8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Раздел: Документация

0 ... 25 26 27 28 29 30 31 ... 125

Изменение длинного набора правил может занять много времени, поскольку придется проверить каждое из старых правил, чтобы убедиться, что оно не противоречит новому! Маршрутизаторы обычно не имеют развитых средств для регистрации событий. Хороший брандмауэр обеспечивает отличные возможности для этого и для выдачи предупреждений, а иногда даже и программы для анализа log-файлов.

Применение proxy-сервера

Пакетному фильтру приходится принимать решения только на основе информации в заголовке пакета. К сожалению, заголовок содержит в основном адреса и другие данные, необходимые протоколу для доставки пакета к месту назначения через лабиринт сетей. В заголовок пакета не включены детали, которые могли бы помочь фильтру решить, следует ли пропускать пакет через межсетевой экран. Например, маршрутизатор может определить, что пакет предназначен для какого-то протокола, скажем, FTP. Но он не в состоянии распознать, какой это запрос - get (получить) или put (передать). При этом не исключено, что запросы одного типа окажутся вполне допустимыми, а запросы другого типа для данного узла должны будут блокироваться.

За более подробной информацией о proxy-серверах и шлюзах приложений обратитесь к главе 7.

I j

Шлюз приложений (application gateway), или proxy-сервер (application proxy), - это программа, которая выполняется на брандмауэре и перехватывает трафик приложений определенного типа. Она может, например, перехватить запрос пользователя из локальной сети, а затем подключиться к внешнему серверу от его имени. При этом внутренние узлы никогда не будут напрямую присоединяться к удаленным серверам. Вместо этого в качестве посредника между клиентом и сервером выступит proxy-сервер, передающий информацию между ними. Преимущество такого подхода состоит в том, что proxy-сервер способен пропускать или блокировать трафик на основе информации в области данных пакета, а не только в его заголовке.

Что такое трансляция сетевых адресов

В настоящее время широко распространена одна из форм proxy-сервера - так называемые трансляторы сетевых адресов (Network Address Translator, NAT). Серверы этого типа повышают безопасность внутренней локальной сети, скрывая настоящие IP-адреса в ней. В запросах к внешним серверам используется IP-адрес proxy-сервера. Еще одно преимущество, трансляции адресов, которым обусловлена ее популярность, - зарегистрированный IP-адрес должен иметь только proxy-сервер, а адреса клиентов во внутренней сети могут быть произвольными. Поскольку пространство свободных IP-адресов Internet быстро уменьшается, такой метод очень удобен для расширения локальной сети, поскольку не требует получения нового диапазона адресов от провайдера.


Недостатком proxy-серверов является их привязка к конкретному приложению. Для каждого приложения или сервиса, поддержку которых вы хотите реализовать в межсетевом экране, вам понадобится отдельный proxy-сервер. Кроме того, необходимо, чтобы клиентское программное обеспечение могло работать через proxy-сервер. Большинство современных программ обладают такой возможностью, поэтому обычно это не представляет проблемы. Например, Netscape Navigator и Microsoft Internet Explorer позволяют задавать используемые proxy-серверы.

Более подробную информацию о трансляции сетевых адресов вы можете найти в разделе «Трансляция сетевых адресов» главы 7.

Существуют способы добиться работоспособности и старых программ, не знающих о существовании proxy-серверов. Например, при помощи Telnet пользователь может вначале зарегистрироваться на proxy-сервере, а затем создать сеанс связи с внешним компьютером. Такой двухступенчатый метод менее удобен, чем прозрачный доступ, обеспечиваемый программами, которые умеют работать через proxy-сервер.

Чтобы приложения функционировали через proxy-серверы, применяются пакеты Trusted Information Systems Firewall Toolkit (FWTK) или SOCKS. SOCKS - это библиотека, с помощью которой создаются или модифицируются клиенты с целью реализации их взаимодействия с proxy-сервером SOCKS. Пакет TIS Firewall Toolkit также содержит proxy-серверы для большинства стандартных служб, таких как Telnet, FTP и HTTP.

