Pse keni nevojë për një mur zjarri në ruter. Mbrojtja e harduerit të rrjeteve SOHO duke përdorur mure zjarri

07.05.2019 Internet, Wi-Fi, rrjete lokale

Firewall - bllokimi i trafikut nga burime të paautorizuara - është një nga teknologjitë më të vjetra të sigurisë së rrjetit, por shitësit e mjediseve të lidhura vazhdojnë të zhvillojnë qasje të reja që ndihmojnë për t'iu kundërvënë në mënyrë më efektive kërcënimeve të sotme në një mjedis rrjeti në ndryshim dhe për të mbrojtur burimet e IT të korporatave. Firewall-et e gjeneratës së ardhshme ju lejojnë të krijoni politika duke përdorur një gamë më të gjerë të dhënash kontekstuale dhe t'i zbatoni ato.

Evolucioni i mureve të zjarrit (FW) ka bërë një rrugë të gjatë. Ato u zhvilluan për herë të parë në fund të viteve 80 nga DEC dhe funksionuan kryesisht në katër shtresat e para të modelit OSI, duke përgjuar trafikun dhe duke analizuar paketat për pajtueshmërinë me rregullat e specifikuara. Pastaj pikë kontrolli ofroi mure zjarri me çipa të specializuar (ASIC) për analiza të thella të kokës së paketave. Këto sisteme të avancuara mund të mbajnë një tabelë të lidhjeve aktive dhe ta përdorin atë në rregulla (Stateful Packet Inspection, SPI). Teknologjia SPI ju lejon të kontrolloni adresat IP të burimit dhe destinacionit dhe portat e monitorimit.

Një hap i madh përpara është krijimi i FW-ve që funksionojnë në nivel aplikimi. Produkti i parë i tillë u lëshua nga SEAL në vitin 1991, dhe dy vjet më vonë, u shfaq një zgjidhje e hapur Firewall Toolkit (FWTK) nga Trusted Information Systems. Këto mure zjarri inspektuan paketat në të shtatë nivelet, të cilat lejuan përdorimin e informacionit të zgjeruar në grupet e rregullave (politikat) - jo vetëm për lidhjet dhe statusin e tyre, por edhe për operacionet duke përdorur një protokoll specifik aplikacioni. Nga mesi i viteve 1990, muret e zjarrit kishin fituar aftësinë për të monitoruar protokollet popullore të shtresave të aplikacionit: FTP, Gopher, SMTP dhe Telnet. Këto produkte të avancuara (të vetëdijshëm për aplikimin) quhen mure zjarri të gjeneratës së ardhshme (Next-Generation Firewall, NGFW).

TIS ka lëshuar një version komercial të FWTK - Gauntlet Firewall. Me vërtetimin e përdoruesit, filtrimin e URL-së, veçoritë anti-malware dhe të sigurisë së shtresës së aplikacionit, ky produkt konsiderohet muri i parë i zjarrit "gjenerata e ardhshme". Kështu, zyrtarisht, produktet NGFW janë tashmë më shumë se 15 vjeç, megjithëse sot ky term ka një kuptim tjetër.

NDRYSHIMI I BREZIT

Analistët e Frost & Sullivan identifikojnë katër gjenerata të mureve të zjarrit. Të parat (1985–1990) janë produkte DEC; e dyta (1996-2002) - shfaqja e produkteve SPI (Check Point) dhe puna në nivelin e aplikacionit (Gauntlet), integrimi i funksioneve IPsec VPN, përdorimi i ASIC-ve të dizajnit tonë për të rritur performancën (Lucent, NetScreen) ; e treta (2003-2006) - aplikimi i funksioneve paketë e thellë Inspektimi dhe konsolidimi i funksioneve mbrojtëse (Fortinet); gjenerata e katërt (nga 2007 deri më sot) - sigurimi i sigurisë së trafikut bazuar në identifikimin e aplikacioneve dhe përdoruesve (Palo Alto) dhe futjen e teknologjive të reja nga shitësit e mëdhenj.

Kështu, shfaqja e termit NGFW në kuptimin e tij modern i atribuohet Palo Alto Networks. Ajo i quajti produktet e saj Firewalls të Gjeneratës së ardhshme, të cilat lejojnë kontroll të ngushtë mbi aksesin individual të përdoruesve në aplikacione dhe internet. Në thelb, NGFW kombinon disa funksione në një platformë - FW, IPS dhe Portat e Sigurisë së Uebit. Klientët marrin mundësinë për të kontrolluar "inputin" dhe "daljen" e rrjetit. Në NGFW, politikat vendosen për aplikacion, jo vetëm për portet dhe adresat IP.

Krahasuar me muret e zjarrit nga Cisco, Check Point Software Technologies dhe Juniper Networks, produktet e Palo Alto Networks ofrojnë monitorim më të lehtë dhe siguri më të mirë për trafikun e rrjeteve sociale, Google Gmail ose Skype. Rritja e popullaritetit të aplikacioneve në ueb ka kontribuar shumë në zhvillimin e biznesit të këtij shitësi, i cili hyri në treg në vitin 2005. Forrester Research e quan produktin e saj kryesor revolucionar.

Sot, tregu për muret e zjarrit (shih Figurat 1 dhe 2) ose muret e zjarrit mbulon një sërë segmentesh: SOHO, SMB, produkte për ndërmarrjet e mëdha dhe ofruesit. Funksionaliteti i ri NGFW ndihmon në mbrojtjen e rrjeteve të korporatave përballë teknologjive të reja dhe modeleve kompjuterike (cloud dhe celulare). Zgjerimi i funksionalitetit ka çuar në krijimin e platformave të unifikuara (Unified Threat Management, UTM), të cilat përdoren gjerësisht sot.

Edhe pse kufiri i rrjetit bëhet i paqartë, mbrojtja rrethuese FW mbetet një faktor i rëndësishëm dhe element i nevojshëm sistem sigurie me shumë nivele. Shfaqja e pajisjeve mobile dhe shfaqja e konceptit BYOD ka një ndikim të fortë në siguri, por më tepër rrit vlerën e perimetrit të rrjetit, pasi vetëm brenda tij të dhënat mund të jenë relativisht të sigurta, beson Dmitry Kurashev, drejtor i Entensys.

"Nëse flasim për funksione moderne dhe të njohura, atëherë në thelb muret e zjarrit përdoren si mure zjarri klasike," vëren Dmitry Ushakov, kreu i departamentit për përgatitjen dhe zbatimin e zgjidhjeve teknike në Stonesoft Rusi. - Sigurisht, për sa i përket aftësive të tyre, ato tashmë janë të ndryshme nga ato të përdorura në vitet '80 dhe '90 - për shembull, filtrimi kontekstual shtetëror dhe analizimi i aplikacioneve (aftësia për të gjurmuar lidhjet e lidhura). Por në praktikë, janë kryesisht funksionet klasike ato që kërkohen.”

Sipas analistëve të Frost & Sullivan, ndërsa muret e zjarrit tradicional mbeten një mjet themelor sigurie, ato janë joefektive në mbrojtjen kundër sulmeve të sofistikuara të rrjetit. Zhvillimi i teknologjive dhe aplikacioneve çon në hapjen e gjithnjë e më shumë zbrazëtirave për ndërhyrës, dhe zbatim praktik sistemi i sigurisë bëhet më kompleks. Për të kundërshtuar kërcënimet në zhvillim, shitësit duhet të përshpejtojnë zhvillimin e metodave të reja për të zbuluar dhe parandaluar sulmet dhe për të bllokuar ato të padëshiruara trafiku i rrjetit. Sipas ekspertëve të Gartner, tregu i mureve të zjarrit ka hyrë në një periudhë "evolucioni dinamik" dhe do të vazhdojë të rritet fuqishëm në vitet e ardhshme (shih Figurën 3).

Figura 3 Parashikimi i rritjes së tregut global të Firewall-it të Frost & Sullivan.

"BREZI I RI" SOT

Kontrolli i hollësishëm dhe i konfigurueshëm i nivelit të aplikacionit mbetet teknologjia kryesore e NGFW, por "mbështetja e aplikacionit" në muret e zjarrit të sotëm është shumë e ndryshme nga ajo që ofrohej 20 vjet më parë. Teknologjia e mureve të zjarrit është përmirësuar shumë - ajo ka evoluar në zgjidhje të specializuara që kryejnë analiza të thella të trafikut dhe identifikimin e aplikacioneve. Produktet përkatëse tani janë më të shpejta dhe mbështesin grupe rregullash më komplekse sesa paraardhësit e tyre.

Analistët e Gartner vërejnë se në dy ose tre vitet e fundit, ka pasur një kërkesë në rritje për platforma NGFW që mund të zbulojnë dhe bllokojnë sulme të sofistikuara, të vendosin (me një shkallë të lartë detajesh) politika sigurie në nivelin e aplikacionit, dhe jo vetëm portet dhe protokollet. Funksionaliteti dhe performanca e mureve të zjarrit duhet të plotësojë kërkesat e më shumë ndërveprim kompleks me aplikacionet, dhe vetë pajisjet - të kenë bandwidth të lartë dhe të mbështesin virtualizimin. Zgjedhja e zgjidhjes përcaktohet nga faktorë të tillë si kostoja, lehtësia e menaxhimit, lehtësia dhe shpejtësia e vendosjes. Sigurisht, lista nuk mbaron me kaq.

“Kur krahasojnë ose zhvillojnë një metodologji për zgjedhjen e mureve të zjarrit, analistët operojnë me disa dhjetëra (nganjëherë deri në njëqind e gjysmë) kritere që duhet të merren parasysh kur zgjedhin një zgjidhje. Çdo klient vendos prioritetet në mënyrën e tij - nuk ka dhe nuk mund të ketë një recetë apo skenar universal,” thekson Alexey Lukatsky, ekspert i sigurisë së rrjetit Cisco.

Kërcënimet e reja dhe teknologjitë Web 2.0 i detyrojnë shitësit të përditësojnë ofertat e tyre ndërsa evoluojnë muret e zjarrit. Ato janë të pajisura me veçori të avancuara të analizës së trafikut dhe ofrojnë cilësime fleksibël të politikave dhe performanca e tyre rritet në përputhje me rritjen e gjerësisë së brezit të rrjetit. NGFW-të janë në gjendje të monitorojnë trafikun e rrjetit në nivelet e aplikacionit dhe të përdoruesit dhe të bllokojnë në mënyrë aktive kërcënimet. Ato mund të përfshijnë një sërë fonde shtesë sigurinë dhe mbështetjen e funksioneve të avancuara të rrjetit.

Ndërmarrjet dhe ofruesit e mëdhenj kanë nevojë për zgjidhje me performancë të lartë. Sistemet më të fundit janë ndërtuar mbi platforma të fuqishme harduerike, me veçori dhe funksione sigurie të ndryshme më parë, si IPS, inspektimi i thellë i paketave, vërtetimi i përdoruesit dhe më shumë si komponentë të integruar. Sidoqoftë, muret e zjarrit të shkallës së ndërmarrjes nuk karakterizohen nga një grup specifik funksionesh, por nga shkallëzueshmëria, menaxhueshmëria dhe besueshmëria që plotësojnë nevojat e kompanive të mëdha.

Firewall-et nga shitësit kryesorë duke përfshirë Check Point Software Technologies, Cisco Systems, Fortinet, Juniper Networks dhe Palo Alto Networks ofrojnë të detajuara analiza e kontekstit trafiku i shtresës së aplikacionit. Por kjo nuk është e vetmja pronë e NGFW. Për shembull, Gartner propozoi përkufizimin e vet më shumë se tre vjet më parë, duke theksuar lidhjen midis IPS dhe NGFW. Analistë të tjerë e konsiderojnë funksionin UTM si një tipar të rëndësishëm të NGFW. Palo Alto dhe Juniper i qëndrojnë terminologjisë së tyre. Megjithatë, çështja nuk është në formulimin, por në funksionet NGFW që organizatat mund të përdorin për të mbrojtur rrjetet e tyre.

Sipas Alexey Lukatsky, Cisco po shikon kjo pyetje pak më i gjerë se sa është zakon në kompanitë e tjera: "Ne nuk e përdorim konceptin e NGFW, duke e zëvendësuar atë me Context-Aware FW, domethënë midis muri i zjarrit e ndjeshme ndaj kontekstit. Konteksti kuptohet jo vetëm si një përgjigje ndaj pyetjes "ÇFARË është e mundur?" (d.m.th., analiza e trafikut në nivelet e rrjetit dhe aplikacioneve), por edhe përgjigjet e pyetjes "KUR mundem?" (duke lidhur një përpjekje për qasje në kohë), "KU dhe KU mundem?" (vendndodhja e burimeve dhe pajisjeve nga të cilat dërgohet kërkesa), "KUSH mundet?" (që lidhet jo vetëm me një adresë IP, por edhe me një llogari përdoruesi), "SI mundem?" (nga cila pajisje lejohet qasja - nga një personale ose nga një korporatë, nga një palëvizshme ose celulare). E gjithë kjo bën të mundur që të ndërtohet një politikë aksesi në mënyrë më fleksibël dhe të merren parasysh nevojat vazhdimisht në ndryshim të një ndërmarrje moderne përsa i përket sigurisë së informacionit.”

NGFW është një pajisje që zgjeron funksionalitetin e një muri zjarri tradicional në drejtim të shërbime shtesë inspektimin dhe kontrollin e përdoruesve dhe aplikacioneve, konsideron Dmitry Ushakov. "Rrjedhimisht, firewall-i i gjeneratës së ardhshme është, në përgjithësi, FW, IPS dhe një sistem për kontrollin e sjelljes së përdoruesit dhe aplikacionit," thekson ai. "Dhe në këtë kuptim, Stonesoft StoneGate FW ka përmbushur funksionet e NGFW për disa vite."

Firewall-et bëjnë më shumë sesa thjesht të filtrojnë trafikun në hyrje. Disa NGFW mund të zbulojnë gjithashtu aktivitet anormal në trafikun në dalje, për shembull, ndërveprimi në portin 80 me një sajt të paautorizuar ose trafiku që përputhet me një nga nënshkrimet. Kjo ndihmon për të identifikuar dhe bllokuar komunikimet dalëse, duke përfshirë ato të iniciuara nga malware. “Gjithnjë e më shumë veçori që ishin implementuar më parë në muret e zjarrit të dedikuar po kombinohen në një kompleks softuerësh dhe harduerësh. Ne vendosëm një kombinim cilësor të veçorive të tilla si mbrojtja standarde, kontrolli i aplikacionit, parandalimi i ndërhyrjeve në konceptin NGFW, "tha Brendan Patterson, Menaxher i Lartë i Menaxhimit të Produkteve, WatchGuard Technologies.

NGFW-të ju lejojnë të krijoni politika të sigurisë së informacionit bazuar në një gamë të gjerë të dhënash kontekstuale, duke ofruar një shkallë më të lartë mbrojtjeje, menaxhueshmërie dhe shkallëzueshmërie. Trafiku i shërbimeve të internetit (nga Email në transmetimin e videos dhe rrjeteve sociale) kalon përmes shfletuesit nëpërmjet numër i kufizuar portet, dhe NGFW duhet të jetë në gjendje të analizojë seancat (në një nivel të caktuar të hollësishme) për të marrë vendime bazuar në kontekst. Një veçori tjetër e NGFW është mbështetja për identifikimin e përdoruesit (i cili mund të përdoret gjatë krijimit të rregullave), dhe për këtë, muri i zjarrit mund të përdorë informacionin e tij dhe të hyjë në Active Directory. "Aftësia" për të njohur dhe analizuar trafikun individual të aplikacioneve ka marrë një rëndësi të veçantë me përhapjen e aplikacioneve në ueb, të cilat shumica e mureve të zjarrit SPI mund t'i identifikojnë vetëm si trafik HTTP në portin 80.

