Відмінності між версіями «2 Брендмауери та екрани»

Матеріал з Wiki TNEU
Перейти до: навігація, пошук
 
Рядок 1: Рядок 1:
Міжмережевий екран, Мережевий екран, Фаєрво́л, англ. Firewall, буквально «вогняна стіна» — пристрій або набір пристроїв, сконфігурованих, щоб допускати, відмовляти, шифрувати, пропускати через проксі весь комп'ютерний трафік між областями різної безпеки згідно з набором правил та інших критеріїв.
+
Міжмережевий екран (інші назви брандмауер, брандмауер) це захисний бар'єр між комп'ютером і мережею до якої він підключений. Коли користувач заходить в інтернет, то комп'ютер стає видимим для зовнішньої мережі Internet. Він видимий через порт. Порт – це системний ресурс, який ідентифікується певним номером і, який виконується на певному мережевому хості (комп'ютер або інший мережевий пристрій), для зв'язку з додатками, які виконуються на інших мережевих хостах (в тому числі з іншими додатками на цьому ж хості).  
Функції:
+
Суть брандмауера в тому, щоб закрити порти , які ви не використовуєте. В іншому випадку через них зловмисник чи шкідлива програма (вірус, троян) можуть проникнути на перкоснальний комп’ютер користувача
Фаєрвол може бути у вигляді окремого приладу, або програмного забезпечення, що встановлюється на персональний комп'ютер чи проксі-сервер. Простий та дешевий фаєрвол може не мати такої гнучкої системи налаштувань правил фільтрації пакетів та трансляції адрес вхідного та вихідного трафіку.  
+
Міжмережеві екрани можуть серйозно підвищити рівень безпеки хоста або мережі. Вони можуть бути використані для виконання однієї або більше нижче перерахованих завдань:
В залежності від активних з'єднань, що відслідковуються, фаєрволи розділяють на:
+
*Для захисту та ізоляції додатків, сервісів і машин у внутрішній мережі від небажаного трафіку, що приходить із зовнішньої мережі інтернет.
stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад TCP), а фільтрують потік даних виключно на основі статичних правил;
+
*Для обмеження або заборони доступу хостів внутрішньої мережі до сервісів зовнішньої мережі інтернет.
stateful (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, що задовольняють логіці й алгоритмам роботи відповідних протоколів та програм. Такі типи фаєрволів дозволяють ефективніше боротися з різноманітними DoS-атаками та вразливістю деяких протоколів мереж.
+
*Для підтримки перетворення мережевих адрес (network address translation, NAT), що дає можливість задіяти у внутрішній мережі приватні IP адреси і спільно використовувати одне підключення до мережі Інтернет (або через один виділений IP адресу, або через адресу з пулу автоматично привласнюються публічних адрес).
Для того щоб задовольнити вимогам широкого кола користувачів, існує три типи фаєрволів:
+
 
Фаєрвол  мережного рівня представлений екрануючим маршрутизатором. Він контролює лише дані мережевого і транспортного рівнів (Модель OSI) службової інформації пакетів. Мінусом таких маршрутизаторів є те, що ще п'ять рівнів залишаються неконтрольованими.
+
Існує два основні способи створення наборів правил брандмауера: «що виключає» і «що включає». Перший спосіб «що виключає» характеризується тим, що міжмережевий екран дозволяє проходження всього трафіку, за винятком трафіку, відповідного набору правил. Другий спосіб «що включає»  - міжмережевий екран діє прямо протилежним чином. Він пропускає тільки трафік, відповідний правилам і блокує все інше.
Фаєрвол прикладного рівня також відомий як проксі-сервер. Фаєрволи прикладного рівня встановлюють певний фізичний поділ між локальною мережею і Internet, тому вони відповідають найвищим вимогам безпеки. Проте, оскільки програма повинна аналізувати пакети і приймати рішення щодо контролю доступу до них, фаєрволи прикладного рівня неминуче зменшують продуктивність мережі.
+
Фаєрвол рівня з'єднання схожий на фаєрвол прикладного рівня тим, що обидва вони є серверами-посередниками. Відмінність полягає в тому, що фаєрволи прикладного рівня вимагають спеціального програмного забезпечення для кожної мережевої служби. Фаєрволи рівня з'єднання обслуговують велику кількість протоколів.
+

Поточна версія на 00:52, 20 червня 2014

Міжмережевий екран (інші назви брандмауер, брандмауер) це захисний бар'єр між комп'ютером і мережею до якої він підключений. Коли користувач заходить в інтернет, то комп'ютер стає видимим для зовнішньої мережі Internet. Він видимий через порт. Порт – це системний ресурс, який ідентифікується певним номером і, який виконується на певному мережевому хості (комп'ютер або інший мережевий пристрій), для зв'язку з додатками, які виконуються на інших мережевих хостах (в тому числі з іншими додатками на цьому ж хості). Суть брандмауера в тому, щоб закрити порти , які ви не використовуєте. В іншому випадку через них зловмисник чи шкідлива програма (вірус, троян) можуть проникнути на перкоснальний комп’ютер користувача Міжмережеві екрани можуть серйозно підвищити рівень безпеки хоста або мережі. Вони можуть бути використані для виконання однієї або більше нижче перерахованих завдань:

  • Для захисту та ізоляції додатків, сервісів і машин у внутрішній мережі від небажаного трафіку, що приходить із зовнішньої мережі інтернет.
  • Для обмеження або заборони доступу хостів внутрішньої мережі до сервісів зовнішньої мережі інтернет.
  • Для підтримки перетворення мережевих адрес (network address translation, NAT), що дає можливість задіяти у внутрішній мережі приватні IP адреси і спільно використовувати одне підключення до мережі Інтернет (або через один виділений IP адресу, або через адресу з пулу автоматично привласнюються публічних адрес).

Існує два основні способи створення наборів правил брандмауера: «що виключає» і «що включає». Перший спосіб «що виключає» характеризується тим, що міжмережевий екран дозволяє проходження всього трафіку, за винятком трафіку, відповідного набору правил. Другий спосіб «що включає» - міжмережевий екран діє прямо протилежним чином. Він пропускає тільки трафік, відповідний правилам і блокує все інше.

Особисті інструменти
Простори назв

Варіанти
Дії
Навігація
Інструменти