen shumë shpejt. Shumica e mureve të zjarrit ju lejojnë të kombinoni sjelljen shtetërore dhe pa shtetësi, duke ju lejuar të krijoni konfigurimin optimal për çdo sistem specifik.
Si shembull, merrni parasysh krijimin e rregullave të filtrit në një filtër të thjeshtë paketash. Ka disa opsione të mundshme gjatë filtrimit të paketave. Më e thjeshta është filtrimi i adresave; ai konsiston në krahasimin e adresave në paketë me adresat e specifikuara në rregulla. Nëse adresat përputhen, paketa kalon. Ky krahasim bëhet si më poshtë:
1. Mund të konsiderohet rregulli tjetër: Të gjithë hostet në rrjetin 10.1.x.x mund të komunikojnë me hostet në rrjetin 10.2.x.x. Ky rregull është shkruar si më poshtë:
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
——- Burimi —— —— Destinacioni ——
Tani mund ta zbatoni rregullin për një paketë që dërgohet nga hosti 10.1.1.2 në host 10.3.7.7. Aplikoni një maskë në të dy adresat - adresën në rregull dhe adresën në paketë. Më pas kontrollon për të parë nëse adresat e burimit dhe të destinacionit janë të njëjta. Si rezultat do të kemi:
Për adresën e burimit:
10.1.0.0 & 255.255.0.0 = 10.1.0.0 (për rregull)
10.1.1.2 & 255.255.0.0 = 10.1.0.0 (për paketën)
Pas aplikimit të maskës, të dyja adresat përputhen. Tani kontrolloni adresën e destinacionit:
10.2.0.0 & 255.255.0.0 = 10.2.0.0 (për rregull)
10.3.7.7 & 255.255.0.0 = 10.3.0.0 (për paketën)
Meqenëse adresat e destinacionit të paketës dhe rregulli nuk përputhen pas aplikimit të maskës, ky rregull nuk duhet të zbatohet në këtë paketë.
Ky operacion kryhet në të gjithë listën e adresave dhe maskave të burimit dhe destinacionit derisa të arrihet fundi i listës ose derisa paketa të përputhet me një nga rregullat. Lista e rregullave ka formatin e mëposhtëm:
10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
Përveç adresave të burimit dhe destinacionit, çdo paketë IP përmban informacion në lidhje me protokollin dhe shërbimin e përdorur. Mund të përdoret si parametër shtesë filtrimi.
Për shembull, shërbimet në Protokolli TCP gjithmonë i lidhur me një port. Si rezultat, ju mund të përputhni listën e porteve me adresat.
Le të përdorim për shembull dy shërbime të njohura - POP3 dhe HTTP. POP3 përdor portën 110 dhe HTTP përdor portën 80. Prandaj, ne mund t'i shtojmë këto porte në përshkrimin e rregullit. Si rezultat, marrim:
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 TCP 80 110
—— Burimi —— —— Destinacioni —— Protokolli - Portet —
Ky rregull lejon që çdo paketë që udhëton nga rrjeti 10.1.x.x në rrjetin 10.2.x.x duke përdorur shërbimet HTTP dhe POP3 të kalojë nëpër murin e zjarrit.
Së pari, adresat nga rregulli krahasohen me adresat e paketës. Nëse të dyja adresat përputhen pas aplikimit të maskës, protokolli dhe porti i destinacionit në paketë do të krahasohen me listën e protokolleve dhe porteve të përshkruara në rregull. Nëse protokolli përputhet dhe porti në rregull është i njëjtë me portin e paketës, atëherë paketa përputhet me rregullin. Përndryshe, kërkimi do të vazhdojë në listën e rregullave.
Nisur nga kjo informacione të reja grupi i rregullave do të ketë formatin e mëposhtëm:
10.1.1.2 & 255.255.255.255 - 10.2.0.0 & 255.255.0.0 UDP 53
10.3.3.2 & 255.255.255.255 - 10.1.2.1 & 255.255.255.255 TCP 80
10.1.1.0 & 255.0.0.0 - 10.2.3.0 & 255.255.255.0 TCP 21 20 113
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 ICMP 0 8
Përveç këtyre opsioneve bazë të filtrimit, mund të shtoni disa të tjera. Njëra është ndërfaqja e rrjetit burimor; duke përdorur emrin e ndërfaqes së rrjetit si parametër filtrues, mund të lejoni kalimin e paketave me adresa të caktuara vetëm nga këtë ndërfaqe.