Blerja e NGFW me synimin për të përdorur vetëm funksionet e tij të filtrimit të trafikut sipas porteve nuk është praktike, por jo të gjithë kanë nevojë për funksionet e kontrollit të hollësishëm të aplikacionit. Vlen gjithashtu të merret në konsideratë nëse organizata ka burime të kualifikuara për të konfiguruar dhe mbajtur grupin kompleks të rregullave NGFW. Nuk duhet të harrojmë shpejtësinë. Është më mirë të konfiguroni dhe testoni NGFW në Ambienti i punës. Gjerësia e brezit dhe lehtësia e menaxhimit mbeten kriteret kryesore për vlerësimin e mureve të zjarrit. Një segment i veçantë janë produktet e menaxhimit të politikave (Menaxhimi i Politikave të Firewall, FPM). Gartner rekomandon përdorimin e tyre kur kompleksiteti i mjedisit IT tejkalon aftësitë e konzollës së menaxhimit FW.

Analistët e Gartner besojnë se muret tradicionale të zjarrit SPI janë tashmë teknologji e vjetëruar, të paaftë për të mbrojtur kundër shumë kërcënimeve, dhe tani shumë organizata po vendosin NGFW. Gartner parashikon që në tre vjet, 38% e ndërmarrjeve do të përdorin NGFW, nga 10% në 2011. Në të njëjtën kohë, numri i klientëve që vendosin zgjidhje të kombinuara (FW + IPS) do të ulet nga 60% në 45%, dhe numri i kompanive që përdorin vetëm një mur zjarri - nga 25% në 10%. Në Rusi, me sa duket, rezultatet do të jenë të ndryshme.

"Siç tregon praktika, muret e zjarrit tradicional janë ende një sukses i madh," kujton Dmitry Ushakov. - Kjo është kryesisht për shkak të kontroll i kufizuar për zbatimin e shërbimeve të sigurisë nga autoritetet rregullatore dhe, për fat të keq, me sigurimin e mbrojtjes së TI-së sipas parimit të mbetur - më të lirë dhe në minimum. Pak mendojnë për kërcënimet dhe pasojat. Prandaj, sigurisht që ka një vend për ekranet tradicionale, por ato do të pajisen me funksione të reja. Për shembull, pajisjet që, përveç FW tradicionale, kanë edhe mjete për analiza të thelluara të flukseve ndër-rrjetore, po bëhen gjithnjë e më të kërkuara.

Ndërkohë, kur zgjidhin probleme të reja komplekse, zhvilluesit ndonjëherë duhet të bëjnë kompromis. Laboratori i NSS arriti në përfundimin se veçoritë e reja NGFW, të tilla si kontrolli i hollësishëm i nivelit të aplikacionit, shpesh degradojnë performancën dhe mbrojtjen në krahasim me një kombinim të mureve të zjarrit tradicional dhe IPS. Vetëm gjysma e sistemeve të testuara kishin efikasitet mbrojtës më të madh se 90%.

Studimi i NSS tregoi gjithashtu se veçoritë e IPS në sistemet NGFW konfigurohen rrallë, me politikat e paracaktuara të shitësve që zakonisht zbatohen pas vendosjes. Kjo ndikon negativisht në siguri. Dhe xhiroja nuk korrespondon me atë të deklaruar: nga tetë produkte, pesë e kishin më të ulët. Përveç kësaj, të gjitha NGFW-të e testuara nuk plotësonin numrin maksimal të lidhjeve brenda specifikimeve. Testuesit e laboratorit të NSS arritën në përfundimin se NGFW-të do të ishin gati për t'u vendosur në të mjedise korporative vetëm pas rritjes së produktivitetit, dhe në përgjithësi, teknologjitë NGFW duhet të përmirësohen - sistemet duhet të ofrojnë funksionim më të qëndrueshëm dhe një shkallë të lartë sigurie.

Në të njëjtën kohë, shumica e shitësve po zhvillojnë me sukses biznesin e tyre. Për shembull, IDC emëroi Check Point si shitësin kryesor të mureve të zjarrit/UTM, duke udhëhequr tregun e mureve të zjarrit në tremujorin e dytë të vitit të kaluar për sa i përket shitjeve, duke tejkaluar shitësit kryesorë të pajisjeve të rrjetit. Pjesa globale e tregut FW/UTM të Check Point kalon 20% dhe është afër 30% në Evropën Perëndimore.

Linja Check Point përfshin shtatë modele të pajisjeve të sigurisë me një arkitekturë "software blade" (shih Figurën 4): modele nga 2200 në 61000 (ky i fundit është muri i zjarrit më i shpejtë sot). performancë të lartë kontrolloni pajisjet Point kombinon murin e zjarrit, VPN, parandalimin e ndërhyrjeve, kontrollin e aksesit të aplikacioneve dhe celularit, parandalimin e rrjedhjes së të dhënave, mbështetjen e identitetit, filtrimin e URL-ve, anti-spam, anti-virus dhe funksione anti-bot.

Në Magic Quadrant, analistët e Gartner emëruan Check Point dhe Palo Alto Networks si liderët e tregut të mureve të zjarrit, ndërsa Fortinet, Cisco, Juniper Networks dhe Intel (McAfee) u emëruan pretendentë. Shtatë shitës rezultuan të ishin "lojtarë të ngrohtë" dhe asnjë kompani e vetme nuk ra në sektorin "vizionar". Megjithatë, kjo nuk i pengon klientët të japin përparësi ndaj produkteve Cisco (shih Figurën 5).

Tregu tani po lëviz drejt sistemeve NGFW të afta për të zbuluar dhe bllokuar lloje të ndryshme të sulmeve të sofistikuara dhe për të zbatuar politikat e shtresave të aplikimit. Në vitin 2012, lojtarët e themeluar të tregut kërkuan të përmirësonin zgjidhjet e tyre NGFW në mënyrë që të mos ishin inferiorë në aftësitë e tyre ndaj produkteve të të ardhurve në industri, dhe zhvilluesit e sistemeve inovative i plotësuan ato me kontrolle, duke i sjellë ato në nivelin e markave të njohura.

SHTETËSIT E RRITJES DHE ZHVILLIMET E REJA

Megjithëse tregu global i mureve të zjarrit është i ngopur, ai është larg nga stanjacioni. Pothuajse të gjithë shitësit kryesorë prezantuan produkte të gjeneratës së re veçori shtesë. Drejtuesit e rritjes së tregut të mureve të zjarrit - lëvizshmëria, virtualizimi dhe kompjuteri në renë kompjuterike - po nxisin kërkesën për mjete të reja të ofruara nga NGFW. Analistët e Gartner vërejnë një kërkesë në rritje për versionet e softuerit të mureve të zjarrit të përdorura në qendrat e të dhënave të virtualizuara (shih Figurën 6). Në vitin 2012, pjesa e varianteve virtuale të NGFW nuk kaloi 2%, por sipas parashikimeve të Gartner, deri në vitin 2016 do të rritet në 20%. Versionet virtuale të mureve të zjarrit dhe zgjidhjeve të mbrojtjes së përmbajtjes janë të përshtatshme për t'u vendosur në mjediset cloud.

Figura 6 Sipas Infonetics Research, shpenzimet për sigurinë e qendrave të të dhënave nga kompanitë e Amerikës së Veriut janë rritur në qiell gjatë vitit të kaluar.

Për zyrat në distancë dhe SMB, një mur zjarri i bazuar në cloud i instaluar nga ofruesi i shërbimit është shpesh një zgjidhje tërheqëse. Sipas disa ekspertëve, me zhvillimin e aksesit celular dhe arkitekturave cloud, arkitektura e sigurisë gjithashtu do të duhet të ndryshohet: në vend të NGFW, kompanitë do të përdorin më shpesh portat e internetit që janë nën kontrollin e ofruesit, dhe organizatat e mëdha do të ndahen. funksionet e portave të internetit dhe mureve të zjarrit për të përmirësuar performancën dhe menaxhueshmërinë. , pavarësisht nga fakti se disa produkte NGFW janë të afta të kryejnë funksionet bazë të portës së uebit.

Dmitry Kurashev beson se është më mirë t'i besohen të gjitha funksionet e përpunimit të trafikut portave të vendosura brenda kompanisë: "Është më korrekte të përdoren shërbimet cloud për administrimin dhe monitorimin e aplikacioneve të serverit, si dhe për mbledhjen e statistikave dhe analizave." "Firewall-i duhet të instalohet si parazgjedhje si tek ofruesi i resë kompjuterike ashtu edhe nga ana e klientit të shërbimeve cloud," shton Alexey Lukatsky. “Në fund të fundit, mes tyre ekziston një mjedis i pambrojtur, i cili mund të bëhet një trampolinë për depërtimin në një rrjet të korporatës ose një re programesh keqdashëse, ose për sulme nga ndërhyrës. Prandaj, mjetet e sigurisë së rrjetit janë ende të nevojshme.”

Shembull tipik shërbimet e menaxhuara siguria - një grup shërbimesh të shpallura së fundmi në Rusi për të mbrojtur rrjetin e klientit nga kërcënimet kryesore të rrjetit, të ofruara nga Orange Business Services. Shërbimet e Mbrojtjes së Unifikuar ju lejojnë të siguroni mbrojtje të centralizuar anti-virus për të gjitha pajisjet në rrjet, të mbroni kutitë postare të korporatave nga spam dhe të filtroni trafikun e Internetit, nëse është e nevojshme, duke kufizuar aksesin e punonjësve në burime të caktuara të rrjetit në nivelin e harduerit. Përveç kësaj, sistemi i sigurisë përfshin një mur zjarri, si dhe mjete për zbulimin dhe parandalimin e ndërhyrjeve.

Unified Defense bazohet në një pajisje kompakte UTM me funksionalitet NGFW nga Fortinet, e cila është e instaluar në rrjetin e klientit dhe e mbështetur nga Orange. Produkti ofrohet në dy versione - për rrjetet që mbështesin deri në 200 përdorues dhe shpejtësia e kanalit të internetit nuk i kalon 20 Mbps (pajisje FortiGate 80C), si dhe për rrjetet e krijuara për 1000 përdorues dhe një kanal 100 Mbps (pajisja FortiGate 200B ) (shih Figurën 7). Aktualisht, shërbimi është i disponueshëm për klientët Orange, në të ardhmen është planifikuar të ofrohet shërbimi në rrjetet e ofruesve të palëve të treta.

Mundësuar nga Fortinet, Unified Defense u mundëson kompanive me buxhete të kufizuara IT të përfitojnë nga teknologjitë e reja të sigurisë. Një nga funksionet e portalit të klientit është qasja në raporte të rregullta mbi funksionimin e sistemit, duke përfshirë informacionin për kërcënimet e neutralizuara.

Analiza e thellë e trafikut ju lejon të identifikoni aplikacionet që komunikojnë përmes rrjetit. Duke pasur parasysh tendencat aktuale në lëvizjen e aplikacioneve në cloud dhe zhvillimin e shërbimeve SaaS, është e mundur të sigurohet që vetëm të dhënat e kërkuara të futen në rrjetin e korporatës vetëm në një nivel edhe më të lartë detajesh.Çdo shitës përdor qasjet e veta kur krijon NGFW. Shumë zgjedhin metodën e nënshkrimit.

Për shembull, Astaro (pjesë e Sophos që nga viti 2011) përdor bazën e të dhënave të nënshkrimit të aplikacionit të partnerit të saj Vineyard Networks. Për shkak të kësaj, Astaro Security Gateway mund të bëjë dallimin midis aplikacioneve të ndryshme që ekzekutohen në të njëjtën faqe interneti, të zbatojë politikat QoS, prioritetet e trafikut dhe të ndajë gjerësinë e brezit për to. Në versionin e ri të Astaro Security Gateway, ndërfaqja e administrimit është përmirësuar: mund të vendosni rregulla në kohë reale në hartën e rrjetit dhe t'i përgjigjeni shpejt kërcënimeve të reja. Në versionet e ardhshme të murit të zjarrit Astaro, do të jetë e mundur transferimi i paketave te specialistët lloj i panjohur për analizën e tyre të mëvonshme.

Vitin e kaluar, Check Point përditësoi linjën e saj të produkteve me 90%. Këto modele janë optimizuar për arkitekturën Check Point Software Blade dhe, sipas zhvilluesit, janë afërsisht tre herë më të shpejtë se gjeneratat e mëparshme. Moduli i ri E ndërtuar mbi teknologjinë SecurityCore, Përshpejtimi i Sigurisë mund të rrisë në mënyrë dramatike performancën e murit të zjarrit duke përshpejtuar operacionet kryesore. Sipas Check Point, xhiroja e tij arrin 110 Gb / s, dhe vonesa është më pak se 5 μs. Sipas kompanisë, ky është muri i zjarrit më produktiv i industrisë në faktorin e formës 2U.

Biblioteka e AppWiki e krijuar nga Check Point ju lejon të identifikoni më shumë se 5,000 aplikacione dhe 100,000 miniaplikacione. Këto nënshkrime përdoren nga Softueri i Kontrollit të Pikës së Kontrollit dhe Softuerit të Ndërgjegjësimit të Identitetit. Përveç kësaj, softueri integrohet me Active Directory për të identifikuar pajisjet e klientit dhe përdoruesit fundorë, dhe administratorët mund të rregullojnë mirë politikat e sigurisë. Trajnimi i punonjësve ndodh në kohë reale: kur njëri prej tyre shkel politikën e sigurisë, aplikacioni i klientit të agjentit Check Point UserCheck shfaq një dritare pop-up që shpjegon natyrën e shkeljes dhe kërkon konfirmimin e veprimit. Mundësia për t'i kaluar një kërkesë një administratori thjeshton procesin e personalizimit të politikave të sigurisë për të përmbushur nevojat e përdoruesit.

I krijuar për produktet kryesore të sigurisë së rrjetit Check Point, versioni i softuerit R74.40 përfshin mbi 100 veçori të reja, duke përfshirë Anti-Bot Software Blade dhe një version të përditësuar të Anti-Virus me teknologjinë Check Point ThreatCloud: kjo shërbim cloud Mbledh inteligjencën e kërcënimeve dhe siguron mbrojtje të portës së sigurisë në kohë reale. Zgjidhja e re e Check Point Virtual Systems për qendrat e të dhënave dhe retë private ju lejon të kombinoni deri në 250 sisteme virtuale në një pajisje të vetme.

Cisco vitin e kaluar lëshoi zgjidhjen e vet NGFW, një gjeneratë e re e Pajisjeve të Sigurisë Adaptive (ASA), në përgjigje të teknologjisë së zhvilluar nga Palo Alto Networks. ASA CX është një mur zjarri i vetëdijshëm për kontekstin, domethënë, ai njeh jo vetëm adresat IP, por aplikacionet, përdoruesit dhe pajisjet, që do të thotë se ju lejon të gjurmoni se si një punonjës përdor aplikacione të caktuara në pajisje të ndryshme dhe të zbatojë rregulloret përkatëse.

