6. Принципи роботи брандмауерів
Інформаційні системи корпорацій, урядових закладів і інших організацій постійно розвиваються в наступних напрямках.
* Система централізованої обробки даних, що працює на базі мейнфрейма, до якого безпосередньо підключене деяке число терміналів.
* Локальна мережа, що поєднує персональні компютери і термінали один з одним і мейнфреймом.
* Обєднана мережа, що складається з декількох локальних мереж, звязаних один з одним персональних компютерів, серверів і, можливо, одного чи двох мейнфреймов.
* Мережа масштабу підприємства, що складає з декількох, що знаходяться на досить великій відстані друг від друга обєднаних мереж, що звязуються між собою за допомогою відомчої глобальної мережі.
* Звязок через Internet, при якій різні обєднані мережі виявляються підключеними до Internet і можуть бути також звязаними один з одним відомчою глобальною мережею.
Сьогодні звязок з Internet для більшості організацій уже є звичною справою. Для багатьох організацій інформація і послуги Internet життєво необхідні. Крім того, доступ до Internet потрібно багатьом індивідуальним користувачам, і якщо їхня локальна мережа не забезпечує такого доступу, вони самостійно використовують засоби вилученого доступу для підключення своїх персональних компютерів до Internet через постачальника послуг Internet (провайдера). Але, хоча доступ до Internet і дає організації очевидні переваги, вона в той же час відкриває ресурси внутрішньої мережі організації зовнішньому світу. Ясно, що це несе в собі визначену погрозу для організації. Для захисту від цієї погрози можна обладнати кожну робочу станцію і кожен сервер внутрішньої мережі надійними засобами захисту типу системи захисту від вторгнень, але такий підхід, мабуть, непрактичний. Розглянемо, наприклад, мережу із сотнями чи навіть тисячами окремих систем, на яких працюють самі різні версії UNIX, так ще і Windows 95„ Windows 98 і Windows NT. Якщо буде виявлена яка-небудь вада в системі захисту, прийдеться внести зміни в засоби захисту всіх систем, що потенційно можуть показатися вразливими. Альтернативою, що стає усе більш популярною, є використання брандмауера. Цей пристрій розміщається між внутрішньою мережею організації і Internet, забезпечуючи контрольований звязок і споруджуючи зовнішню стіну, чи границю. Метою створення такої границі є захист внутрішньої мережі від несанкціонованого проникнення ззовні через Internet і організація єдиного центра, у якому повинні застосовуватися засоби захисту і контролю. Брандмауер може являти собою як окремий компютер мережі, так і групу спеціально виділених компютерів, що здійснюють функції брандмауера мережі, взаємодіючи між собою.
У цьому розділі ми спочатку обговоримо загальні характеристики брандмауерів, а потім розглянемо брандмауерів найпоширеніших типів. Наприкінці роздягнула приводяться деякі типові конфігурації брандмауерів.
- 1. Брандмауер з фільтрацією пакетів
- 1.1 Вибір політики за замовчуванням
- 1.2 Фільтрація вхідних пакетів
- 1.3 Фільтрація на основі адреси джерела
- 1.4 Фільтрація на основі адреси призначення
- 1.5 Фільтрація на основі порту джерела
- 1.6 Фільтрація на основі порту призначення
- 1.7 Фільтрація на основі інформації про стан TCP-зєднання
- 3. Додаткові питання фільтрації пакетів
- 3.1 Маршрут до джерела
- 3.2 Фрагментація пакетів
- 3.5 Фільтрація на основі адреси призначення
- 3.7 Фільтрація на основі порту призначення
- 3.8 Фільтрація за значеннями прапорів стану
- 4. Доступ до служб локальної мережі
- 4.1 Захист локальних служб
- 5. Вибір серверів для установки в системі
- 6. Принципи роботи брандмауерів
- 6.1 Характеристики брандмауерів