Qëllimi i kësaj procedure është të bllokojë një sulm të njohur si IP spoofing, thelbi i të cilit është se në rrjeti i brendshëm dërgohet një paketë me një adresë burimi të rreme (nga rrjeti i brendshëm). Duke përdorur emrin e ndërfaqes së rrjetit si parametër, ky lloj sulmi mund të bllokohet lehtësisht. Për shembull, nëse rrjeti i brendshëm ndërvepron me murin e zjarrit përmes ndërfaqes de0, atëherë është e nevojshme vetëm të vendoset në rregulla që paketat me adresë burimi nga rrjeti i brendshëm duhet të pranohen vetëm nëse vijnë nga kjo ndërfaqe; në të gjitha rastet e tjera ato do të hidhen poshtë.
Në Odnoklassniki
Kur lidhni një rrjet të korporatës me rrjetet globale, është e nevojshme të kufizoni aksesin në rrjetin e mbrojtur nga rrjeti global dhe nga rrjeti i mbrojtur në rrjetin global, si dhe për të mbrojtur rrjetin e lidhur nga qasja e paautorizuar në distancë nga rrjeti global. Në të njëjtën kohë, organizata është e interesuar të fshehë informacionin rreth strukturës së rrjetit dhe komponentëve të tij nga përdoruesit e rrjetit global. Puna me përdorues të largët kërkon vendosjen e kufizimeve të rrepta për aksesin në burimet e informacionit të rrjetit të mbrojtur.
Një organizatë shpesh duhet të ketë disa segmente me nivele të ndryshme sigurie në rrjetin e saj të korporatës:
o segmente të aksesueshme lirisht (për shembull, reklamimi i VWW-cepBep);
Rreth segmentit me akses i kufizuar(për shembull, për qasje te punonjësit e organizatës nga faqet e largëta);
O segmente të mbyllura (për shembull, nënrrjeti lokal financiar i organizatës).
Për të lidhur muret e zjarrit mund të përdoren skema të ndryshme, të cilat varen nga kushtet e funksionimit të rrjetit të mbrojtur, si dhe nga numri i ndërfaqeve të rrjetit dhe karakteristikat e tjera të ME-së së përdorur. Skemat e mëposhtme të lidhjes së murit të zjarrit përdoren gjerësisht:
o skemat e mbrojtjes së rrjetit duke përdorur një ruter mbrojtës;
Rreth Skemës së Unifikuar të Mbrojtjes rrjet lokal;
О skema me nënrrjeta të hapura të mbrojtura të mbyllura dhe të pambrojtura;
Rreth skemave me mbrojtje të veçantë të nënrrjeteve të mbyllura dhe të hapura.
Skema e mbrojtjes duke përdorur një ruter mbrojtës. Një mur zjarri i bazuar në filtrimin e paketave është më i zakonshmi dhe më i lehtë për t'u zbatuar. Ai përbëhet nga një ruter mbrojtës i vendosur midis rrjetit të mbrojtur dhe rrjetit të jashtëm të hapur potencialisht armiqësor (Figura 8.10). Një ruter kontrollues (filtri i paketave) është konfiguruar për të bllokuar ose filtruar paketat hyrëse dhe dalëse bazuar në një analizë të adresave dhe porteve të tyre.
Kompjuterët e vendosur në një rrjet të mbrojtur kanë akses të drejtpërdrejtë në internet, ndërsa shumica e aksesit në to nga interneti është i bllokuar.
Shërbimet e rrezikshme si X Windows, NIS dhe NFS shpesh bllokohen. Në parim, një ruter mbrojtës mund të zbatojë ndonjë nga politikat e sigurisë të përshkruara më parë. Megjithatë, nëse ruteri nuk filtron paketat bazuar në portin burimor dhe numrat e portave hyrëse dhe dalëse, atëherë zbatimi i politikës "asgjë që nuk lejohet në mënyrë eksplicite" mund të jetë i vështirë.