Duke funksionuar në bazë të të gjitha modeleve Cisco ASA 5500-X (nga 5512-X në 5585-X), Cisco ASA CX ofron rregulla të detyrueshme për një llogari përdoruesi në Active Directory, kontroll mbi më shumë se 1100 aplikacione (Facebook, LinkedIn, Skype, BitTorrent, iCloud, Dropbox, Google Drive, MS Windows Azure, Salesforce CRM, Oracle e-Business Suite, MS Lync, Tor, etj.), gjurmimi i kohës dhe drejtimi i kërkesës për akses dhe shumë detyra të tjera. ku Cisco ASA CX nuk është thjesht një platformë e pavarur me shumë gigabit, por është e integruar fort me zgjidhjet e tjera të sigurisë Cisco- Sistemi i parandalimit të ndërhyrjes Cisco IPS, sistemi i autorizimit dhe kontrollit të hyrjes në rrjet Cisco ISE, sistemi i mbrojtjes së trafikut në ueb Cisco siguria në ueb etj.

Siç thekson Aleksey Lukatsky, një mur i tillë zjarri gjithashtu merr parasysh "mjegullimin" e perimetrit të rrjetit. Për shembull, përmes integrimit me Cisco ISE dhe të gjitha infrastrukturës së rrjetit Cisco, mund të njohë që trafiku vjen nga iPad-i personal i një punonjësi dhe më pas, në varësi të politikës së sigurisë, do ta bllokojë atë në mënyrë dinamike ose do të lejojë akses vetëm në disa burime të brendshme. Nëse kjo qasje kryhet nga një pajisje celulare e korporatës, privilegjet e saj mund të zgjerohen.

Në të njëjtën kohë, ASA CX funksionon jo vetëm në parimin e mikut/armikut (personal/korporativ), por gjithashtu merr parasysh sistemin operativ të përdorur në pajisjen celulare, versionin e tij, disponueshmërinë e përditësimeve dhe arnimeve të tjera, si dhe funksionimi i antivirusit dhe rëndësia e bazave të tij të të dhënave, etj. Qasja do të sigurohet jo nga adresat IP të dërguesit dhe marrësit, por në varësi të një sërë parametrash, gjë që bën të mundur zbatimin e një politike fleksibël për lidhjen me burimet e mbrojtura, pavarësisht nëse përdoruesi është jashtë apo brenda dhe nëse ai përdor një lidhje me tel ose me valë, pajisje personale ose korporative.

Firewall i Dell SonicWALL përdor një bazë të dhënash nënshkrimesh gjithnjë në zgjerim për të identifikuar mbi 3500 aplikacione dhe funksionet e tyre. Teknologjia SonicWALL ReassemblyFree Deep Packet Inspection (RFDPI) skanon paketat e çdo protokolli dhe ndërfaqeje. Ekspertët e SonicWALL Research Team krijojnë nënshkrime të reja që shpërndahen automatikisht në muret e zjarrit ekzistues. Nëse është e nevojshme, klientët mund të shtojnë vetë nënshkrimet. Në dritaret e panelit të vizualizimit të SonicWALL dhe Monitorit në kohë reale, administratorët mund të shohin aplikacione specifike në rrjet, si dhe kush i përdor ato dhe si. Ky informacion është i dobishëm për përcaktimin e politikave dhe diagnostikimin.

Entensys ka zgjeruar gjithashtu funksionalitetin e produktit të tij. I lëshuar në nëntor 2012, versioni 6.0 i UserGate Proxy&Firewall prezantoi një server VPN të plotë, sistemin IPS. Ky produkt UTM ofrohet në formë softueri ose pajisjeje. Përveç funksioneve që lidhen drejtpërdrejt me sigurinë, zhvilluesit i kushtuan vëmendje të madhe filtrimit të përmbajtjes dhe kontrollit mbi aplikacionet e internetit. Në vitin 2012 janë përmirësuar funksionet e analizës morfologjike informacionin e transmetuar për filtrimin e trafikut në hyrje dhe në dalje, dhe është lëshuar një server i fuqishëm dhe funksional për filtrimin e përmbajtjes UserGate Web Filter 3.0, i cili mund të përdoret së bashku me çdo zgjidhje UTM të palës së tretë.

Fortinet, i cili zakonisht lidhet me UTM, vitin e kaluar prezantoi FortiGate3240C, i cili është më shumë një produkt NGFW. Pajisjet Fortinet FortiGate përdorin dekodera protokolli dhe deshifrimin e trafikut të rrjetit për të identifikuar aplikacionet. Zhvilluesit mbajnë një bazë të dhënash ku shtojnë nënshkrimet e aplikacioneve të reja dhe, me lëshimin e versioneve të reja, nënshkrimet e përditësuara të atyre ekzistuese. Falë këtij informacioni, produktet Fortinet bëjnë dallimin midis aplikacioneve dhe zbatojnë rregullat e tyre për secilën prej tyre. Kompania pretendon se produktet e saj kanë një nivel më të lartë të performancës dhe integrimit në krahasim me zgjidhjet konkurruese, pasi të gjitha teknologjitë zhvillohen prej saj. F5 Networks dhe Riverbed gjithashtu tërhoqën vëmendjen te funksionet NGFW: së bashku me McAfee (Intel) dhe ofruesit e tjerë të zgjidhjeve të sigurisë së informacionit, ata i ndërtojnë ato në pajisje dhe softuer për të optimizuar trafikun global të rrjetit.

Juniper Networks zbaton funksionalitetin NGFW të SRX Services Gateways në grupin e aplikacioneve AppSecure. AppTrack përdor gjithashtu bazën e të dhënave të nënshkrimeve të aplikacionit të krijuar nga Juniper, të shtuar me nënshkrime të krijuara nga administratorët e klientëve. AppTrack identifikon aplikacionet, ndërsa komponentët AppFirewall dhe AppQoS zbatojnë politikat dhe kontrollojnë trafikun e aplikacioneve. Sipas prodhuesit, kjo platformë është shumë e shkallëzueshme dhe funksionon me shpejtësi deri në 100 Gbps.

McAfee, pjesë e Intel, përdor teknologjinë AppPrism për të njohur aplikacionet në McAfee Firewall Enterprise, e cila identifikon mijëra aplikacione pavarësisht nga portet dhe protokollet. Së bashku me këtë, përdoren nënshkrimet e zhvilluara nga ekspertët e McAfee Global Threat Intelligence. Me AppPrism, administratorët mund të çaktivizojnë jo vetëm vetë aplikacionet, por edhe komponentët e tyre "të rrezikshëm".- për shembull, bllokoni funksionin e ndarjes së skedarëve në Skype duke lejuar mesazhet. Ashtu si Juniper, McAfee ia atribuon teknologjinë e vet dhe nënshkrimet e aplikacionit përfitimeve të zgjidhjes së tij.

Teknologjia App-ID e Palo Alto Networks përdor metoda të shumta për të identifikuar aplikacionet: deshifrim, zbulim, dekodim, nënshkrime, heuristikë dhe më shumë.. AT ID-të e aplikacioneve mund të përdoret çdo kombinim i tyre, i cili ju lejon të identifikoni të gjitha versionet e aplikacionit, si dhe OS në të cilin funksionon. Në përputhje me ID-në e aplikacionit të aplikacionit, muri i zjarrit Palo Alto zbaton këtë apo atë rregull në trafikun e tij, për shembull, transferimi i skedarëve mund të bllokohet. Përveç kësaj, App-ID mund të plotësohet me metoda të reja për identifikimin dhe identifikimin e aplikacioneve duke i futur ato në mekanizmat e klasifikimit.

Stonesoft nuk e përditësoi linjën e saj të mureve të zjarrit në 2012, por njoftoi një zgjidhje të re të Sistemit të Parandalimit të Evazionit (EPS). Ky mjet është krijuar për të zbuluar dhe parandaluar sulmet kibernetike duke përdorur teknika të anashkalimit dinamik.(Advanced Evasion Technique, AET - teknikat e përdorura në lidhje me sulmet në rrjet për të anashkaluar sistemet e sigurisë) dhe dobësitë e sigurisë janë shfrytëzuar. Sipas Dmitry Ushakov, produkti ofron një shtresë shtesë sigurie për pajisjet NGFW, IPS dhe UTM të instaluara tashmë në organizata që janë të cenueshme ndaj AET. Kjo është një klasë e re pajisjesh e krijuar për të luftuar përpjekjet e sofistikuara të ndërhyrësve për të depërtuar në rrjetin e një organizate.

“Sot, punëdhënësit e kuptojnë se punonjësit e tyre ndonjëherë kanë nevojë për akses në faqet e ndaluara (faqet e rekrutimit, rrjetet sociale, etj.) dhe sistemet e mesazheve (Skype, ICQ). Në këtë drejtim, aplikacionet nga listat "e bardha" (të mundshme) dhe "të zeza" (nuk lejohen) zhvendosen në zonën "gri" (e mundur në kushte të caktuara ose në kohë të caktuar). Këto politika të sigurisë së informacionit propozohen të formulohen në formën e rregullave të aksesit”, thotë Dmitry Ushakov.

Sipas Alexander Kushnarev, konsulent teknik në Rainbow Security (shpërndarës i WatchGuard Technologies), WatchGuard prezantoi versionet e reja virtuale të produkteve të saj XTMv dhe XCSv, si dhe platformat harduerike të gjeneratës së ardhshme "me performancën më të mirë UTM në treg". Pajisjet WatchGuard XTM përdorin shërbimin e mbrojtjes së aktivizuar me reputacionin WatchGuard për të mbrojtur përdoruesit nga faqet e internetit me qëllim të keq, ndërkohë që reduktojnë ndjeshëm ngarkesën e rrjetit. Ky shërbim ofron një shkallë të lartë mbrojtjeje kundër kërcënimeve në ueb, shfletim më të shpejtë në ueb, menaxhim fleksibël dhe aftësi të gjera raportimi.

“Ne shohim kërkesën për pajisjet UTM në rritje. Gjenerata e fundit e platformave harduerike WatchGuard mund të përpunojë trafikun me shërbimet UTM të aktivizuara me të njëjtin ritëm që gjeneratat e mëparshme mund të kryenin vetëm filtrim të thjeshtë të paketave. Për t'i kthyer muret e zjarrit të WatchGuard në një pajisje UTM, thjesht aktivizoni licencën. Nëse klienti ka nevojë vetëm për filtrimin e paketave dhe organizimin e tuneleve VPN, një mur zjarri në kuptimin klasik do t'i përshtatet atij, "thotë Alexander Kushnarev.

Ai thekson se veçoritë e kontrollit të aplikacioneve në NGFW tani janë në kërkesë të madhe: kompanitë duan të rregullojnë aksesin e punonjësve në rrjetet sociale dhe faqet e lojërave. Ndër mjetet aktuale të UTM janë filtrimi i URL-ve me mbështetje për një bazë të dhënash të faqeve në gjuhën ruse, si dhe mbështetje të plotë për grumbullimin dhe reputacionin e porteve burimet e jashtme. Kjo e fundit kontribuon në zbulimin me cilësi të lartë dhe bllokimin parandalues të trafikut nga botnet-et. Përveç kësaj, shumica e klientëve janë të interesuar për kursimet e kostos, opsionet e thjeshta dhe të përshtatshme të konfigurimit, kështu që zgjidhjet të gjitha-në-një si WatchGuard XTM do të jenë një opsion i përshtatshëm për ta.

Edhe dy ose tre vjet më parë, klientët ishin skeptikë për NGFW, por tani që konkurrenca në këtë treg është mjaft e lartë, ata mund të zgjedhin nga një gamë e gjerë produktesh me cilësi të lartë NGFW. Sipas analistëve të Cyber Security, deri në vitin 2018, tregu global për muret e zjarrit të klasës së ndërmarrjeve do të rritet me më shumë se 11% në vit. Sidoqoftë, muret e zjarrit nuk janë një ilaç. Kur zgjidhni një zgjidhje, duhet të përcaktoni qartë se cilat funksione nevojiten, sigurohuni që ato të deklaruara nga shitësi vetitë mbrojtëse mund të zbatohet në një mjedis pune specifik që kompania (ose transferuesi) të ketë burime të mjaftueshme për të menaxhuar politikat e sigurisë.

Dhe sigurisht, mbani në mend se NGFW-të mbeten pajisje të sigurisë rrethuese. Ata e kryejnë funksionin e tyre në mënyrë perfekte kur hyjnë në internet, por "siguria celulare" kërkon më shumë. Sot, NGFW-të duhet të përmirësohen nga zgjidhjet e sigurisë së resë kompjuterike dhe celulare dhe "të jenë në gjendje" të njohin kontekstin. Me kalimin e kohës, këto zgjidhje do të bëhen më të aksesueshme, më të thjeshta, më funksionale dhe modeli i resë do të bëjë rregullime në mënyrën e menaxhimit të tyre.

Sergei Orlov- Redaktor kryesor i Journal of Network Solutions / LAN. Ai mund të kontaktohet në:

1590 rubla.

TP-Link TP-LINK TD-W8961N(EN)

. Me mbështetje ADSL2+. Me mbështetje Telnet. Numri i portave të switch - 4. Me rrugë statike. Me ruter të integruar. Me funksionin SPI. Ekzekutimi - i jashtëm. Me mbështetjen e NAT. Me mbështetje dinamike DNS. Lloji i modemit - ADSL. Me mbështetje SNMP. Me një server DHCP. Me çelës të integruar. Ndërfaqja - Ethernet. Me ndërfaqe në internet. Me një zonë të demilitarizuar (DMZ). Dimensionet 130x195x35 mm.

blej në dyqan online TopComputer.RU

marrja e mundshme

rishikim videonjë foto

1390 fshij.

7% 1490 RUB

Modem TP-LINK xDSL TD-W8901N

Mbështetje VPN (VPN kalon). Ruter i integruar. Ndërprerës i integruar. Mbështetje dinamike DNS. Ndërfaqja në ueb. Mbështetje Telnet. Me 4 porte switch. SPI. Firewall. Serveri DHCP. NAT. Ekzekutimi - i jashtëm. Zona e Çmilitarizuar (DMZ). Ndërfaqja - Ethernet. Lloji i modemit - ADSL. Mbështetje SNMP. Mbështetje ADSL2+. Me thellësi: 128 mm. Me gjerësi: 35 mm. Me lartësi: 182 mm.

blej në dyqan online xcomshop

marrja e mundshme

rishikim videonjë foto

790 fshij.

Ruteri modem UPVEL UR-104AN ADSL2+ me 4 porte Ethernet 10/100 Mbps me mbështetje IP-TV

Me rrugëzim statik. Me një zonë të demilitarizuar (DMZ). Me mbështetjen e NAT. Me një server DHCP. Me mbështetje për tunelet VPN (VPN Endpoint). Me mbështetje ADSL2+. Me funksionin SPI. Me firewall (firewall). Numri i portave të switch - 4. Ndërfaqja - Ethernet. Ekzekutimi - i jashtëm. Numri i tuneleve të mbështetura VPN është 100. Me një ruter të integruar. Me mbështetje SNMP. Me mbështetje dinamike DNS. Me ndërfaqe në internet. Me çelës të integruar. Lloji i modemit - ADSL. Pesha: 180 g.Dimensionet 110x160x35 mm.

blej në dyqan online oldi.ru

rishikim videonjë foto

2 261 fshij.