Подробнее SOCKS описан в главе 15.

Дополнительную информацию о TIS Firewall Toolkit вы найдете в,главе 14.

Комбинации различных методов

Как было показано, для формирования межсетевого экрана годятся и пакетные фильтры, и proxy-серверы, и каждый из этих методов имеет свои сильные и слабые стороны. Вы, возможно, догадались, что следующий шаг состоит в объединении двух этих методов и создании более надежного межсетевого экрана. Теперь вы, наверное, понимаете, почему межсетевой экран представляет собой скорее систему, чем одиночное устройство.

Существует множество способов объединения этих двух технологий. Но независимо от того, насколько тщательно вы настроите пакетный фильтр или proxy-серверы, вам может потребоваться изменить конфигурацию межсетевого экрана. При его разработке следует рассмотреть сильные и слабые стороны каждой стратегии и определить, какая из них лучше всего подходит в данной ситуации. Тщательно проанализируйте политику безопасности и выберите архитектуру межсетевого экрана, способную лучше всего реализовать ее выполнение.


Почему нужны и пакетный фильтр, и proxy-сервер?

Как говорит старая поговорка, «не следует класть все яйца в одну корзину». Хуже всего, если отказ всего в одной точке приведет к нарушению безопасности всей сети. Пакетный фильтр гарантирует определенную степень защиты, а proxy-серверы обеспечивают дальнейшее блокирование нежелательного трафика между локальной и внешней сетью. Если proxy-сервер выйдет из строя (а такое случается), пакетный фильтр останется вашей первой линией обороны, пока работа proxy-сервера не будет восстановлена.

При выборе архитектуры вы, вероятно, встретите такие термины, как укрепленный компьютер (bastion host) и демилитаризованная зона (demilitarized zone, DMZ). Эти термины описывают важные компоненты межсетевого экрана, правильное применение которых поможет вам в создании надежного брандмауэра. Они подробно описаны ниже.

Применение двухканального узла

Маршрутизатор, соединяющий локальную сеть с Internet, должен содержать не менее двух сетевых интерфейсов. Один из них подключается к локальной сети, а другой - к внешнему миру, и каждый обладает собственным IP-адресом. На основе заданных вами правил маршрутизатор принимает решения о том, какие пакеты передавать из одного интерфейса в другой.

Двухканальный узел (dual-homed host) работает аналогичным образом. К компьютеру подключается два сетевых интерфейса, и так же, как и в маршрутизаторе, один - к локальной сети, а второй - к Internet (см. рис. 4.2). Но, в отличие от маршрутизатора, многие операционные системы распознают оба установленных адаптера и автоматически передают пакеты из одного интерфейса в другой, если этого достаточно для доставки пакета адресату. Другими словами, двухканальный узел работает как маршрутизатор. Данная функция, обычно называемая IP forwarding (пересылкой IP-пакетов), должна быть отключена, если вы собираетесь применять компьютер в качестве компонента межсетевого экрана.

После размещения двухканального узла между локальной сетью и Internet клиентские компьютеры в локальной сети больше не будут доступны из Internet напрямую. Сетевые пакеты, приходящие от клиентов в локальной сети по одному интерфейсу, окажутся под контролем proxy-сервера, работающего на двухканальном компьютере. Программное обеспечение proxy-сервера определяет, разрешен ли запрос, а затем выполняет его, отправляя пакеты по внешнему интерфейсу. Не исключено, что в случае повышенных требований к безопасности одного двухканального компьютера будет недостаточно для защиты Internet-подключения. Операционные системы компьютеров очень сложны, поэтому практически невозможно гарантировать полное отсутствие в них уязвимых мест. Например, Windows NT состоит из миллионов строк кода. Время от времени кто-нибудь обнаруживает новые ошибки, которые могут эксплуатироваться с целью нарушить защиту. Необходимо постоянно



0 ... 25 26 27 28 29 30 31 ... 125