Архитектура на сигурността

© Христо Тужаров, януари 2010 

ТИПОВЕ ЗAЩИТНА СТЕНА

[Home] [Съдържание] [Асеневци] [Студентите] [Консултации]

ЗАЩИТНА СТЕНА

 

ТИПОВЕ ЗAЩИТНА СТЕНА 

 

ЗАЩИТНА СТЕНА безплатен софтуер

 

 

 

Работата на защитните стени (ЗС) е базирана на използване информация на различни нива от модела OSI

 

Модел OSI – разработен е от Международната организация по стандартизация (International Standards Organization — ISO) и определя седем нива, на които компютърните системи взаимодействат помежду си.

 

Правило – колкото е по високо нивото, на което защитната стена филтрира пакетите, толкова е по-високо осигуряваното ниво на защита

 

 

Ниво на OSI

модела

Интернет протоколи

 

Категория ЗС

 

Приложно

http, ftp, telnet,smtp,

Шлюз на приложно ниво

ЗС на експертно ниво

Представително

 

 

Сеансно

tcp

Шлюз на сеансно ниво

Транспортно

tcp

 

Мрежово

ip

ЗС с филтрация на пакети

Канално

 

 

Физическо

 

 

 

Типове защитни стени

Функционално защитните стени се разделят на три основни типа:

 

 

  • Пакетни филтри (packet filter) - канално ниво;

  • Сървъри на ниво съединение - сеансно ниво;

  • Сървъри на приложно ниво .

В една защитна стена могат да се срещнат и трите типа.

 

Защитни стени на мрежово ниво

       Системи с филтриране на пакети -  пакетните филтри анализират идващите IP-пакети и ги пропускат или не ги пропускат в зависимост от предварително зададен списък с правилата за филтриране.

Принадлежността на пакетите към една или друга категория се установява от значенията на полетата "адрес" и "порт" в заглавието на IP пакета.

 

IP-адресът  и номерът на порта – това е информация на мрежово и транспортно ниво, но пакетните филтри използват и информация на приложно ниво (всички стандартни сервизи в TCP/IP се асоциират с определен номер на порта.

 

За описване правилата за преминаване на пакетите се използва таблица:

 

Действие

Тип  на пакета

Адрес на източника

Порт на източника

Адрес на приемника

Порт на приемника

Флаг

 

Администраторът може да блокира:

  • Обръщенията към конкретен порт; 

  • Пакетите пристигащи от определен адрес или мрежа.

Това не защитава мрежата от атаки чрез Java аплети и ActiveX компоненти.

 

       Предимства на защитни стени на мрежово ниво:

  • Относително низка цена;

  • Малка задръжка при филтриране на пакетите;

  • Гъвкавост при настройка на правилата за филтриране;

  • Прозрачност за потребителите;

  • Минимално влияние на производителността на мрежата

       Недостъци на защитни стени на мрежово ниво:

  • Локалната мрежа е видна от Интернет;

  • Правилата за филтриране са  трудни за описване и изискват добро познаване на протоколите TCP и UDP;

  • Отсъства автентификация на потребителско ниво;

  • Автентификацията с използване на IP-адрес може да бъде измамена, когато атакуващата система се представя за друга и ползва нейния   IP-адрес.

       Настройка на правилата за защитни стени на мрежово ниво

  • Необходимо е да се прави внимателно, както и да се познават протоколите TCP и UDP.

  • Правилата за филтриране се задават във вид на таблици с условия и действия, които трябва да бъдат приложени в определена последователност.

  • Решенията се взимат на базата минимум на два атрибута (адрес на отправителя/адрес на получателя и т. н.)

Защитни стени на сеансно ниво

     

       Филтри на пакети с контекстна проверка -извършват контекстна проверка на сеансите между клиентите и сървърите. Прихващат пакетите на мрежово ниво и приемат решение на базата на информация от по - горните нива чрез анализ на данните в пакетите.

 

Данните се разделят на

  • Добри – пропускат се;

  • Лоши - не се пропускат;

  • Неизвестни – филтрират се и пропускането им зависи от правилата за сигурност.

Имат добра пропускателна способност.

Примери: Firewall-1 на фирмата CheckPoint, Software и PIX на фирмата Cisco.

 

        Екраниращи шлюзове - реализират се с помощта на екраниращи агенти, които осигуряват установяването  на съединение и след това предават данните, като осъществяват контрол и регистрация Чрез екраниращите агенти се скрива системата от абоната с когото тя взаимодейства.  Обикновено екранът не е симетричен. Той има вход и изход.

 

Защитни стени на приложно ниво (Упълномощен сървър )

Следят  пакетите на ниво приложения и не установяват пряко съединение между Интернет и компютъра.

 

Откривайки мрежов сеанс, шлюзът за приложения, го прекъсва и извиква упълномощено приложение за оказване на исканите услуги - примерно TELNET, FTP, World Wide Web или електронна поща.

 

Сървърът - посредник на ниво приложение при получаване на запитване стартира съответния сервиз, който контролира предаването на данни.

 

Съществуват сервизи за всички стандартни служби - telnet, ftp, http, riogin и т.н. Използва се също и сървър за автентификация, който определя достъпен ли е конкретния сервиз за дадения потребител.