Modem D-link DSL-2640U

Mbështetje SNMP. Mbështetje ADSL2+. SPI. Ekzekutimi - i jashtëm. Firewall. Zona e Çmilitarizuar (DMZ). Lloji i modemit - ADSL. Mbështetje për tunelet VPN (VPN Endpoint). Mbështetje VPN (VPN kalon). Ndërfaqja - Ethernet. Serveri DHCP. NAT. Ndërfaqja në ueb. rrugëzim statik. Ndërprerës i integruar. Mbështetje dinamike DNS. Ruter i integruar. Me 4 porte switch Me peshe: 327g.

në dyqan online price-com.ru

rishikim videonjë foto

1890 rubla.

TP-Link TP-LINK TD-W8968

Lloji i modemit - ADSL. Me ndërfaqe në internet. Me një server DHCP. Me mbështetje dinamike DNS. Me mbështetje Telnet. Me një zonë të demilitarizuar (DMZ). Me ruter të integruar. Me funksionin SPI. Me firewall (firewall). Me mbështetjen e NAT. Me rrugëzim statik. Ndërfaqja - Ethernet. Ekzekutimi - i jashtëm. Me mbështetje SNMP. Sasia e portave të switch-it - 4. Me mbështetjen e ADSL2+. Me mbështetje VPN (VPN kalon). Me çelës të integruar. Me thellësi: 130 mm. Me gjerësi: 195 mm. Me lartësi: 36 mm.

në dyqan online TopComputer.RU

marrja e mundshme

rishikim videonjë foto

1590 rubla.

Modemi TP-LINK xDSL TD-W8961N

Zona e Çmilitarizuar (DMZ). Ndërprerës i integruar. SPI. NAT. Ekzekutimi - i jashtëm. Mbështetje ADSL2+. Mbështetje Telnet. Ndërfaqja - Ethernet. Firewall. Mbështetje SNMP. Mbështetje dinamike DNS. Serveri DHCP. Ndërfaqja në ueb. Me 4 porte switch.Lloji i modemit - ADSL. rrugëzim statik. Ruter i integruar. Thellësia: 130 mm. Gjerësia: 195 mm. Lartësia: 35 mm.

në dyqan online xcomshop

marrja e mundshme

rishikim videonjë foto

2075 fshij.

Modem ADSL Upvel UR-203AWP

Ekzekutimi - i jashtëm. Me mbështetje ADSL2+. Me mbështetje SNMP. Ndërfaqja - Ethernet. Lloji i modemit - ADSL. Me ndërfaqe në internet. Me rrugëzim statik. Me funksionin SPI. Me firewall (firewall). Me mbështetje Telnet. Me ruter të integruar. Numri i portave të kalimit - 3. Me një zonë të çmilitarizuar (DMZ). Me mbështetjen e NAT. Me një server DHCP. Me mbështetje VPN (VPN kalon). Me çelës të integruar. Me mbështetje dinamike DNS. Me gjerësi: 175 mm. Me thellësi: 115 mm. Me lartësi: 30 mm. Me peshë: 280 g.

në dyqan online TopComputer.RU

marrja e mundshme

një foto

1790 fshij.

Modem TP-LINK xDSL TD-W8960N

Zona e Çmilitarizuar (DMZ). Serveri DHCP. Mbështetje VPN (VPN kalon). Mbështetje dinamike DNS. Ndërprerës i integruar. Mbështetje SNMP. SPI. Firewall. NAT. Ndërfaqja - Ethernet. porta e konsolës. Ndërfaqja në ueb. Lloji i modemit - ADSL. Me 10 tunele VPN të mbështetur. Ekzekutimi - i jashtëm. Mbështetje për tunelet VPN (VPN Endpoint). Mbështetje ADSL2+. rrugëzim statik. Ruter i integruar. Me 4 porte ndërprerëse Thellësia: 140mm. Me lartësi: 28 mm. Me gjerësi: 200 mm.

Duke folur për komponentin e softuerit dhe harduerit të sistemit të sigurisë së informacionit, duhet pranuar se mënyra më efektive për të mbrojtur objektet e rrjetit lokal (segmenti i rrjetit) nga ndikimet nga rrjetet e hapura (për shembull, Interneti) përfshin vendosjen e një elementi që kontrollon dhe filtron paketat e rrjetit që kalojnë nëpër të sipas rregullave të dhëna. Një element i tillë quhet firewall (firewall) ose muri i zjarrit, muri i zjarrit.

muri i zjarrit, muri i zjarrit, muri i zjarrit, muri i zjarrit- formuar nga transliterimi i termit anglez firewall.

Firewall (gjermanisht: Brandmauer)- një term i huazuar nga gjermanishtja, i cili është një analog i "firewall" anglez në kuptimin e tij origjinal (një mur që ndan ndërtesat ngjitur, duke parandaluar përhapjen e zjarrit).

Rrjeti/Firewall (ITU)- një kompleks harduerësh ose softuerësh që kontrollon dhe filtron paketat e rrjetit që kalojnë përmes tij sipas protokolleve të ndryshme në përputhje me rregullat e specifikuara.

Detyra kryesore e një muri zjarri është të mbrojë rrjetet kompjuterike dhe/ose nyjet individuale nga aksesi i paautorizuar. Ndonjëherë thirren muret e zjarrit filtra, meqenëse detyra e tyre kryesore është të mos kalojnë (filtrojnë) paketa që nuk i përshtaten kritereve të përcaktuara në konfigurim.

Për të siguruar në mënyrë efektive rrjetin, muri i zjarrit monitoron dhe menaxhon të gjithë trafikun që kalon nëpër të. Për të marrë vendime kontrolli për shërbimet TCP/IP (d.m.th., përpjekjet e lidhjes përpara, bllokimi ose regjistrimi), muri i zjarrit duhet të marrë, të mbajë mend, të zgjedhë dhe të përpunojë informacionin e marrë nga të gjitha shtresat e komunikimit dhe nga aplikacionet e tjera.

Firewall kalon të gjithë trafikun përmes vetes, duke marrë një vendim në lidhje me çdo paketë që kalon: ta lini atë të kalojë apo jo. Në mënyrë që firewall-i të kryejë këtë operacion, duhet të përcaktojë një sërë rregullash filtrimi. Vendimi nëse do të filtrohen paketat e të dhënave të lidhura me protokollet dhe adresat specifike duke përdorur një mur zjarri varet nga politika e sigurisë e miratuar në rrjetin e mbrojtur. Në thelb, një mur zjarri është një grup komponentësh që janë konfiguruar për të zbatuar një të zgjedhur politikat e sigurisë. Politika e sigurisë së rrjetit të çdo organizate duhet të përfshijë (ndër të tjera) dy komponentë: një politikë të aksesit të shërbimit në rrjet dhe një politikë të zbatimit të murit të zjarrit.

Megjithatë, nuk mjafton thjesht të kontrolloni paketat individualisht. Informacioni i gjendjes së lidhjes i marrë nga inspektimet e mëparshme të lidhjes dhe aplikacionet e tjera është një faktor kryesor në vendimin e kontrollit kur përpiqeni të krijoni një lidhje të re. Si gjendja e lidhjes (e marrë nga rrjedha e kaluar e të dhënave) dhe gjendja e aplikimit (e marrë nga aplikacione të tjera) mund të merren parasysh për të marrë një vendim.

Kështu, vendimet e menaxhimit kërkojnë që muri i zjarrit të ketë akses, aftësinë për të analizuar dhe përdorur faktorët e mëposhtëm:

informacioni i lidhjes - informacion nga të shtatë shtresat (modelet OSI) në paketë;
historia e lidhjes - informacioni i marrë nga lidhjet e mëparshme;
gjendja e nivelit të aplikacionit - informacioni i gjendjes së lidhjes i marrë nga aplikacione të tjera;
manipulimi i informacionit - llogaritja e shprehjeve të ndryshme bazuar në të gjithë faktorët e mësipërm.

Llojet e mureve të zjarrit

Ekzistojnë disa lloje të mureve të zjarrit në varësi të karakteristikave të mëposhtme:

nëse mburoja siguron një lidhje midis një nyje dhe rrjetit, ose midis dy ose më shumë rrjeteve të ndryshme;
nëse kontrolli i rrjedhës ndodh në shtresën e rrjetit ose në shtresat më të larta të modelit OSI;
nëse gjurmohen apo jo gjendjet e lidhjeve aktive.

Në varësi të mbulimit të flukseve të kontrolluara të të dhënave, muret e zjarrit ndahen në:

ekrani tradicional i rrjetit (ose muri i zjarrit).– një program (ose një pjesë integrale e sistemit operativ) në një portë (një pajisje që transmeton trafikun ndërmjet rrjeteve) ose një zgjidhje harduerike që kontrollon rrjedhat e të dhënave hyrëse dhe dalëse ndërmjet rrjeteve të lidhura (objektet e rrjetit të shpërndarë);
firewall personal- një program i instaluar në kompjuterin e përdoruesit dhe i krijuar për të mbrojtur vetëm këtë kompjuter nga aksesi i paautorizuar.

Në varësi të nivelit OSI në të cilin ndodh kontrolli i aksesit, muret e zjarrit mund të punojnë në:

shtresa e rrjetit kur filtrimi ndodh bazuar në adresat e dërguesit dhe marrësit të paketave, numrat e portit të shtresës së transportit të modelit OSI dhe rregullat statike të vendosura nga administratori;
niveli i seancës(i njohur edhe si shtetërore), kur seancat ndërmjet aplikacioneve gjurmohen dhe nuk kalohen pako që shkelin specifikimet TCP/IP, të përdorura shpesh në operacione me qëllim të keq - skanim i burimeve, hakime përmes zbatimeve të pasakta TCP/IP, shkëputje/ngadalësim i lidhjeve, injektim i të dhënave;
shtresa e aplikimit(ose shtresa e aplikimit), kur filtrimi bazohet në analizën e të dhënave të aplikacionit të transmetuara brenda paketës. Këto lloj ekranesh ju lejojnë të bllokoni transmetimin e informacionit të padëshiruar dhe potencialisht të dëmshëm bazuar në politikat dhe cilësimet.

Filtrimi i shtresës së rrjetit

Filtrimi i paketave hyrëse dhe dalëse kryhet në bazë të informacionit që përmbahet në fushat e mëposhtme të titujve të paketave TCP dhe IP: adresa IP e dërguesit; adresa IP e marrësit; porti i dërguesit; porti marrës.

Filtrimi mund të zbatohet në mënyra të ndryshme për të bllokuar lidhjet nga kompjuterë të caktuar ose portet. Për shembull, mund të bllokoni lidhjet nga adresa specifike ata kompjuterë dhe rrjete që konsiderohen jo të besueshme.

kosto relativisht e ulët;
fleksibilitet në përcaktimin e rregullave të filtrimit;
një vonesë e vogël në kalimin e paketave.

Disavantazhet:

nuk mbledh pako të fragmentuara;
nuk ka asnjë mënyrë për të gjurmuar marrëdhëniet (lidhjet) midis paketave.?

Filtrimi i nivelit të sesionit

Në varësi të gjurmimit të lidhjeve aktive, muret e zjarrit mund të jenë:

pa shtetësi(filtrim i thjeshtë), të cilat nuk gjurmojnë lidhjet aktuale (për shembull, TCP), por filtrojnë rrjedhën e të dhënave vetëm bazuar në rregulla statike;
inspektim i gjendjes, statusore paketash (SPI)(filtrim në bazë të kontekstit), me gjurmim të lidhjeve aktuale dhe kapërcim vetëm të atyre paketave që plotësojnë logjikën dhe algoritmet e protokolleve dhe aplikacioneve përkatëse.

Firewall-et me SPI ju lejojnë të merreni në mënyrë më efektive me lloje të ndryshme të sulmeve DoS dhe dobësive në disa protokolle rrjeti. Përveç kësaj, ato ofrojnë funksionimin e protokolleve si H.323, SIP, FTP, etj., të cilat përdorin skema komplekse për transferimin e të dhënave ndërmjet marrësve, të cilat janë të vështira për t'u përshkruar me rregulla statike dhe shpesh janë të papajtueshme me muret e zjarrit standard, pa shtetësi.

Përfitimet e këtij filtrimi përfshijnë:

analiza e përmbajtjes së paketave;
nuk kërkohet asnjë informacion në lidhje me funksionimin e protokolleve të shtresës 7.

Disavantazhet:

është e vështirë të analizohen të dhënat e nivelit të aplikacionit (ndoshta duke përdorur ALG - Application level gateway).

Porta e nivelit të aplikacionit, ALG (porta e nivelit të aplikacionit)- një komponent i një ruteri NAT që kupton disa protokoll aplikacioni dhe kur paketat e këtij protokolli kalojnë përmes tij, ai i modifikon ato në atë mënyrë që përdoruesit pas NAT të mund të përdorin protokollin.

Shërbimi ALG ofron mbështetje për protokollet e shtresave të aplikacionit (si SIP, H.323, FTP, etj.) për të cilat Përkthimi i Adresave të Rrjetit nuk lejohet. Ky shërbim përcakton llojin e aplikacionit në paketat që vijnë nga ndërfaqja e rrjetit të brendshëm dhe kryen përkthimin e duhur të adresës/portit për to nëpërmjet ndërfaqes së jashtme.

Teknologjia SPI(Stateful Packet Inspection) ose teknologjia e inspektimit të paketave shtetërore është sot një metodë e avancuar e kontrollit të trafikut. Kjo teknologji ju lejon të kontrolloni të dhënat deri në nivelin e aplikacionit, pa kërkuar aplikim i veçantë një ndërmjetës ose përfaqësues për çdo protokoll të mbrojtur ose shërbim rrjeti.

Firewall-et kanë evoluar historikisht nga filtrat e paketave Qëllimi i përgjithshëm, më pas filluan të shfaqen programe ndërmjetëse për protokollet individuale dhe, më në fund, u zhvillua teknologjia e inspektimit shtetëror. Teknologjitë e mëparshme vetëm plotësonin njëra-tjetrën, por nuk siguronin kontroll të plotë mbi lidhjet. Filtrat e paketave nuk kanë akses në lidhjen dhe informacionin e gjendjes së aplikacionit të nevojshëm për të marrë vendimin përfundimtar të sigurisë. Brokerët përpunojnë vetëm të dhëna të nivelit të aplikacionit, gjë që shpesh krijon mundësi të ndryshme për hakerimin e sistemit. Arkitektura e inspektimit të gjendjes është unike sepse ju lejon të manipuloni të gjithë informacionin që kalon përmes makinës së portës: të dhënat nga paketa, të dhënat e gjendjes së lidhjes, të dhënat e nevojshme nga aplikacioni.

