Відмінності між версіями «1 Фільтруючі маршрутизатори»
(Створена сторінка: Фільтруючий маршрутизатор являє собою маршрутизатор або працюючу на сервері програму, с...) |
Xphlash (Обговорення • внесок) |
||
(Одна проміжна версія одного користувача не показана) | |||
Рядок 1: | Рядок 1: | ||
− | Фільтруючий маршрутизатор являє собою маршрутизатор або працюючу на сервері програму, | + | Фільтруючий маршрутизатор являє собою маршрутизатор або працюючу на сервері програму, сконфігуровані таким чином, щоб фільтрувати вхідні і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP - і IP - заголовках пакетів. |
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | Фільтруючі маршрутизатори звичайно може фільтрувати IP-пакет на основі групи наступних полів заголовка пакету: | |
− | + | *IP - адреса відправника | |
+ | *IP-адреса одержувача; | ||
+ | *Порт відправника ; | ||
+ | *Порт одержувача; | ||
− | Фільтрація може бути реалізована | + | Фільтрація може бути реалізована різним чином для блокування з'єднань з певними хост-комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що надходять від конкретних адрес тих хост-комп'ютерів і мереж, які вважаються ворожими або ненадійними. |
− | Додавання фільтрації по портах TCP і UDP до фільтрації по IP-адресами забезпечує | + | Додавання фільтрації по портах TCP і UDP до фільтрації по IP-адресами забезпечує більшу гнучкість. Якщо міжмережевий екран може блокувати з'єднання TCP або UDP з певними портами або від них, то можна реалізувати політику безпеки, при якій деякі види з'єднань встановлюються тільки з конкретними хост-комп'ютерами. |
+ | Наприклад, внутрішня мережа може блокувати всі вхідні з'єднання з усіма хост-комп'ютерами за винятком декількох систем. Для цих систем можуть бути дозволені тільки певні сервіси (SMTP для однієї системи і TELNET або FTP-для іншої). При фільтрації по портах TCP і UDP ця політика може бути реалізована фільтруючим маршрутизатором або хост-комп'ютером з можливістю фільтрації пакетів. | ||
− | + | До позитивних якостей фільтруючих маршрутизаторів слід віднести: | |
− | + | *порівняно невисоку вартість; | |
+ | *гнучкість у визначенні правил фільтрації; | ||
+ | *невелику затримку при проходженні пакетів. | ||
− | + | Недоліками фільтруючих маршрутизаторів є: | |
− | + | *внутрішня мережа видно (маршрутізіруєтся) з мережі Internet; | |
− | + | *правила фільтрації пакетів важкі в описі і вимагають дуже хороших знань технологій TCP і UDP; | |
− | + | *при порушенні працездатності брандмауера з фільтрацією пакетів всі комп'ютери за ним стають повністю незахищеними або недоступними; | |
− | + | *аутентифікацію з використанням IP-адреси можна обдурити шляхом підміни IP-адреси (атакуюча система видає себе за іншу, використовуючи її IP-адреса); | |
− | + | *відсутня аутентифікація на рівні користувача. | |
− | + | ||
− | + | ||
− | + | ||
− | + |
Поточна версія на 00:52, 20 червня 2014
Фільтруючий маршрутизатор являє собою маршрутизатор або працюючу на сервері програму, сконфігуровані таким чином, щоб фільтрувати вхідні і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP - і IP - заголовках пакетів.
Фільтруючі маршрутизатори звичайно може фільтрувати IP-пакет на основі групи наступних полів заголовка пакету:
- IP - адреса відправника
- IP-адреса одержувача;
- Порт відправника ;
- Порт одержувача;
Фільтрація може бути реалізована різним чином для блокування з'єднань з певними хост-комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що надходять від конкретних адрес тих хост-комп'ютерів і мереж, які вважаються ворожими або ненадійними. Додавання фільтрації по портах TCP і UDP до фільтрації по IP-адресами забезпечує більшу гнучкість. Якщо міжмережевий екран може блокувати з'єднання TCP або UDP з певними портами або від них, то можна реалізувати політику безпеки, при якій деякі види з'єднань встановлюються тільки з конкретними хост-комп'ютерами. Наприклад, внутрішня мережа може блокувати всі вхідні з'єднання з усіма хост-комп'ютерами за винятком декількох систем. Для цих систем можуть бути дозволені тільки певні сервіси (SMTP для однієї системи і TELNET або FTP-для іншої). При фільтрації по портах TCP і UDP ця політика може бути реалізована фільтруючим маршрутизатором або хост-комп'ютером з можливістю фільтрації пакетів.
До позитивних якостей фільтруючих маршрутизаторів слід віднести:
- порівняно невисоку вартість;
- гнучкість у визначенні правил фільтрації;
- невелику затримку при проходженні пакетів.
Недоліками фільтруючих маршрутизаторів є:
- внутрішня мережа видно (маршрутізіруєтся) з мережі Internet;
- правила фільтрації пакетів важкі в описі і вимагають дуже хороших знань технологій TCP і UDP;
- при порушенні працездатності брандмауера з фільтрацією пакетів всі комп'ютери за ним стають повністю незахищеними або недоступними;
- аутентифікацію з використанням IP-адреси можна обдурити шляхом підміни IP-адреси (атакуюча система видає себе за іншу, використовуючи її IP-адреса);
- відсутня аутентифікація на рівні користувача.