Firewall-et e filtrimit të paketave kanë të njëjtat disavantazhe si ruterat mbrojtës, dhe këto disavantazhe bëhen më të theksuara ndërsa kërkesat e sigurisë së rrjetit të mbrojtur bëhen më të rrepta. Le të shënojmë disa prej tyre:
О kompleksiteti i rregullave të filtrimit; në disa raste, tërësia e këtyre rregullave mund të bëhet e pamenaxhueshme;
О pamundësia e testimit të plotë të rregullave të filtrimit; kjo çon në pasiguri të rrjetit ndaj sulmeve të patestuara;
О mundësi praktikisht inekzistente për regjistrimin e ngjarjeve; si rezultat, është e vështirë për një administrator të përcaktojë nëse një ruter është sulmuar dhe komprometuar.
Diagramet e shumëfishta të lidhjeve të murit të zjarrit ndërfaqet e rrjetit. Skemat e mbrojtjes me ME me një ndërfaqe rrjeti (Fig. 8.11) nuk janë mjaft efektive si në aspektin e sigurisë ashtu edhe në aspektin e lehtësisë së konfigurimit. Ata nuk ndajnë fizikisht rrjetet e brendshme dhe të jashtme, dhe, në përputhje me rrethanat, nuk mund të sigurojnë mbrojtje e besueshme ndërlidhjet. Vendosja e mureve të zjarrit të tillë, si dhe ruterave të lidhur me to, është një detyrë mjaft komplekse, kostoja e zgjidhjes së së cilës tejkalon koston e zëvendësimit të një ME me një ndërfaqe rrjeti me një ME me dy ose tre ndërfaqe rrjeti. Prandaj, skemat për lidhjen e mureve të zjarrit me dy dhe tre ndërfaqe rrjeti do të shqyrtohen më në detaje më poshtë.
Është e këshillueshme që të përfaqësohet një rrjet lokal i mbrojtur si një kombinim i nënrrjetave të mbyllura dhe të hapura. Këtu poshtë hap nënrrjetin i referohet një nënrrjeti që mund të aksesohet nga një potencialisht armiqësor rrjeti i jashtëm mund të jetë plotësisht ose pjesërisht e hapur. Një nënrrjet i hapur, për shembull, mund të përfshijë serverë publikë WWW, FTP dhe SMTP, si dhe një server terminal me një grup modem.
Midis shumë skemave të mundshme të lidhjes ME, këto janë tipike:
О Skema e mbrojtjes së unifikuar të rrjetit lokal;
О skema me nënrrjeta të hapura të mbrojtura të mbyllura dhe të pambrojtura;
О Skema me mbrojtje të veçantë të nënrrjetave të mbyllura dhe të hapura.
Skema e mbrojtjes së unifikuar të rrjetit lokal. Kjo skemë është më e shumta zgjidhje e thjeshtë(Fig. 8.12), në të cilën ME mbron plotësisht rrjetin lokal nga një rrjet i jashtëm potencialisht armiqësor. Midis ruterit dhe murit të zjarrit, ekziston vetëm një rrugë përmes së cilës kalon i gjithë trafiku. Ky opsion ME zbaton një politikë sigurie të bazuar në parimin "çdo gjë që nuk lejohet shprehimisht është e ndaluar"; në të njëjtën kohë, të gjitha shërbimet janë të paarritshme për përdoruesin, përveç atyre për të cilat janë përcaktuar lejet e duhura. Në mënyrë tipike, ruteri është konfiguruar në atë mënyrë që ME të jetë e vetmja makinë e dukshme nga jashtë.
Serverët e hapur të përfshirë në rrjetin lokal do të mbrohen gjithashtu nga një mur zjarri. Megjithatë, kombinimi i serverëve të aksesueshëm nga rrjeti i jashtëm me burime të tjera të rrjetit lokal të mbrojtur redukton ndjeshëm sigurinë e ndërveprimeve ndër-rrjet. Kështu që këtë skemë Lidhjet ME mund të përdoren vetëm nëse nuk ka serverë të hapur ose kur serverët ekzistues të hapur vihen në dispozicion nga rrjeti i jashtëm vetëm për numër i kufizuar përdoruesit të cilëve mund t'u besoni.