Një shembull se si funksionon mekanizmi i Inspektimit Shtetëror. Firewall monitoron sesionin FTP duke kontrolluar të dhënat në nivelin e aplikacionit. Kur një klient kërkon që serveri të hapë një lidhje të kundërt (komandë FTP PORT), muri i zjarrit nxjerr numrin e portit nga kërkesa. Lista ruan adresat e klientit dhe serverit, numrat e portit. Kur zbulon një përpjekje për të krijuar një lidhje të të dhënave FTP, muri i zjarrit kalon nëpër listë dhe kontrollon nëse lidhja është në fakt në përgjigje të një kërkese të vlefshme të klientit. Lista e rrjetit mbahet në mënyrë dinamike në mënyrë që të hapen vetëm portat e nevojshme FTP. Me mbylljen e seancës, portet bllokohen duke ofruar një nivel të lartë sigurie.

Filtrimi i shtresës së aplikimit

Për të mbrojtur një sërë dobësish të qenësishme në filtrimin e paketave, muret e zjarrit duhet të përdorin aplikacione për të filtruar lidhjet me shërbime të tilla si Telnet, HTTP, FTP. Aplikim i ngjashëm thirrur shërbim proxy, dhe hosti që drejton shërbimin proxy është porta e shtresës së aplikacionit. Një portë e tillë eliminon komunikimin e drejtpërdrejtë midis një klienti të autorizuar dhe një hosti të jashtëm. Porta filtron të gjitha paketat hyrëse dhe dalëse në shtresën e aplikacionit (shtresa e aplikacionit - shtresa e sipërme e modelit të rrjetit) dhe mund të analizojë përmbajtjen e të dhënave, të tilla si një URL që gjendet në një mesazh HTTP ose një komandë që përmbahet në një mesazh FTP . Ndonjëherë është më efikase të filtrohen paketat bazuar në informacionin që përmban vetë të dhënat. Filtrat e paketave dhe filtrat e shtresave të lidhjes nuk përdorin përmbajtjen e rrjedhës së informacionit kur marrin vendime për filtrim, por kjo mund të bëhet duke përdorur filtrimin e shtresës së aplikacionit. Filtrat e nivelit të aplikacionit mund të përdorin informacion nga kreu i paketës, si dhe përmbajtjen e të dhënave dhe informacionin e përdoruesit. Administratorët mund të përdorin filtrimin e nivelit të aplikacionit për të kontrolluar aksesin bazuar në identitetin e përdoruesit dhe/ose detyrë specifike që përdoruesi po përpiqet të zbatojë. Në filtrat e nivelit të aplikacionit, mund të vendosni rregulla bazuar në komandat e lëshuara nga aplikacioni. Për shembull, një administrator mund të parandalojë një përdorues specifik që të shkarkojë skedarë në një kompjuter specifik duke përdorur FTP, ose të lejojë një përdorues të ngarkojë skedarë përmes FTP në të njëjtin kompjuter.

Krahasimi i mureve të zjarrit të harduerit dhe softuerit

Për të krahasuar muret e zjarrit, ne i ndajmë ato në dy lloje: 1 - harduer dhe softuer dhe harduer, dhe i dyti - softuer.

Muret e zjarrit të harduerit dhe firmuerit përfshijnë pajisje të instaluara në skajin e rrjetit. Firewall-et e softuerit janë ato të instaluara në hostet fundorë.

Drejtimet kryesore të natyrshme si në llojin e parë ashtu edhe në atë të dytë:

garantimi i sigurisë së trafikut në hyrje dhe në dalje;
një rritje të konsiderueshme në sigurinë e rrjetit dhe zvogëlimin e rrezikut për hostet e nënrrjetit kur filtroni shërbimet e njohura të pasigurta;
aftësia për të kontrolluar aksesin në sistemet e rrjetit;
njoftimi i ngjarjeve duke përdorur alarmet e duhura që aktivizohen kur ndodh ndonjë aktivitet i dyshimtë (përpjekje hetimore ose sulme);
duke ofruar një zgjidhje sigurie me kosto të ulët, të lehtë për t'u zbatuar dhe menaxhuar.

Muret e zjarrit të harduerit dhe firmuerit mbështesin gjithashtu funksionalitetin që ju lejon të:

të parandalojë marrjen e informacionit nga nënrrjeti i mbrojtur ose injektimin në nënrrjetin e mbrojtur duke përdorur ndonjë shërbim të cenueshëm;
regjistroni përpjekjet për akses dhe siguroni statistikat e nevojshme për përdorimin e internetit;
të sigurojë mjete për rregullimin e rendit të hyrjes në rrjet;
ofrojnë kontroll të centralizuar të trafikut.

Firewallet e softuerit, përveç fushave kryesore, lejojnë:

kontrolloni nisjen e aplikacioneve në hostin ku janë instaluar;
mbrojeni objektin nga depërtimi përmes "kapave" (dyert e pasme);
ofrojnë mbrojtje kundër kërcënimeve të brendshme.

Muri i zjarrit nuk është një pajisje simetrike. Ai bën dallimin midis koncepteve: "jashtë" dhe "brenda". Muri i zjarrit siguron mbrojtjen e zonës së brendshme nga të pakontrolluarat dhe potencialisht armiqësore mjedisi i jashtëm. Në të njëjtën kohë, muri i zjarrit ju lejon të kufizoni aksesin në objekte rrjet publik nga subjektet e një rrjeti të sigurt. Në rast të shkeljes së autoritetit, bllokohet puna e subjektit të aksesit dhe të gjitha informacionin e nevojshëmështë regjistruar.

Firewall-et mund të përdoren gjithashtu brenda rrjeteve të sigurta të korporatave. Nëse rrjeti lokal ka nënrrjeta me shkallë të ndryshme të konfidencialitetit të informacionit, atëherë këshillohet që të ndani fragmente të tilla me mure zjarri. Në këtë rast, ekranet quhen të brendshëm.

Me një larmi të madhe mjetesh softuerësh profesionalë për t'u mbrojtur kundër llojeve të ndryshme të sulmeve në rrjetin lokal nga jashtë (d.m.th., nga Interneti), të gjithë ata kanë një pengesë serioze - kosto e larte. Dhe nëse po flasim për rrjete të vogla të klasës SOHO, atëherë blerja e paketave solide është një luks i papërballueshëm. Në të njëjtën kohë, vlen të përmendet se për rrjetet e vogla, aftësitë e paketave të tilla mund të jenë edhe të tepërta. Prandaj, zgjidhjet harduerike me kosto të ulët - muret e zjarrit - janë përdorur gjerësisht për të mbrojtur rrjetet e vogla të klasës SOHO. Nga dizajni i tyre, muret e zjarrit ose mund të zbatohen si një zgjidhje e veçantë ose të jenë pjesë integrale e ruterave të klasës SOHO, në veçanti ruterat pa tela, i cili ju lejon të kombinoni segmentet me tela dhe pa tel të rrjetit lokal bazuar në to.
Në këtë artikull, ne do të shikojmë tiparet kryesore të mureve të zjarrit modern të harduerit që janë ndërtuar në ruterat e klasës SOHO dhe përdoren për të mbrojtur rrjetet e vogla lokale.

Firewall-et si pjesë përbërëse e ruterave

Meqenëse ruterat janë pajisje rrjeti të instaluara në kufirin midis rrjeteve të brendshme dhe të jashtme dhe veprojnë si një portë rrjeti, ata duhet të kenë të paktën dy porte sipas dizajnit. Një LAN është i lidhur me një nga këto porte dhe kjo portë bëhet një portë e brendshme LAN. Një rrjet i jashtëm (Internet) është i lidhur me portin e dytë, duke e kthyer atë në një port të jashtëm WAN. Si rregull, ruterët e klasës SOHO kanë një portë WAN dhe disa (nga një në katër) porte LAN, të cilat kombinohen në një ndërprerës. Në shumicën e rasteve, porta WAN e ndërprerësit ka një ndërfaqe 10/100Base-TX dhe me të mund të lidhet ose një modem xDSL me ndërfaqen e duhur ose një kabllo rrjeti Ethernet.

Përveç kësaj, i përhapur rrjetet pa telaçoi në shfaqjen e një klase të tërë të të ashtuquajturve ruterë pa tel. Këto pajisje, përveç ruterit klasik me porte WAN dhe LAN, përmbajnë një pikë aksesi të integruar me valë që mbështet protokollin IEEE 802.11a/b/g. Segmenti me valë rrjeti, i cili ju lejon të organizoni një pikë aksesi, nga pozicioni i ruterit i referohet rrjetit të brendshëm, dhe në këtë kuptim, kompjuterët e lidhur me ruterin me valë nuk ndryshojnë nga ata të lidhur në portën LAN.

Çdo ruter, si një pajisje e shtresës së rrjetit, ka adresën e vet IP. Përveç ruterit, porti WAN ka gjithashtu adresën e vet IP.

Kompjuterët e lidhur me portat LAN të ruterit duhet të kenë një adresë IP në të njëjtin nënrrjet si vetë ruteri. Përveç kësaj, në cilësimet e rrjetit të këtyre PC-ve, duhet të vendosni adresën e paracaktuar të portës që të përputhet me adresën IP të ruterit. Së fundi, pajisja që lidhet me portën WAN nga rrjeti i jashtëm duhet të ketë një adresë IP nga e njëjta nënrrjet si porta WAN e ruterit.

Meqenëse ruteri vepron si një portë midis rrjetit lokal dhe internetit, është logjike të pritet prej tij një funksion të tillë si mbrojtja e rrjetit të brendshëm nga aksesi i paautorizuar. Prandaj, pothuajse të gjithë ruterët modernë të klasës SOHO kanë mure mbrojtëse të integruara, të cilat quhen gjithashtu mure zjarri.

Karakteristikat e Firewall-it

Detyra kryesore e çdo muri zjarri në fund të fundit zbret në sigurimin e rrjetit të brendshëm. Për të zgjidhur këtë problem, muret e zjarrit duhet të jenë në gjendje të maskojnë rrjetin e mbrojtur, të bllokojnë të gjitha llojet e njohura sulmet e hakerëve, bllokoni rrjedhjen e informacionit nga rrjeti i brendshëm, kontrolloni aplikacionet që hyjnë në rrjetin e jashtëm.

Për të zbatuar këto funksione, muret e zjarrit analizojnë të gjithë trafikun ndërmjet rrjeteve të jashtme dhe të brendshme për pajtueshmërinë e tij me disa kritere ose rregulla të përcaktuara që përcaktojnë kushtet për kalimin e trafikut nga një rrjet në tjetrin. Nëse trafiku i plotëson kriteret e specifikuara, atëherë muri i zjarrit e kalon atë në vetvete. Përndryshe, dmth nëse kriteret e specifikuara nuk plotësohen, trafiku bllokohet nga firewall-i. Muret e zjarrit filtrojnë trafikun në hyrje dhe në dalje dhe ju lejojnë të kontrolloni aksesin në burime ose aplikacione të caktuara të rrjetit. Ata mund të regjistrojnë të gjitha përpjekjet e aksesit të paautorizuar në burimet e rrjetit lokal dhe të lëshojnë paralajmërime për përpjekjet për depërtim.

Për nga qëllimi i tyre, muret e zjarrit ngjajnë më së shumti me një pikë kontrolli (pikë kontrolli) të një objekti të ruajtur, ku kontrollohen dokumentet për të gjithë që hyjnë në territorin e objektit dhe për të gjithë ata që e lënë atë. Nëse kalimi është në rregull, qasja në territor lejohet. Firewall-et funksionojnë saktësisht në të njëjtën mënyrë, vetëm paketat e rrjetit veprojnë si njerëz që kalojnë nëpër pikën e kontrollit, dhe kalimi është korrespondenca e titujve të këtyre paketave me një grup rregullash të paracaktuara.

A janë me të vërtetë muret e zjarrit kaq të besueshëm?

A është e sigurt të thuhet se një mur zjarri ofron 100% siguri për rrjetin e një përdoruesi ose PC personal? Sigurisht qe jo. Nëse vetëm sepse asnjë sistem në përgjithësi nuk jep një garanci 100% të sigurisë. Një mur zjarri duhet të trajtohet si një mjet që, nëse konfigurohet siç duhet, mund të komplikojë shumë detyrën e një sulmuesi për të depërtuar në kompjuterin personal të një përdoruesi. Theksojmë: vetëm për të komplikuar, por jo për të garantuar siguri absolute. Nga rruga, nëse nuk po flasim për mbrojtjen e rrjetit lokal, por për mbrojtjen e një kompjuteri të veçantë me qasje në internet, atëherë me sigurimin e tij sigurinë personale muri i zjarrit ICF (Internet Firewall i lidhjes) i ndërtuar në sallën e operacionit Sistemi Windows xp. Prandaj, në të ardhmen do të flasim vetëm për muret e zjarrit të pajisjeve të korporatave të krijuara për të mbrojtur rrjetet e vogla.

Nëse muri i zjarrit i instaluar në hyrje të rrjetit lokal është plotësisht i aktivizuar (si rregull, kjo korrespondon me cilësimet e paracaktuara), atëherë rrjeti që ai mbron është plotësisht i padepërtueshëm dhe i paarritshëm nga jashtë. Sidoqoftë, një padepërtueshmëri e tillë e plotë e rrjetit të brendshëm ka anën e saj negative. Fakti është se në këtë rast bëhet e pamundur përdorimi i shërbimeve të Internetit (për shembull, ICQ dhe programe të ngjashme) të instaluara në PC. Kështu, detyra e konfigurimit të murit të zjarrit është të krijojë dritare në murin fillimisht të zbrazët që muri i zjarrit përfaqëson për sulmuesin, duke lejuar programet e përdoruesve t'u përgjigjen kërkesave nga jashtë dhe në fund të zbatojnë ndërveprimin e kontrolluar të rrjetit të brendshëm me botën e jashtme. Sidoqoftë, sa më shumë dritare të tilla të shfaqen në një mur të tillë, aq më i prekshëm bëhet vetë rrjeti. Pra, edhe një herë theksojmë: asnjë mur zjarri nuk mund të garantojë sigurinë absolute të rrjetit lokal që mbron.

Klasifikimi i mureve të zjarrit

Aftësitë e mureve të zjarrit dhe sa inteligjente janë ato varen nga ajo shtresë e modelit të referencës OSI që ata operojnë. Sa më i lartë të jetë niveli OSI në të cilin është ndërtuar firewall-i, aq më i lartë është niveli i mbrojtjes që ai ofron.

Kujtoni atë Modeli OSI (sistem i hapur Interkoneksioni) përfshin shtatë nivele të arkitekturës së rrjetit. E para, më e ulëta, është shtresa fizike. Ai pasohet nga lidhja, rrjeti, transporti, sesioni, prezantimi dhe shtresat e aplikacionit ose aplikimit. Për të siguruar filtrimin e trafikut, muri i zjarrit duhet të funksionojë të paktën në shtresën e tretë të modelit OSI, domethënë në shtresën e rrjetit, ku paketat drejtohen bazuar në përkthimin e adresave MAC në adresat e rrjetit. Nga pikëpamja e protokollit TCP/IP, kjo shtresë korrespondon me shtresën IP (Internet Protocol). Duke marrë informacionin e shtresës së rrjetit, muret e zjarrit janë në gjendje të përcaktojnë adresën e burimit dhe destinacionit të një pakete dhe të kontrollojnë nëse trafiku lejohet të kalojë ndërmjet këtyre destinacioneve. Megjithatë, informacioni i shtresës së rrjetit nuk është i mjaftueshëm për të analizuar përmbajtjen e një pakete. Firewall-et që funksionojnë në shtresën e transportit të modelit OSI marrin disi më shumë informacion rreth paketave dhe, në këtë kuptim, mund të ofrojnë skema më inteligjente të mbrojtjes së rrjetit. Sa i përket mureve të zjarrit që funksionojnë në nivelin e aplikacionit, ata kanë akses në informacionin e plotë rreth paketave të rrjetit, që do të thotë se muret e tilla të zjarrit ofrojnë mbrojtjen më të besueshme të rrjetit.

