Карманные фильтры фяк
Брандмауэр
карманные фильтры фяк - один из самых
простых брандмауэров. Первым шагом в защите
внутренних пользователей от внешних сетевых угроз
является реализация этого типа безопасности. Впервые
используемые брандмауэры были только типа фильтрации
пакетов. По мере того, как тенденции сетевых угроз
начали меняться, стратегии построения брандмауэра
также были решены. Большинство маршрутизаторов имеют
встроенную фильтрацию пакетов, но проблема с
маршрутизаторами заключается в том, что их сложно
настроить и не предоставлять подробные журналы
инцидентов. В моих предыдущих руководствах по
брандмауэру я говорил о политике брандмауэра и
нескольких других вещах. Эта информация также
используется при проектировании таких брандмауэров.
Чтобы начать с сетевой безопасности, брандмауэры с
фильтрацией пакетов - это путь. Эта функциональность
по-прежнему является главной целью большинства
коммерческих и некоммерческих брандмауэров. Как вы
знаете по определению и назначению брандмауэра,
брандмауэр является первым пунктом назначения
трафика, поступающего во внутреннюю сеть. Итак, все,
что приходит в вашу внутреннюю сеть, проходит через
брандмауэр. Конечно, верно и обратное. Любой
исходящий трафик также будет проходить через
брандмауэр, прежде чем полностью покинуть вашу сеть.
По этой причине иногда этот фильтр брандмауэра также
называется экранирующим маршрутизатором.
Типы фильтрации пакетов
Брандмауэр фильтрации пакетов позволяет передавать
только те пакеты, которые разрешены в соответствии с
политикой брандмауэра. Каждый проверенный пакет
проверяется, а затем брандмауэр решает передать его
или нет. Фильтрация пакетов может быть разделена на
две части:
Фильтрация пакетов без учета состояния.
Пакетная фильтрация с учетом состояния.
Данные распространяются через Интернет в виде
пакетов. Каждый пакет имеет заголовок, который
предоставляет информацию о пакете, его источнике и
адресате и т. Д. Брандмауэры с фильтрацией пакетов
предоставляют эти пакеты, чтобы разрешить или
запретить их. Брандмауэр может запомниться или не
запомниться.
Фильтрация пакетов без учета состояния
Если информация о передающих пакетах не запоминается
брандмауэром, то этот тип фильтрации называется
фильтрацией пакетов без состояния. Такие брандмауэры
не достаточно умны и могут быть легко обмануты
хакерами. Это особенно опасно для пакетов данных
типа UDP. Причина в том, что решения allow / deny
принимаются по пакетной основе, и они не связаны с
предыдущими допустимыми / запрещенными пакетами.
Фильтрация с учетом состояния
Если брандмауэр запоминает информацию о ранее
переданных пакетах, то этот тип фильтрации - это
фильтрация пакетов с сохранением состояния. Их можно
назвать интеллектуальными брандмауэрами. Этот тип
фильтрации также известен как динамическая
фильтрация пакетов.
Что следует проверять в заголовке пакета
В заголовке пакета несколько возможных вещей,
которые необходимо проверить, следующие:
Исходный IP-адрес пакета. Это необходимо, потому что
IP-спутники могли изменить исходный IP-адрес, чтобы
отразить происхождение пакета из другого места,
вместо того, чтобы отражать исходный источник.
IP-адрес получателя. Правила брандмауэра должны
проверять IP-адрес, а не DNS-имена. Это
предотвращает злоупотребление DNS-серверами.
Идентификатор протокола IP.
Номер порта TCP / UDP.
Тип сообщения ICMP.
Фрагментационные флаги.
Параметры IP-параметров.
Важные особенности фильтров пакетов
Большие брандмауэры обычно следуют нескольким
конкретным правилам, по которым функции включаются
во время проектирования брандмауэра. Немногие
перечислены ниже:
Брандмауэр должен обеспечить большое количество
журналов. Чем более подробными являются журналы, тем
лучше защита.
Синтаксис командной строки или графический интерфейс
брандмауэра должны быть легкими для создания новых
правил и, конечно же, исключений брандмауэра.
Заказы фильтра пакетов должны быть тщательно оценены,
чтобы сделать фильтрование плотным.
В конце, слово осторожности. Вы НЕ ДОЛЖНЫ зависеть
только от брандмауэров фильтрации пакетов для
обеспечения безопасности вашей сети. Сетевая
безопасность брандмауэров не является полностью
надежной, нам необходимо предпринять несколько
других мер для обеспечения полной сетевой
безопасности.
Дата:
13.10.2017.
|