Meqenëse muri i zjarrit përdor një host, programet për vërtetimin e fortë të përdoruesit mund të instalohen në të. Muri i zjarrit gjithashtu mund të regjistrojë aksesin, përpjekjet e provës dhe sulmet në sistem, të cilat do t'ju lejojnë të identifikoni veprimet e ndërhyrësve.
Për disa rrjete, mungesa e fleksibilitetit të një skeme sigurie të murit të zjarrit me ndërfaqe të dyfishtë mund të jetë e papranueshme.
Skema me nënrrjeta të hapura të mbrojtura të mbyllura dhe të pambrojtura. Nëse në rrjetin lokal ka serverë të hapur publik, atëherë këshillohet që ata të zhvendosen si nënrrjet i hapur në murin e zjarrit (Fig. 8.13). Të
Oriz. 8.11
Oriz. 8.12.
Oriz. 8.13.
metoda ka një siguri më të lartë të pjesës së mbyllur të rrjetit lokal, por siguron një siguri të reduktuar të serverëve të hapur të vendosur përpara murit të zjarrit.
Disa ME ju lejojnë t'i prisni vetë këta serverë. Sidoqoftë, kjo zgjidhje nuk është më e mira nga pikëpamja e sigurisë së vetë DOE dhe ngarkimit të kompjuterit. Këshillohet që të përdorni skemën e lidhjes ME me një nënrrjet të hapur të mbrojtur të mbyllur dhe të pambrojtur vetëm nëse ka kërkesa të ulëta sigurie për një nënrrjet të hapur.
Nëse ka kërkesa të shtuara për sigurinë e serverëve të hapur, atëherë është e nevojshme të përdoret një skemë me mbrojtje të veçantë të nënrrjeteve të mbyllura dhe të hapura.
Skemat me mbrojtje të veçantë të nënrrjetave të mbyllura dhe të hapura. Një skemë e tillë mund të ndërtohet bazuar në një ME me tre ndërfaqe rrjeti(Fig. 8.14) ose bazuar në dy ME me dy ndërfaqe rrjeti(Fig. 8.15). Në të dyja rastet, qasja në nënrrjetat e hapura dhe të mbyllura të rrjetit lokal është e mundur vetëm përmes murit të zjarrit. Megjithatë, qasja në një nënrrjet të hapur nuk lejon qasje në një nënrrjet të mbyllur.
Nga këto dy skema, skema me dy UE, secila prej të cilave formon një shtresë të veçantë mbrojtjeje të një nënrrjeti të mbyllur, siguron një shkallë më të madhe të sigurisë së ndërlidhjes. Nënrrjeti i hapur i mbrojtur këtu vepron si një nënrrjet kontrollues.
Në mënyrë tipike, një nënrrjet kontrollues është konfiguruar për të lejuar aksesin në kompjuterë në nënrrjet si nga një rrjet i jashtëm potencialisht armiqësor ashtu edhe nga një nënrrjet LAN privat. Megjithatë, shkëmbimi i drejtpërdrejtë paketat e informacionit midis një rrjeti të jashtëm dhe një nënrrjeti të mbyllur nuk është e mundur. Kur sulmoni një sistem me një nënrrjet kontrolli, është e nevojshme të kapërcehet të paktën dy linja të pavarura të mbrojtjes, që është shumë detyrë sfiduese. Mjetet e monitorimit të mureve të zjarrit bëjnë të mundur zbulimin pothuajse gjithmonë të një përpjekjeje të tillë dhe administratori i sistemit mund të ndërmarrë veprime në kohë veprimet e nevojshme për të parandaluar aksesin e paautorizuar.
Duhet theksuar se puna përdoruesit e largët të lidhura nëpërmjet linjave të komunikimit dial-up duhet gjithashtu të kontrollohen në përputhje me politikën e sigurisë të organizatës. Zgjidhje standarde kjo detyrë është të instaloni një server me akses në distancë (server terminal) që ka të nevojshme funksionalitetin, për shembull, serveri terminal Appex i kompanisë Wow Helver1". Serveri i terminalit është një sistem me disa porte asinkrone dhe një ndërfaqe LAN. Shkëmbimi i informacionit midis porteve asinkrone dhe rrjetit lokal kryhet vetëm pas vërtetimit të duhur të përdoruesit të jashtëm.