Në varësi të nivelit të modelit OSI në të cilin funksionojnë muret e zjarrit, historikisht është zhvilluar klasifikimi i mëposhtëm i këtyre pajisjeve:

filtri i paketave (filtri i paketave);
portë në nivel sesioni (portë në nivel qark);
porta e nivelit të aplikacionit (porta e nivelit të aplikacionit);
Inspektimi shtetëror i paketave (SPI).

Vini re se këtë klasifikimështë vetëm me interes historik, pasi të gjitha muret e zjarrit modern klasifikohen si muret e zjarrit SPI më të avancuara (përsa i përket sigurisë së rrjetit).

Filtrat e paketave

Muret e zjarrit të tipit të filtrit të paketave janë më të thjeshtat (më pak inteligjentët). Këto mure zjarri funksionojnë në shtresën e rrjetit të modelit OSI ose në shtresën IP të stakut të protokollit TCP/IP. Firewall të tillë janë të detyrueshëm në çdo ruter, pasi çdo ruter funksionon të paktën në shtresën e tretë të modelit OSI.

Detyra e filtrave të paketave është të filtrojnë paketat bazuar në informacionin për adresën IP të burimit ose destinacionit, si dhe numrat e portave.

Në muret e zjarrit siç janë filtrat e paketave, secila paketë analizohet për të parë nëse plotëson kriteret e transmetimit ose bllokon transmetimin përpara se të transmetohet. Në varësi të paketës dhe kritereve të gjeneruara të transmetimit, muri i zjarrit ose mund ta transmetojë paketën, ta refuzojë atë ose t'i dërgojë një njoftim iniciatorit të transmetimit.

Filtrat e paketave janë të lehta për t'u zbatuar dhe kanë pak ose aspak efekt në shpejtësinë e rrugëtimit.

Portat e nivelit të sesionit

Portat e nivelit të sesionit janë mure zjarri që funksionojnë në nivelin e sesionit të modelit OSI ose në nivelin TCP (Protokolli i Kontrollit të Transportit) të grumbullit të protokollit TCP/IP. Këto mure zjarri monitorojnë procesin e krijimit të një lidhjeje TCP (organizimi i sesioneve të shkëmbimit të të dhënave ndërmjet makinerive fundore) dhe ju lejojnë të përcaktoni nëse një sesion i caktuar komunikimi është i ligjshëm. Të dhënat e transmetuara në një kompjuter të largët në rrjetin e jashtëm përmes një porte të nivelit të sesionit nuk përmbajnë informacion në lidhje me burimin e transmetimit, domethënë, gjithçka duket sikur të dhënat dërgohen nga vetë muri i zjarrit, dhe jo nga një kompjuter në pjesën e brendshme. rrjeti (i mbrojtur). Të gjitha muret e zjarrit të bazuara në protokollin NAT janë porta të shtresave të sesionit (protokolli NAT do të përshkruhet më poshtë).

Portat e nivelit të sesionit gjithashtu nuk kanë një ndikim të rëndësishëm në shpejtësinë e rrugëtimit. Në të njëjtën kohë, këto porta nuk janë në gjendje të filtrojnë paketa individuale.

Portat e Shtresave të Aplikimit

Portat e shtresës së aplikacionit, ose serverët proxy, funksionojnë në shtresën e aplikimit të modelit OSI. Shtresa e aplikacionit është përgjegjëse për aksesin e aplikacioneve në rrjet. Detyrat në këtë nivel përfshijnë transferimin e skedarëve, ndarjen mesazhet postare dhe menaxhimin e rrjetit. Duke marrë informacion rreth paketave në shtresën e aplikacionit, portat e shtresave të aplikacionit mund të zbatojnë bllokimin e aksesit në shërbime të caktuara. Për shembull, nëse porta e shtresës së aplikacionit është konfiguruar si një përfaqësues në ueb, atëherë çdo trafik që lidhet me protokollet Telnet, FTP, Gopher do të bllokohet. Për shkak se këto mure zjarri analizojnë paketat në shtresën e aplikacionit, ata janë në gjendje të filtrojnë komanda specifike si http:post, get etj. Ky funksion nuk është i disponueshëm për filtrat e paketave ose portat e nivelit të sesionit. Portat e shtresave të aplikacionit mund të përdoren gjithashtu për të regjistruar aktivitetin e përdoruesve individualë dhe për të vendosur sesione komunikimi. Këto mure zjarri ofrojnë një mënyrë më të fuqishme për të siguruar rrjete sesa portat e nivelit të sesionit dhe filtrat e paketave.

Firewallet SPI

Lloji i fundit i mureve të zjarrit - Inspektimi Stateful Packet (SPI) - kombinon avantazhet e të dy filtrave të paketave, portave të nivelit të sesionit dhe portave të nivelit të aplikacionit. Kjo është, në fakt, ne po flasim për mure zjarri me shumë nivele që funksionojnë njëkohësisht në nivelet e rrjetit, sesionit dhe aplikacionit.

Firewallet SPI kryejnë filtrimin e paketave në shtresën e rrjetit, përcaktojnë legjitimitetin e krijimit të një sesioni komunikimi bazuar në të dhënat e shtresës së sesionit dhe analizojnë përmbajtjen e paketave bazuar në të dhënat e shtresës së aplikacionit.

Këto mure zjarri ofrojnë mënyrën më të besueshme për të mbrojtur rrjetet dhe aktualisht janë standardi de facto.

Cilësimet e murit të zjarrit

Metodologjia dhe opsionet për konfigurimin e mureve të zjarrit varen nga model specifik. Fatkeqësisht, nuk ka rregulla uniforme për konfigurimin, e lëre më një ndërfaqe uniforme. Mund të flasim vetëm për disa rregulla të përgjithshme që duhen ndjekur. Në fakt, rregulli kryesor është mjaft i thjeshtë - është e nevojshme të ndalohet gjithçka që nuk kërkohet për funksionimin normal të rrjetit.

Më shpesh, opsionet për konfigurimin e mureve të zjarrit zbresin në aktivizimin e disa rregullave të paracaktuara dhe krijimin e rregullave statike në formën e një tabele.

Le të shqyrtojmë si shembull mundësitë për konfigurimin e një muri zjarri të përfshirë në ruterin Gigabyte GN-B49G. Ky ruter ka një numër rregullash të paracaktuara që ju lejojnë të zbatoni nivele të ndryshme të sigurisë së rrjetit të brendshëm. Këto rregulla përfshijnë sa vijon:

Qasja në konfigurimin dhe administrimin e ruterit nga ana WAN është e ndaluar. Aktivizimi i këtij funksioni ndalon aksesin në cilësimet e ruterit nga rrjeti i jashtëm;
Qasja nga Global-IP në Private-IP është e ndaluar brenda LAN. Ky funksion ju lejon të bllokoni aksesin brenda rrjetit lokal nga adresat IP globale (nëse ka) në adresat IP të rezervuara për përdorim privat;
Parandaloni ndarjen e skedarëve dhe printerit nga jashtë rrjetit të ruterit. Funksioni parandalon përdorimin e aksesit të përbashkët te printerët dhe skedarët në rrjetin e brendshëm nga jashtë;
Ekzistenca e ruterit nuk mund të zbulohet nga ana WAN. Ky funksion e bën ruterin të padukshëm nga rrjeti i jashtëm;
Parandalohen sulmet e mohimit të shërbimit (DoS). Kur aktivizohet ky funksion, zbatohet mbrojtja kundër sulmeve DoS (Mohimi i Shërbimit). Sulmet DoS janë një lloj sulmi në rrjet që përfshin kërkesa të shumta për një server që kërkojnë një shërbim të ofruar nga sistemi. Serveri shpenzon burimet e tij për krijimin e një lidhjeje dhe shërbimin e tij, dhe me një fluks të caktuar kërkesash, ai nuk mund t'i përballojë ato. Mbrojtja nga sulmet e këtij lloji bazohet në analizën e burimeve të trafikut që është i tepruar në krahasim me trafikun normal dhe në ndalimin e transmetimit të tij.

Siç e kemi vërejtur tashmë, shumë mure zjarri kanë rregulla të paracaktuara që në thelb janë të njëjta me ato të listuara më sipër, por mund të kenë emra të tjerë.

Një mënyrë tjetër për të konfiguruar një mur zjarri është krijimi i rregullave statike që ju lejojnë jo vetëm të mbroni rrjetin nga jashtë, por edhe të kufizoni aksesin në rrjetin e jashtëm për përdoruesit e rrjetit lokal. Mundësitë për krijimin e rregullave janë mjaft fleksibël dhe ju lejojnë të zbatoni pothuajse çdo situatë. Për të krijuar një rregull, ju specifikoni adresën IP të burimit (ose gamën e adresave), portat e burimit, adresat dhe portet IP të destinacionit, llojin e protokollit, drejtimin e transferimit të paketave (nga rrjeti i brendshëm në rrjetin e jashtëm ose anasjelltas) dhe veprimin të merret kur paketa të zbulohet me vetitë e specifikuara (heqeni ose kapërceni paketën). Për shembull, nëse doni të parandaloni përdoruesit e rrjetit të brendshëm (gama e adresave IP: 192.168.1.1-192.168.1.100) nga aksesi i serverit FTP (porti 21) i vendosur në adresën IP të jashtme 64.233.183.104, atëherë rregulli mund të të formulohet si më poshtë:

drejtimi i përcjelljes së paketave: LAN-në-WAN;
Adresat IP të burimit: 192.168.1.1-192.168.1.100;
porta burimore: 1-65535;
porti i destinacionit: 21;
protokolli: TCP;
veprim: rënie.

Konfigurimi statik i rregullit të murit të zjarrit për shembullin e mësipërm është paraqitur në Fig. një.

Protokolli NAT si pjesë integrale e murit të zjarrit

Të gjithë ruterat modernë me mure zjarri të integruar mbështesin NAT (Përkthimi i Adresave të Rrjetit).

Protokolli NAT nuk është pjesë e firewall-it, por në të njëjtën kohë ndihmon në rritjen e sigurisë së rrjetit. Detyra kryesore e protokollit NAT është të zgjidhë problemin e mungesës së adresave IP, e cila po bëhet gjithnjë e më e rëndësishme me rritjen e numrit të kompjuterëve.

Fakti është se në versionin aktual të protokollit IPv4, katër bajt janë ndarë për të përcaktuar adresën IP, gjë që bën të mundur formimin e mbi katër miliardë adresave të kompjuterëve të rrjetit. Sigurisht, në ato ditë kur Interneti ishte në fillimet e tij, ishte e vështirë të imagjinohej që një ditë ky numër i adresave IP mund të mos mjaftonte. Për të zgjidhur pjesërisht problemin e mungesës së adresave IP, një herë u propozua protokolli i përkthimit të adresave të rrjetit NAT.

Protokolli NAT përcaktohet nga RFC 1631, i cili përcakton se si bëhet përkthimi i adresave të rrjetit.

Në shumicën e rasteve, një pajisje NAT përkthen adresat IP të rezervuara për përdorim privat në rrjetet lokale në adresa IP publike.

Hapësira e adresave private rregullohet nga RFC 1918. Këto adresa përfshijnë intervalet e mëposhtme të IP: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.5.25.1.

Sipas RFC 1918, adresat IP private nuk mund të përdoren në rrjeti global, kështu që ato mund të përdoren lirisht vetëm për qëllime të brendshme.

Para se të kalojmë te veçoritë e protokollit NAT, le të shohim se si ndodh një lidhje rrjeti midis dy PC.

Kur një kompjuter në një rrjet krijon një lidhje me një kompjuter tjetër, hapet një fole, e identifikuar nga adresa IP e burimit, porta e burimit, adresa IP e destinacionit, porta e destinacionit dhe protokolli i rrjetit. Formati i paketës IP ofron një fushë me dy bajtë për numrat e portave. Kjo ju lejon të përcaktoni 65,535 porte që luajnë rolin e një lloj kanali komunikimi. Nga 65,535 portet, 1023 të parat janë të rezervuara për të njohurit shërbimet e serverit si Web, FTP, Telnet etj. Të gjitha portet e tjera mund të përdoren për çdo qëllim tjetër.

Nëse, për shembull, një kompjuter rrjeti i qaset serverit FTP (porti 21), atëherë kur hapet foleja, sistemi operativ i cakton sesionit çdo port më të lartë se 1023. Për shembull, mund të jetë porti 2153. Më pas dërgohet paketa IP nga ana e kompjuterit te FTP -serveri do të përmbajë adresën IP të burimit, portin burim (2153), adresën IP të destinacionit dhe portin e destinacionit (21). Adresa IP dhe porta e dërguesit do të përdoren për përgjigjen e serverit ndaj klientit. Përdorimi i portave të ndryshme për sesione të ndryshme të rrjetit i lejon klientët e rrjetit të krijojnë njëkohësisht seanca të shumta me serverë të ndryshëm ose me shërbimet e të njëjtit server.

Tani le të shohim procesin e krijimit të një sesioni kur përdorni një ruter NAT në kufirin e rrjetit të brendshëm dhe Internetit.

Kur një klient i rrjetit të brendshëm komunikon me një server të jashtëm rrjeti, ashtu si kur krijohet një lidhje midis dy PC-ve, hapet një fole, e identifikuar nga adresa IP e burimit, porta e burimit, adresa IP e destinacionit, porta e destinacionit dhe protokolli i rrjetit. Kur një aplikacion dërgon të dhëna në këtë prizë, adresa IP e burimit dhe porta e burimit futen në paketë në fushat e parametrave të burimit. Fushat e parametrave të destinacionit do të përmbajnë adresën IP të serverit dhe portën e serverit. Për shembull, një kompjuter i rrjetit të brendshëm me një adresë IP prej 192.168.0.1 mund të hyjë në një server ueb WAN me një adresë IP prej 64.233.188.104. Në këtë rast, sistemi operativ i klientit mund të caktojë portin 1251 (port burim) në seancën e krijuar, dhe porta e destinacionit është porta e shërbimit në ueb, domethënë 80. Pastaj atributet e mëposhtme do të tregohen në kokën e paketës së dërguar (Fig. 2):

porta burimore: 1251;
Adresa IP e destinacionit: 64.233.183.104;
porti i destinacionit: 80;
protokolli: TCP.

Pajisja NAT (ruteri) kap paketën dalëse nga rrjeti i brendshëm dhe fut në tabelën e tij të brendshme hartën e portave të burimit dhe destinacionit të paketës duke përdorur adresën IP të destinacionit, portin e destinacionit, adresën IP të jashtme të pajisjes NAT, portën e jashtme. , protokollin e rrjetit dhe adresën e brendshme IP dhe portin e klientit.

