Прокси-фаервол (proxy-firewall). Брандмауэр (FireWall) как средство реализации политики сетевой безопасности
То есть в общем смысл работы динамической фильтрации заключается в следующем — если соединение, запрашиваемое хостом, разрешено фаерволом, то он запоминает это и помещает информацию о соединении в таблицу состояний (state table) и при возвращении трафика, то есть при ответе другого хоста на запрос, пакеты разрешаются, если они соответствуют тому, что ожидает устройство защиты, то есть… Читать ещё >
Прокси-фаервол (proxy-firewall). Брандмауэр (FireWall) как средство реализации политики сетевой безопасности (реферат, курсовая, диплом, контрольная)
Прокси-фаервол, называемый также прокси-сервером — это обычно прикладная программа, устанавливаемая на сервер, имеющий доступ в защищенную и внешнюю сеть.
Все соединения хостов защищенной сети с хостами внешней сети осуществляются от имени прокси-фаервола, как если бы прокси-фаервол сам устанавливал эти соединения. Хосты защищенной сети никогда сами не устанавливают соединений с внешним миром. Для установки связи, хосты внутренней сети посылают запросы прокси-фаерволу, запросы сравниваются с базой правил. Если запрос соответствует правилу в базе и разрешен, прокси-фаервол посылает запрос внешнему хосту и затем посылает ответ внутреннему хосту.
Прокси-фаерволы работают на верхних уровнях модели OSI. Соединения устанавливаются между сетевым и транспортным уровнем, однако прокси-фаервол анализирует запрос вплоть до седьмого уровня на предмет соответствия набору правил, если все правильно, он устанавливает соединение.
Анализ пакетов до седьмого уровня является большим преимуществом прокси-фаерволов. Но имеются и следующие недостатки:
- · Прокси-сервер — это программа работающая под управлением определенной операционной системы, поэтому прокси-сервер будет настолько безопасным, насколько безопасна сама эта система
- · Значительная процессорная нагрузка для осуществления прокси сервисов, что сказывается на производительности, при увеличении числа запросов на соединение. Это самая медленная технология
Рисунок 4. Схема работы прокси-фаервола.
Динамическая пакетная фильтрация (stateful packet filtering)
Данная технология обеспечивает лучшую комбинацию безопасности и производительности. Используется не только ACL, но также анализируется состояние сессии, записываемое в базу, которую называют таблицей состояния (state table). Эту технологию Cisco преимущественно использует в своих устройствах защиты.
После того как соединение установлено, все данные сессии сравниваются с таблицей состояния. Если данные сессии не соответствуют информации в таблице состояния для этой сессии, соединение сбрасывается.
В этой технологии сохраняется состояние каждой открытой сессии. Каждый раз, когда устанавливается разрешенное внешнее либо внутреннее TCP или UDP соединение, информация об этом соединении запоминается в таблице состояния сессий. В таблицу заносится адрес источника и назначения, номера портов, порядковые номера TCP сессии (sequence numbers), также дополнительные флаги.
Зачем это необходимо? Для анализа возвращаемых пакетов в каждой конкретной сессии на предмет их легитимности (те же порты, правильные порядковые номера сессии, флаги и тд). То есть теперь все входящие и исходящие пакеты сравниваются с информацией в таблице состояния.
То есть в общем смысл работы динамической фильтрации заключается в следующем — если соединение, запрашиваемое хостом, разрешено фаерволом, то он запоминает это и помещает информацию о соединении в таблицу состояний (state table) и при возвращении трафика, то есть при ответе другого хоста на запрос, пакеты разрешаются, если они соответствуют тому, что ожидает устройство защиты, то есть соответствуют информации, хранящейся в state table.
Этот метод эффективен по трем причинам:
- · Он работает и с пакетами и с соединениями
- · Производительность выше, чем у прокси-фаерволов
- · Сохраняется информация каждого соединения, что позволяет определить является ли пакет частью этого соединения.