1 Фільтруючі маршрутизатори

Матеріал з Wiki TNEU
Версія від 01:52, 20 червня 2014; Xphlash (Обговореннявнесок)

(різн.) ← Попередня версія • Поточна версія (різн.) • Новіша версія → (різн.)
Перейти до: навігація, пошук

Фільтруючий маршрутизатор являє собою маршрутизатор або працюючу на сервері програму, сконфігуровані таким чином, щоб фільтрувати вхідні і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP - і IP - заголовках пакетів.

Фільтруючі маршрутизатори звичайно може фільтрувати IP-пакет на основі групи наступних полів заголовка пакету:

  • IP - адреса відправника
  • IP-адреса одержувача;
  • Порт відправника ;
  • Порт одержувача;

Фільтрація може бути реалізована різним чином для блокування з'єднань з певними хост-комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що надходять від конкретних адрес тих хост-комп'ютерів і мереж, які вважаються ворожими або ненадійними. Додавання фільтрації по портах TCP і UDP до фільтрації по IP-адресами забезпечує більшу гнучкість. Якщо міжмережевий екран може блокувати з'єднання TCP або UDP з певними портами або від них, то можна реалізувати політику безпеки, при якій деякі види з'єднань встановлюються тільки з конкретними хост-комп'ютерами. Наприклад, внутрішня мережа може блокувати всі вхідні з'єднання з усіма хост-комп'ютерами за винятком декількох систем. Для цих систем можуть бути дозволені тільки певні сервіси (SMTP для однієї системи і TELNET або FTP-для іншої). При фільтрації по портах TCP і UDP ця політика може бути реалізована фільтруючим маршрутизатором або хост-комп'ютером з можливістю фільтрації пакетів.

До позитивних якостей фільтруючих маршрутизаторів слід віднести:

  • порівняно невисоку вартість;
  • гнучкість у визначенні правил фільтрації;
  • невелику затримку при проходженні пакетів.

Недоліками фільтруючих маршрутизаторів є:

  • внутрішня мережа видно (маршрутізіруєтся) з мережі Internet;
  • правила фільтрації пакетів важкі в описі і вимагають дуже хороших знань технологій TCP і UDP;
  • при порушенні працездатності брандмауера з фільтрацією пакетів всі комп'ютери за ним стають повністю незахищеними або недоступними;
  • аутентифікацію з використанням IP-адреси можна обдурити шляхом підміни IP-адреси (атакуюча система видає себе за іншу, використовуючи її IP-адреса);
  • відсутня аутентифікація на рівні користувача.
Отримано з http://wiki.tneu.edu.ua/index.php?title=1_Фільтруючі_маршрутизатори&oldid=17200
Особисті інструменти
Простори назв

Варіанти
Дії
Навігація
Інструменти