Le të supozojmë se në shembullin e mësipërm, ruteri NAT ka një adresë IP të jashtme prej 195.2.91.103 (adresa e portit WAN), dhe për një seancë të vendosur, porta e jashtme e pajisjes NAT është 3210. Në këtë rast, harta e portit të brendshëm Tabela e porteve të burimit dhe destinacionit të paketës përmban informacionin e mëposhtëm:

Adresa IP e burimit: 192.168.0.1;
porta burimore: 1251;
adresa IP e jashtme

Pajisjet NAT: 195.2.91.103;

porta e jashtme e pajisjes NAT: 3210;
Adresa IP e destinacionit: 64.233.183.104;
porti i destinacionit: 80;
protokolli: TCP.

Pajisja NAT më pas "përkthen" paketën duke përkthyer fushat burimore në paketë: adresa IP e brendshme dhe porta e klientit zëvendësohen me adresën dhe portin e jashtëm IP të pajisjes NAT. Në këtë shembull, paketa e konvertuar do të përmbajë informacionin e mëposhtëm:

Adresa IP e burimit: 195.2.91.103;
porta e burimit: 3210;
Adresa IP e destinacionit: 64.233.183.104;
porti i destinacionit: 80;
protokolli: TCP.

Paketa e konvertuar dërgohet përmes rrjetit të jashtëm dhe përfundimisht arrin në serverin e specifikuar.

Pas marrjes së paketës, serveri do të dërgojë paketat e përgjigjes në adresën IP të jashtme dhe portin e pajisjes NAT (ruter), duke specifikuar adresën IP dhe portin e tij në fushat burimore (Fig. 3). Në shembullin e konsideruar, paketa e përgjigjes nga serveri do të përmbajë informacionin e mëposhtëm në kokë:

porta e burimit: 80;
Adresa IP e destinacionit: 195.2.91.103;
porti i destinacionit: 3210;
protokolli: TCP.

Oriz. 3. Parimi i funksionimit të një pajisjeje NAT gjatë transferimit të një pakete nga një rrjet i jashtëm në një të brendshëm

Pajisja NAT merr këto pako nga serveri dhe analizon përmbajtjen e tyre bazuar në tabelën e saj të hartës së portit. Nëse në tabelë gjendet një hartë porti për të cilin adresa IP e burimit, porta e burimit, porta e destinacionit dhe protokolli i rrjetit nga paketa hyrëse përputhen me adresën IP të hostit të largët, portin në distancë dhe protokollin e rrjetit të specifikuar në hartën e portit, atëherë NAT do të kryejë përkthimin e kundërt: do të zëvendësojë adresën IP të jashtme dhe portën e jashtme në fushat e destinacionit të paketës me adresën IP dhe portin e brendshëm të klientit të rrjetit të brendshëm. Kështu, paketa e transmetuar në rrjetin e brendshëm, për shembullin e diskutuar më sipër, do të ketë atributet e mëposhtme:

Adresa IP e burimit: 64.233.183.104;
porta e burimit: 80;
Adresa IP e destinacionit: 192.168.0.1;
porti i destinacionit: 1251;
protokolli: TCP.

Megjithatë, nëse nuk ka përputhje në tabelën e hartës së portit, atëherë paketë hyrëse refuzohet dhe lidhja ndërpritet.

Falë ruterit NAT, çdo PC në rrjetin e brendshëm është në gjendje të transferojë të dhëna në WAN duke përdorur adresën IP të jashtme dhe portin e ruterit. Në të njëjtën kohë, adresat IP të rrjetit të brendshëm, si porte të caktuara për sesionet, mbeten të padukshme nga rrjeti i jashtëm.

Sidoqoftë, një ruter NAT lejon komunikimin midis kompjuterëve në rrjetet e brendshme dhe të jashtme vetëm nëse komunikimi inicohet nga një kompjuter në rrjetin e brendshëm. Nëse ndonjë kompjuter në rrjetin e jashtëm përpiqet të hyjë në një kompjuter në rrjetin e brendshëm me iniciativën e tij, atëherë një lidhje e tillë refuzohet nga pajisja NAT. Prandaj, përveç zgjidhjes së problemit të adresave IP të pamjaftueshme, NAT kontribuon edhe në sigurinë e rrjetit të brendshëm.

Probleme që lidhen me pajisjet NAT

Pavarësisht thjeshtësisë në dukje të pajisjeve NAT, ato shoqërohen me disa probleme që shpesh e ndërlikojnë organizimin e ndërveprimit midis kompjuterëve të rrjetit ose madje e pengojnë atë të vendoset. Për shembull, nëse rrjeti lokal mbrohet nga një pajisje NAT, atëherë çdo klient në rrjetin e brendshëm mund të krijojë një lidhje me serverin WAN, por jo anasjelltas. Kjo do të thotë, nga rrjeti i jashtëm, nuk mund të filloni një lidhje me një server të vendosur në rrjetin e brendshëm pas një pajisjeje NAT. Por, çka nëse ka një shërbim (siç është një server FTP ose Web server) në rrjetin e brendshëm që përdoruesit në rrjetin e jashtëm duhet të jenë në gjendje të aksesojnë? Për të zgjidhur këtë problem, ruterat NAT përdorin teknologjitë e përcjelljes së zonës rrethuese dhe portit, të cilat do të përshkruhen në detaje më poshtë.

Një problem tjetër me pajisjet NAT është se disa aplikacione të rrjetit përfshijnë adresën IP dhe portin në pjesën e të dhënave të paketës. Është e qartë se pajisja NAT nuk është në gjendje të përkthejë adresa të tilla. Si rezultat, nëse një aplikacion rrjeti fut një adresë IP ose port në pjesën e ngarkesës së një pakete, serveri i përgjigjet një pakete të tillë duke përdorur adresën IP të ndërlidhur dhe portin për të cilin nuk ka asnjë hyrje korresponduese të hartës në tabelën e brendshme të pajisjes NAT. . Si rezultat, një paketë e tillë do të hidhet nga pajisja NAT, dhe për këtë arsye, aplikacionet që përdorin këtë teknologji nuk do të mund të funksionojnë në prani të pajisjeve NAT.

Ka aplikacione rrjeti që përdorin një port (si port dërgues) kur transmetojnë të dhëna, por presin një përgjigje në një portë tjetër. Pajisja NAT analizon trafikun në dalje dhe harton portin burimor. Megjithatë, pajisja NAT nuk e di se një përgjigje pritet në një port tjetër dhe nuk mund të kryejë hartën e duhur. Si rezultat, paketat e përgjigjeve të adresuara në një port që nuk ka një përputhje në tabelën e brendshme të pajisjes NAT do të hiqen.

Një problem tjetër me pajisjet NAT është qasja e shumëfishtë në të njëjtin port. Le të shqyrtojmë një situatë ku disa klientë të një rrjeti lokal, të ndarë nga rrjeti i jashtëm nga një pajisje NAT, hyjnë në të njëjtin port standard. Për shembull, mund të jetë porta 80 e rezervuar për një shërbim Web. Meqenëse të gjithë klientët në rrjetin e brendshëm përdorin të njëjtën adresë IP, lind pyetja: si mundet një pajisje NAT të përcaktojë se cilit klient në rrjetin e brendshëm i referohet kërkesa e jashtme? Për të zgjidhur këtë problem, vetëm një klient në rrjetin e brendshëm ka qasje në portin standard në të njëjtën kohë.

Përcjellja statike e portit (Hartëzimi i portit)

Për t'i bërë disa aplikacione që funksionojnë në një server në rrjetin e brendshëm (siç është një server Web ose server FTP) të aksesueshëm nga rrjeti i jashtëm, duhet të vendoset një hartë në pajisjen NAT midis portave të përdorura nga aplikacione të caktuara dhe adresave IP. ata serverë intranet në të cilët funksionojnë këto aplikacione. Në këtë rast, ata flasin për teknologjinë e hartës së portit, dhe vetë serveri i rrjetit të brendshëm quhet server virtual. Si rezultat, çdo kërkesë nga rrjeti i jashtëm në adresën IP të jashtme të pajisjes NAT (ruterit) në portin e specifikuar do të ridrejtohet automatikisht në serverin virtual të rrjetit të brendshëm të specifikuar.

Për shembull, nëse një server virtual FTP është konfiguruar në rrjetin e brendshëm, i cili funksionon në një PC me një adresë IP prej 192.168.0.10, atëherë kur konfiguroni server virtual janë vendosur adresa IP e serverit virtual (192.168.0.10), protokolli i përdorur (TCP) dhe porta e aplikacionit (21). Në një rast të tillë, kur hyn në adresën e jashtme të pajisjes NAT (porta WAN e ruterit) në portën 21, përdoruesi në rrjetin e jashtëm mund të hyjë në serverin FTP në rrjetin e brendshëm, pavarësisht përdorimit të protokollit NAT. Një shembull i konfigurimit të një serveri virtual në një ruter të vërtetë NAT është paraqitur në fig. 4.

Në mënyrë tipike, ruterat NAT ju lejojnë të krijoni përcjellje të shumëfishta portash statike. Pra, në një server virtual, mund të hapni disa porte në të njëjtën kohë ose të krijoni disa serverë virtualë me adresa IP të ndryshme. Sidoqoftë, me përcjelljen statike të portit, nuk mund të përcillni një port të vetëm në adresa të shumta IP, që do të thotë se një port mund të korrespondojë me një adresë të vetme IP. Është e pamundur, për shembull, të konfiguroni disa serverë në ueb me adresa IP të ndryshme - për ta bërë këtë, do t'ju duhet të ndryshoni portën e paracaktuar të serverit në ueb dhe, kur të hyni në portin 80, në cilësimet e ruterit, të specifikoni portën e ndryshuar të serverit në internet si serveri i Portit Privat.

Shumica e modeleve të ruterit ju lejojnë gjithashtu të vendosni ridrejtimin statik të një grupi portash, domethënë të lidhni një grup të tërë portash menjëherë me adresën IP të një serveri virtual. Ky funksion është i dobishëm nëse keni nevojë të mbështetni aplikacione që përdorin një numër të madh portash, si lojëra ose konferenca audio/video. Numri i grupeve të porteve të dërguara për modele të ndryshme ruterat ndryshojnë, por zakonisht ka të paktën dhjetë.

Përcjellja dinamike e portit (aplikacion special)

Përcjellja e portit statik ju lejon të zgjidhni pjesërisht problemin e aksesit nga një rrjet i jashtëm në shërbimet e rrjetit lokal të mbrojtura nga një pajisje NAT. Sidoqoftë, ekziston edhe një detyrë e kundërt - nevoja për t'u siguruar përdoruesve të rrjetit lokal qasje në një rrjet të jashtëm përmes një pajisjeje NAT. Fakti është se disa aplikacione (për shembull, lojërat në internet, video-konferencat, telefonia në internet dhe aplikacione të tjera që kërkojnë vendosjen e njëkohshme të shumë seancave) nuk janë në përputhje me teknologjinë NAT. Për të zgjidhur këtë problem, përdoret i ashtuquajturi transferim dinamik i portit (nganjëherë i quajtur Aplikim Special), kur transferimi i portit vendoset në nivelin individual. aplikacionet e rrjetit.

Nëse ruteri mbështet këtë funksion, duhet të specifikoni numrin e portës së brendshme (ose gamën e portit) të lidhur me të aplikim specifik(zakonisht shënohet me Trigger Port) dhe vendosni numrin e portit të jashtëm të pajisjes NAT (Port Publik), i cili do të vendoset në portin e brendshëm.

Kur aktivizohet përcjellja dinamike e portit, ruteri monitoron trafikun dalës nga rrjeti i brendshëm dhe kujton adresën IP të kompjuterit që e ka origjinën këtë trafik. Kur të dhënat kthehen në segment lokal Përcjellja e portit aktivizohet dhe të dhënat kalohen. Pas përfundimit të transferimit, ridrejtimi çaktivizohet dhe më pas çdo kompjuter tjetër mund të krijojë një ridrejtim të ri në adresën e tij IP.

Përcjellja dinamike e portit përdoret kryesisht për shërbimet që kërkojnë kërkesa afatshkurtra dhe transferime të të dhënave, sepse nëse një kompjuter përdor përcjelljen e një porti të caktuar, atëherë në të njëjtën kohë një kompjuter tjetër nuk mund ta bëjë të njëjtën gjë. Nëse dëshironi të personalizoni funksionimin e aplikacioneve që kanë nevojë për një rrymë konstante të dhënash që zënë një port në kohe e gjate, atëherë ridrejtimi dinamik është i paefektshëm. Megjithatë, në këtë rast, ekziston një zgjidhje për problemin - është përdorimi i zonës së çmilitarizuar.

Zona DMZ

Një zonë e çmilitarizuar (DMZ) është një mënyrë tjetër për të anashkaluar kufizimet e protokollit NAT. Ky funksion ofrohet nga të gjithë ruterat modernë. Kur vendosni një kompjuter të brendshëm LAN në DMZ, ai bëhet transparent për NAT. Në fakt, kjo do të thotë që kompjuteri në rrjetin e brendshëm është praktikisht i vendosur përpara murit të zjarrit. Për një PC të vendosur në një zonë DMZ, të gjitha portet ridrejtohen në një adresë IP të brendshme, e cila lejon organizimin e transferimit të të dhënave nga një rrjet i jashtëm në një të brendshëm.

Nëse, për shembull, një server me një adresë IP prej 192.168.1.10, i vendosur në rrjetin e brendshëm lokal, ndodhet në zonën DMZ, dhe vetë rrjeti lokal mbrohet nga një pajisje NAT, atëherë kur merret një kërkesë në ndonjë port nga rrjeti i jashtëm në pajisjet NAT të adresës së portit WAN, kjo kërkesë do të ridrejtohet në adresën IP 192.168.1.10, domethënë në adresën e serverit virtual në zonën DMZ.

Si rregull, ruterat NAT të klasës SOHO lejojnë që vetëm një kompjuter të vendoset në zonën DMZ. Një shembull i konfigurimit të një kompjuteri në një zonë DMZ është paraqitur në fig. 5.

Oriz. 5. Një shembull i një konfigurimi kompjuterik në zonën DMZ

Meqenëse një kompjuter i vendosur në një zonë DMZ bëhet i aksesueshëm nga rrjeti i jashtëm dhe nuk mbrohet në asnjë mënyrë nga një mur zjarri, ai bëhet një dobësi e rrjetit. Është e nevojshme të përdoret vendosja e kompjuterëve në zonën e çmilitarizuar vetëm si mjeti i fundit, kur asnjë mënyrë tjetër për të anashkaluar kufizimet e protokollit NAT nuk janë të përshtatshme për një arsye ose një tjetër.

Teknologjia e kalimit NAT

Mënyrat që kemi renditur për të anashkaluar kufizimet e protokollit NAT mund të jenë disi të vështira për përdoruesit fillestarë. Për të lehtësuar administrimin, është propozuar një teknologji e automatizuar për konfigurimin e pajisjeve NAT. Teknologjia NAT Traversal (NAT traversal) lejon aplikacionet e rrjetit të përcaktojnë që ato mbrohen nga një pajisje NAT, të mësojnë adresën IP të jashtme dhe të kryejnë përcjelljen e portit në modaliteti automatik. Kështu, avantazhi i NAT Traversal është se përdoruesi nuk duhet të konfigurojë manualisht hartëzimin e portit.

Teknologjia NAT Traversal mbështetet në protokollet UPnP (Universal Plug and Play), kështu që shpesh është e nevojshme të kontrolloni opsionin UPnP & NAT në ruter për të aktivizuar këtë teknologji.