Lidhja e serverit të terminalit duhet të kryhet në atë mënyrë që puna e tij të kryhet ekskluzivisht përmes murit të zjarrit. Kjo ju lejon të arrini shkallën e nevojshme të sigurisë kur përdoruesit e largët punojnë me të burimet e informacionit organizatave. Një lidhje e tillë është e mundur
Oriz. 8.14.
me tre ndërfaqe rrjeti
Oriz. 8.15.
nëse serveri i terminalit përfshihet në një nënrrjet të hapur kur përdoren skemat e lidhjes ME me mbrojtje të veçantë të nënrrjetave të hapura dhe të mbyllura.
Softueri i serverit të terminalit duhet të ofrojë aftësinë për të administruar dhe kontrolluar seancat e komunikimit nëpërmjet kanaleve dial-up. Modulet moderne të kontrollit serverët e terminalit kanë aftësi të zhvilluara mjaftueshëm për të siguruar sigurinë e vetë serverit dhe për të kufizuar aksesin tek klientët dhe për të kryer funksionet e mëposhtme:
Rreth Përdorimit fjalëkalimi lokal për qasje në porta serike, në akses në distancë duke përdorur protokollin PPP, si dhe për akses në tastierën administrative;
О duke përdorur një kërkesë për vërtetim nga çdo makinë e rrjetit lokal; Rreth Përdorimit fondet e jashtme vërtetimi;
О instalimi i listës së kontrollit të aksesit në portet e serverit të terminalit;
О Regjistrimi i seancave të komunikimit përmes një serveri terminal.
analiza dhe filtrimi i paketave të rrjetit që kalojnë nëpër të. Në varësi të rregullave të vendosura, dreneli kalon ose shkatërron pako, duke lejuar ose ndaluar në këtë mënyrë lidhjet e rrjetit. ME është një mjet klasik për mbrojtjen e perimetrit të një rrjeti kompjuterik: ai është i instaluar në kufirin midis rrjeteve të brendshme (të mbrojtur) dhe të jashtme (potencialisht të rrezikshme) dhe kontrollon lidhjet midis nyjeve të këtyre rrjeteve. Por ka skema të tjera lidhjeje, të cilat do të diskutohen më poshtë.Termi anglisht i përdorur për ME është firewall. Prandaj, në literaturë, muret e zjarrit quhen ndonjëherë edhe firewall ose firewall (termi gjerman, analog me murin e zjarrit).
Siç u përmend tashmë, filtrimi bazohet në rregulla. Qasja më e sigurt në formimin e rregullave për ME është qasja "çdo gjë që nuk lejohet shprehimisht është e ndaluar". Në këtë rast, paketën e rrjetit kontrollohet për respektimin e rregullave lejuese dhe nëse nuk ka të tilla, hidhet poshtë. Por në disa raste zbatohet parimi i kundërt: “çdo gjë që nuk është e ndaluar shprehimisht lejohet”. Pastaj bëhet një kontroll për pajtueshmërinë me rregullat e mohimit dhe nëse nuk gjenden rregulla të tilla, paketa do të anashkalohet.
Filtrimi mund të kryhet në nivele të ndryshme të modelit të referencës rrjetëzimi OSI. Mbi këtë bazë, ME-të ndahen në klasat e mëposhtme [ , ]:
- ruter mbrojtës;
- transporti mbrojtës (porta e nivelit të sesionit);
- shielding gateway (porta e shtresës së aplikimit).
Ruteri i Mburojës(ose filtri i paketës) funksionon shtresa e rrjetit Modeli OSI, por gjithashtu mund të përdorë informacion nga titujt e protokolleve të shtresave të transportit për të kryer kontrolle. Prandaj, filtrimi mund të kryhet nga adresat IP të dërguesit dhe marrësit dhe nga portat TCP dhe UDP. ME të tillë dallohen nga lart performancës dhe thjeshtësi relative - funksionalitet filtrat e paketave madje edhe ruterat më të thjeshtë dhe më të lirë të harduerit kanë tani. Në të njëjtën kohë, ata nuk mbrojnë nga shumë sulme, për shembull, ato që lidhen me zëvendësimin e pjesëmarrësve në lidhje.