YouTube enciklopedik

1 / 5

✪ 1. Administrator i Cisco ASA. Çfarë është një mur zjarri?

✪ ZoneAlarm FreeWall - Firewall falas për kompjuterin tuaj

✪ 2. Administrator i Cisco ASA. Cisco Firewalls

✪ Firewall

Titra

Qëllimi

Ndër detyrat që zgjidhin muret e zjarrit, kryesorja është mbrojtja e segmenteve të rrjetit ose hosteve individuale nga aksesi i paautorizuar duke përdorur dobësi në protokollet e modelit të rrjetit OSI ose në softuerin e instaluar në kompjuterët e rrjetit. Firewall-et lejojnë ose mohojnë trafikun duke krahasuar karakteristikat e tij me modelet e dhëna.

Vendi më i zakonshëm për instalimin e mureve të zjarrit është në skajin e perimetrit të rrjetit lokal për të mbrojtur hostet e brendshëm nga sulmet e jashtme. Sidoqoftë, sulmet mund të fillojnë edhe nga hostet e brendshëm - në këtë rast, nëse hosti i sulmuar ndodhet në të njëjtin rrjet, trafiku nuk do të kalojë perimetrin e rrjetit dhe muri i zjarrit nuk do të aktivizohet. Prandaj, aktualisht, muret e zjarrit vendosen jo vetëm në kufi, por edhe midis segmenteve të ndryshme të rrjetit, gjë që siguron një nivel shtesë sigurie.

Histori

Pajisjet e para që kryenin funksionin e filtrimit të trafikut të rrjetit u shfaqën në fund të viteve 1980, kur interneti ishte një risi dhe nuk përdorej në shkallë globale. Këto pajisje ishin ruterë që inspektojnë trafikun bazuar në të dhënat e përfshira në titujt e protokolleve të shtresave të rrjetit. Më pas, me zhvillimin e teknologjive të rrjetit, këto pajisje ishin në gjendje të filtronin trafikun duke përdorur të dhëna nga protokollet e një shtrese transporti më të lartë. Ruterat mund të konsiderohen si implementimi i parë harduer-softuerik i një muri zjarri.

Firewall-et e softuerit u shfaqën shumë më vonë dhe ishin shumë më të rinj se programet antivirus. Për shembull, projekti Netfilter/iptables (një nga muret e para të zjarrit të softuerit të ndërtuar në kernelin Linux që nga versioni 2.4) u themelua në 1998. Kjo paraqitje e vonë është e kuptueshme, pasi kohe e gjate antivirus zgjidhi problemin e mbrojtjes së kompjuterëve personalë nga malware. Sidoqoftë, në fund të viteve 1990, viruset filluan të përdorin në mënyrë aktive mungesën e mureve të zjarrit në kompjuterë, gjë që çoi në rritjen e interesit të përdoruesve për këtë klasë pajisjesh.

Filtrimi i trafikut

Filtrimi i trafikut bazohet në një grup rregullash të parakonfiguruara të quajtura rregullore. Është e përshtatshme të mendosh për një mur zjarri si një sekuencë filtrash që përpunojnë rrjedhën e informacionit. Secili prej filtrave është krijuar për të interpretuar një rregull të veçantë. Sekuenca e rregullave në një grup ndikon ndjeshëm në performancën e një muri zjarri. Për shembull, shumë mure zjarri krahasojnë vazhdimisht trafikun me rregullat derisa të gjendet një përputhje. Për mure të tilla zjarri, rregullat që përputhen me trafikun më të madh duhet të vendosen sa më lart në listë, duke rritur kështu performancën.

Ekzistojnë dy parime për përpunimin e trafikut në hyrje. Parimi i parë thotë: “Ajo që nuk është e ndaluar shprehimisht lejohet”. AT këtë rast, nëse muri i zjarrit ka marrë një paketë që nuk bie nën asnjë rregull, atëherë ajo transmetohet më tej. Parimi i kundërt - "Ajo që nuk lejohet shprehimisht është e ndaluar" - garanton siguri shumë më të madhe, pasi ndalon të gjithë trafikun që nuk lejohet shprehimisht nga rregullat. Megjithatë, ky parim kthehet në një barrë shtesë për administratorin.

Në fund të fundit, muret e zjarrit kryejnë një nga dy operacionet në trafikun në hyrje: kalojnë paketën në ( lejojnë) ose hidhni paketën ( mohojnë). Disa mure zjarri kanë një funksion më shumë - refuzoj, në të cilën paketa është hedhur, por dërguesi informohet se shërbimi që po përpiqej të hynte nuk është i disponueshëm. Në të kundërt, gjatë operacionit mohojnë dërguesi nuk është i informuar për padisponueshmërinë e shërbimit, i cili është më i sigurt.

Klasifikimi i mureve të zjarrit

Deri më tani, nuk ka një klasifikim të unifikuar dhe të njohur përgjithësisht të mureve të zjarrit. Megjithatë, në shumicën e rasteve, niveli i mbështetur i modelit të rrjetit OSI është karakteristika kryesore në klasifikimin e tyre. Duke pasur parasysh këtë model, dallohen llojet e mëposhtme të mureve të zjarrit:

çelsin e menaxhuar.
filtrat e paketave.
Portat e nivelit të sesionit.
Ndërmjetësuesit e shtresave të aplikimit.
Inspektorët e statusit.

Çelësat e menaxhuar

Shumë prodhues të pajisjeve të rrjetit, si Cisco, Nortel, 3Com, ZyXEL, ofrojnë në ndërprerësit e tyre mundësinë për të filtruar trafikun bazuar në adresat MAC të përfshira në kokat e kornizës. Për shembull, në çelësat e familjes Cisco Catalyst, kjo veçori zbatohet duke përdorur mekanizmin Port Security. . Sidoqoftë, kjo metodë filtrimi nuk është efektive, pasi adresa MAC e vendosur nga hardueri në kartën e rrjetit ndryshohet lehtësisht nga softueri, pasi vlera e specifikuar përmes drejtuesit ka një përparësi më të lartë se ajo e vendosur në tabelë. Prandaj, shumë ndërprerës modernë ju lejojnë të përdorni parametra të tjerë si një atribut filtrues - për shembull, VLAN ID. Teknologjia e rrjetit lokal virtual (eng. Rrjeti lokal virtual) ju lejon të krijoni grupe hostesh, trafiku i të cilëve është plotësisht i izoluar nga nyjet e tjera të rrjetit.

Filtrat e paketave

Filtrat e paketave funksionojnë në nivel rrjeti dhe kontrollojnë kalimin e trafikut bazuar në informacionin që gjendet në kokën e paketës. Shumë mure zjarri të këtij lloji mund të funksionojnë me titujt e protokollit dhe një nivel më të lartë transporti (për shembull, TCP ose UDP). Filtrat e paketave ishin ndër të parët që u shfaqën në tregun e mureve të zjarrit dhe deri më sot mbeten lloji më i zakonshëm i tyre. Kjo teknologji zbatohet në shumicën dërrmuese të ruterave dhe madje edhe në disa switch.

Kur analizoni kokën paketën e rrjetit mund të përdoren opsionet e mëposhtme:

adresat IP të burimit dhe të destinacionit;
lloji i protokollit të transportit;
fushat e shërbimit kokat e protokolleve të niveleve të rrjetit dhe transportit;
porti i burimit dhe i destinacionit.

Shumë shpesh është e nevojshme të filtrohen paketat e fragmentuara, gjë që e bën të vështirë identifikimin e disa sulmeve. Shumë sulme rrjeti shfrytëzojnë këtë cenueshmëri të murit të zjarrit duke paraqitur paketa që përmbajnë të dhëna të ndaluara si fragmente të një pakete tjetër të besuar. Një mënyrë për të luftuar këtë lloj sulmi është konfigurimi i murit të zjarrit për të bllokuar paketat e fragmentuara. Disa mure zjarri mund të defragmentojnë paketat përpara se t'i përcjellin në rrjetin e brendshëm, por kjo kërkon burime shtesë nga vetë muri i zjarrit, veçanërisht memoria. Defragmentimi duhet të përdoret në mënyrë shumë të arsyeshme, përndryshe një mur i tillë zjarri mund të bëhet lehtësisht viktimë e vetë një sulmi DoS.

Filtrat e paketave mund të implementohen në komponentët e mëposhtëm të infrastrukturës së rrjetit:

ruterat kufitar;
Sistemet Operative;

Për shkak se filtrat e paketave zakonisht kontrollojnë vetëm të dhënat në rrjet dhe titujt e shtresave të transportit, ata mund ta bëjnë këtë mjaft shpejt. Prandaj, filtrat e paketave të integruara në ruterat kufitarë janë idealë për t'u vendosur në skajet e një rrjeti me besim të ulët. Sidoqoftë, filtrave të paketave u mungon aftësia për të analizuar protokollet e shtresave më të larta të modelit të rrjetit OSI. Përveç kësaj, filtrat e paketave janë zakonisht të prekshëm ndaj sulmeve që përdorin mashtrimin e adresave të rrjetit. Sulme të tilla zakonisht kryhen për të anashkaluar kontrollin e aksesit të zbatuar nga një mur zjarri.

Portat e nivelit të sesionit

Meqenëse ky lloj muri i zjarrit përjashton komunikimin e drejtpërdrejtë midis dy hosteve, porta e nivelit të sesionit është i vetmi element lidhës midis rrjetit të jashtëm dhe burimeve të brendshme. Kjo krijon pamjen që të gjitha kërkesat nga rrjeti i jashtëm përgjigjen nga gateway, dhe e bën pothuajse të pamundur përcaktimin e topologjisë së rrjetit të mbrojtur. Për më tepër, meqenëse kontakti midis nyjeve vendoset vetëm nëse lejohet, porta e nivelit të sesionit parandalon mundësinë e një sulmi DoS të qenësishëm në filtrat e paketave.

Pavarësisht efektivitetit të kësaj teknologjie, ajo ka një pengesë serioze: si të gjitha klasat e mësipërme të mureve të zjarrit, portat e nivelit të sesionit nuk kanë aftësinë për të kontrolluar përmbajtjen e fushës së të dhënave, gjë që lejon një sulmues të transferojë "kuajt e Trojës" në rrjetin e mbrojtur.

Agjentët e Shtresave të Aplikimit

Disavantazhet e këtij lloji të mureve të zjarrit janë koha dhe burimet e mëdha të shpenzuara për analizimin e çdo pakete. Për këtë arsye, ato në përgjithësi nuk janë të përshtatshme për aplikime në kohë reale. Një tjetër disavantazh është paaftësia lidhje automatike mbështetje për aplikacionet dhe protokollet e reja të rrjetit, pasi secila prej tyre kërkon agjentin e vet.

Inspektorët e Shtetit

Secili nga llojet e mësipërme të mureve të zjarrit përdoret për të mbrojtur rrjetet e korporatave dhe ka një sërë avantazhesh. Sidoqoftë, do të ishte shumë më efikase të mblidheshin të gjitha këto avantazhe në një pajisje dhe të merrni një mur zjarri që filtron trafikun nga rrjeti në shtresën e aplikacionit. Kjo ide u zbatua tek inspektorët shtetërorë, të cilët kombinojnë performancën e lartë dhe sigurinë. Kjo klasë e mureve të zjarrit ju lejon të kontrolloni:

çdo paketë e transmetuar - bazuar në një tabelë rregullash;
çdo seancë - bazuar në tabelën e gjendjes;
çdo aplikacion bazohet në ndërmjetës të zhvilluar.

Duke filtruar trafikun në parimin e një porte në nivel sesioni, klasën e dhënë muret e zjarrit nuk ndërhyjnë në procesin e krijimit të një lidhjeje midis nyjeve. Prandaj, performanca e inspektorit shtetëror është dukshëm më e lartë se ajo e ndërmjetësit të shtresës së aplikimit dhe portës së shtresës së sesionit dhe është e krahasueshme me performancën e filtrave të paketave. Një avantazh tjetër i inspektorëve shtetërorë është transparenca për përdoruesit: për klientin software nuk kërkohet konfigurim shtesë. Këto mure zjarri janë shumë të zgjerueshme. Kur shfaqet një shërbim i ri ose një protokoll i ri i shtresës së aplikacionit, mjafton të shtoni disa shabllone për ta mbështetur atë. Megjithatë, inspektorët shtetërorë priren të jenë më pak të sigurt se përfaqësuesit e shtresës së aplikimit.

Termi inspektim shtetëror, i prezantuar nga Check Point Software, është aq i dashur nga prodhuesit e pajisjeve të rrjetit, saqë tani pothuajse çdo mur zjarri klasifikohet si kjo teknologji, edhe nëse nuk e zbaton plotësisht atë.

Zbatimi

Ekzistojnë dy versione të mureve të zjarrit - softuer dhe harduer-softuer. Nga ana tjetër, versioni i harduerit-software ka dy lloje - në formë modul i veçantë në një ndërprerës ose ruter dhe si një pajisje e dedikuar.

Aktualisht, më shpesh përdoret një zgjidhje softuerike, e cila në shikim të parë duket më tërheqëse. Kjo është për shkak se për ta përdorur atë, duket se mjafton vetëm të blini softuer të murit të zjarrit dhe ta instaloni atë në çdo kompjuter të disponueshëm në organizatë. Sidoqoftë, siç tregon praktika, një organizatë nuk ka gjithmonë një kompjuter falas, madje edhe një që plotëson kërkesa mjaft të larta për burimet e sistemit. Pasi kompjuteri të gjendet ende (më së shpeshti blihet), vijon procesi i instalimit dhe konfigurimit të sistemit operativ, si dhe, drejtpërdrejt, softveri i murit të zjarrit. Është e lehtë të shihet se përdorimi i një kompjuteri personal konvencional nuk është aq i lehtë sa mund të duket. Kjo është arsyeja pse sistemet e specializuara harduerike dhe softuerike, të quajtura pajisje sigurie, zakonisht bazuar në

Pse keni nevojë për një mur zjarri në ruter. Mbrojtja e harduerit të rrjeteve SOHO duke përdorur mure zjarri

NDRYSHIMI I BREZIT

"BREZI I RI" SOT

SHTETËSIT E RRITJES DHE ZHVILLIMET E REJA

Llojet e mureve të zjarrit

Krahasimi i mureve të zjarrit të harduerit dhe softuerit

Firewall-et si pjesë përbërëse e ruterave

Karakteristikat e Firewall-it

A janë me të vërtetë muret e zjarrit kaq të besueshëm?

Klasifikimi i mureve të zjarrit

Filtrat e paketave

Portat e nivelit të sesionit

Portat e Shtresave të Aplikimit

Firewallet SPI

Cilësimet e murit të zjarrit

Protokolli NAT si pjesë integrale e murit të zjarrit

Probleme që lidhen me pajisjet NAT

Përcjellja dinamike e portit (aplikacion special)

Zona DMZ

Teknologjia e kalimit NAT

YouTube enciklopedik

Titra

Qëllimi

Histori

Filtrimi i trafikut

Klasifikimi i mureve të zjarrit

Çelësat e menaxhuar

Filtrat e paketave

Portat e nivelit të sesionit

Agjentët e Shtresave të Aplikimit

Inspektorët e Shtetit

Zbatimi

Artikujt kryesorë të lidhur