Porta e shtresës së sesionit operon në shtresën e sesionit të modelit OSI dhe gjithashtu mund të kontrollojë informacionin e rrjetit dhe shtresës së transportit. Prandaj, përveç mundësive të listuara më sipër, një mur i tillë zjarri mund të kontrollojë procesin e krijimit të një lidhjeje dhe të kontrollojë paketat kaluese për përkatësinë në lidhjet e lejuara.
Application Layer Gateway mund të analizojë paketat në të gjitha nivelet e modelit OSI nga rrjeti në aplikacion, gjë që ofron më shumë nivel të lartë mbrojtjes. Përveç atyre të listuara më parë, ekzistojnë veçori të tilla si vërtetimi i përdoruesit, analiza e komandave të protokollit të shtresës së aplikacionit, verifikimi i të dhënave të transmetuara (për praninë e viruset kompjuterike, pajtueshmërinë me politikën e sigurisë) etj.
Le të shqyrtojmë tani çështjet që lidhen me instalimin e ME. Në oriz. 6.1 janë paraqitur diagramet tipike të lidhjes ME. Në rastin e parë ( oriz. 6.1), ME është instaluar pas ruterit dhe mbron të gjithë rrjetin e brendshëm. Një skemë e tillë përdoret nëse kërkesat në fushën e mbrojtjes kundër aksesit të paautorizuar në internet janë afërsisht të njëjta për të gjitha nyjet e rrjetit të brendshëm. Për shembull, "Lejo lidhjet nga rrjeti i brendshëm në rrjetin e jashtëm dhe ndalo përpjekjet për t'u lidhur nga rrjeti i jashtëm në rrjetin e brendshëm." Në rast se kërkesat për nyje të ndryshme janë të ndryshme (për shembull, ju duhet të strehoni një server poste që mund të lidhet me "nga jashtë"), një skemë e tillë e instalimit të murit të zjarrit nuk është mjaft e sigurt. Nëse në shembullin tonë shkelësi, si rezultat i zbatimit sulm në rrjet, do të marrë kontrollin e specifikuar serveri i postës, përmes tij ai mund të hyjë në nyjet e tjera të rrjetit të brendshëm.
Në raste të tilla, ndonjëherë një segment i hapur i rrjetit të ndërmarrjes krijohet përpara ME ( 6.1b), ndërsa firewall-i mbron pjesën tjetër të rrjetit të brendshëm. Disavantazhi i kësaj skeme është se ME nuk kontrollon lidhjet me nyjet e segmentit të hapur.
Më e preferuar në këtë rastështë të përdorësh ME me tre ndërfaqe rrjeti ( 6.1c). Në këtë rast, muri i zjarrit është konfiguruar në atë mënyrë që rregullat e hyrjes në rrjetin e brendshëm të jenë më të rrepta sesa në segmentin e hapur. Në të njëjtën kohë, si ato ashtu edhe komponimet e tjera mund të kontrollohen nga DOE. Segmenti i hapur në këtë rast nganjëherë quhet "zona e çmilitarizuar" - DMZ.
Edhe më e besueshme është skema në të cilën përdoren dy ME të konfigurueshme në mënyrë të pavarur për të mbrojtur rrjetin me DMZ ( 6.1d). Në këtë rast, ME 2 zbaton një grup më të rreptë rregullash filtrimi në krahasim me ME1. Dhe madje edhe një sulm i suksesshëm në ME-në e parë nuk do ta bëjë rrjetin e brendshëm të pambrojtur.
AT kohët e fundit varianti i instalimit të softuerit ME direkt në kompjuterin e mbrojtur është përdorur gjerësisht. Ndonjëherë një ME e tillë quhet "personale". Një skemë e tillë ju lejon të mbroheni nga kërcënimet që vijnë jo vetëm nga rrjeti i jashtëm, por nga ai i brendshëm.
