Відмінності між версіями «Міжмережевий екран»
Tkanoff (обговорення • внесок) |
Tkanoff (обговорення • внесок) |
||
Рядок 6: | Рядок 6: | ||
== Інші назви == | == Інші назви == | ||
− | '''Брандмауер''' - запозичений з німецької мови термін, що є аналогом англійського ''firewall''в його оригінальному значенні (стіна, яка розділяє суміжні будівлі, оберігаючи від поширення пожеж). | + | '''Брандмауер''' - запозичений з німецької мови термін, що є аналогом англійського ''firewall'' в його оригінальному значенні (стіна, яка розділяє суміжні будівлі, оберігаючи від поширення пожеж). |
− | '''Файрволл''','''файрвол''','''файервол''','''фаєрвол''' - утворено | + | '''Файрволл''', '''файрвол''', '''файервол''', '''фаєрвол''' - утворено транслітерацією англійського терміна ''firewall'', еквівалентного терміну ''міжмережевий екран'', в даний час не є офіційним запозиченим словом в російській мові немає. |
== Різновиди мережевих екранів == | == Різновиди мережевих екранів == | ||
Рядок 17: | Рядок 17: | ||
Залежно від охоплення контрольованих потоків даних мережеві екрани поділяються на: | Залежно від охоплення контрольованих потоків даних мережеві екрани поділяються на: | ||
− | *''Традиційний мережевий''(або''міжмережевий'')''екран''- програма (або невід'ємна частина операційної системи) на шлюзі (сервері передавальному трафік між мережами) або апаратне рішення, контролюючі вхідні і вихідні потоки даних між підключеними мережами. | + | * ''Традиційний мережевий''(або ''міжмережевий'') ''екран''- програма (або невід'ємна частина операційної системи) на шлюзі (сервері передавальному трафік між мережами) або апаратне рішення, контролюючі вхідні і вихідні потоки даних між підключеними мережами. |
− | *''Персональний мережевий екран''- програма, встановлена на комп'ютері користувача і призначена для захисту від несанкціонованого доступу тільки цього комп'ютера. | + | * ''Персональний мережевий екран''- програма, встановлена на комп'ютері користувача і призначена для захисту від несанкціонованого доступу тільки цього комп'ютера. |
Вироджений випадок - використання традиційного мережевого екрану сервером, для обмеження доступу до власних ресурсів. | Вироджений випадок - використання традиційного мережевого екрану сервером, для обмеження доступу до власних ресурсів. | ||
Залежно від рівня, на якому відбувається контроль доступу, існує поділ на мережеві екрани, що працюють на: | Залежно від рівня, на якому відбувається контроль доступу, існує поділ на мережеві екрани, що працюють на: | ||
− | *''Мережевому рівні'', коли фільтрація відбувається на основі адрес відправника і одержувача пакетів, портів транспортного рівня моделі OSI та статичних правил, заданих адміністратором; | + | * ''Мережевому рівні'', коли фільтрація відбувається на основі адрес відправника і одержувача пакетів, портів транспортного рівня моделі OSI та статичних правил, заданих адміністратором; |
− | *''Сеансовому рівні''(також відомі як stateful) - відслідковують сеанси між додатками, що не пропускають пакунки порушують специфікації TCP / IP, що часто використовуються у зловмисних операціях - скануванні ресурсів, злому через неправильні реалізації TCP / IP, обрив / уповільнення з'єднань, ін'єкція даних. | + | * ''Сеансовому рівні''(також відомі як stateful) - відслідковують сеанси між додатками, що не пропускають пакунки порушують специфікації TCP / IP, що часто використовуються у зловмисних операціях - скануванні ресурсів, злому через неправильні реалізації TCP / IP, обрив / уповільнення з'єднань, ін'єкція даних. |
− | *''Рівні додатків'', фільтрація на підставі аналізу даних програми, що передаються всередині пакету. Такі типи екранів дозволяють блокувати передачу небажаної і потенційно небезпечної інформації, на підставі політик і налаштувань. | + | * ''Рівні додатків'', фільтрація на підставі аналізу даних програми, що передаються всередині пакету. Такі типи екранів дозволяють блокувати передачу небажаної і потенційно небезпечної інформації, на підставі політик і налаштувань. |
− | * | + | * Деякі рішення, які відносять до мережевих екранів рівня програми, представляють собою проксі-сервер и з деякими можливостями мережного екрана, реалізуючи прозорі проксі-сервери, зі спеціалізацією по протоколах. Можливості проксі-сервера і багатопротокольна спеціалізація роблять фільтрацію значно більш гнучкою, ніж на класичних мережевих екранах, але такі програми мають всі недоліки проксі-серверів (наприклад, анонімізація трафіку). |
Залежно від відстеження активних сполук мережеві екрани бувають: | Залежно від відстеження активних сполук мережеві екрани бувають: | ||
* Stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад, TCP), а фільтрують потік даних виключно на основі статичних правил; | * Stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад, TCP), а фільтрують потік даних виключно на основі статичних правил; | ||
* Stateful packet inspection (SPI) (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, які задовольняють логіці й алгоритмам роботи відповідних протоколів і додатків. Такі типи мережних екранів дозволяють ефективніше боротися з різними видами DoS-атак та уразливими місцями деяких мережевих протоколів. Крім того, вони забезпечують функціонування таких протоколів, як H.323, SIP, FTP і т. п., які використовують складні схеми передачі даних між адресатами, що погано піддаються опису статичними правилами, і, найчастіше, несумісних зі стандартними мережевими екранами. | * Stateful packet inspection (SPI) (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, які задовольняють логіці й алгоритмам роботи відповідних протоколів і додатків. Такі типи мережних екранів дозволяють ефективніше боротися з різними видами DoS-атак та уразливими місцями деяких мережевих протоколів. Крім того, вони забезпечують функціонування таких протоколів, як H.323, SIP, FTP і т. п., які використовують складні схеми передачі даних між адресатами, що погано піддаються опису статичними правилами, і, найчастіше, несумісних зі стандартними мережевими екранами. |
Версія за 09:33, 5 жовтня 2010
Міжмережевий екран або мережевий екран - комплекс апаратних чи програмних засобів, що здійснює контроль і фільтрацію що проходять через нього мережевих пакетів на різних рівнях моделі OSI у відповідності з заданими правилами .
Основним завданням мережевого екрану є захист комп'ютерних мереж або окремих вузлів від несанкціонованого доступу. Також мережеві екрани часто називають фільтрами, так як їх основне завдання - не пропускати (фільтрувати) пакети, що не підходять під критерії, визначені в конфігурації.
Деякі мережеві екрани також дозволяють здійснювати трансляцію адрес - динамічну заміну внутрішньомережевих адрес або портів на зовнішні, що використовуються за межами ЛОМ.
Інші назви
Брандмауер - запозичений з німецької мови термін, що є аналогом англійського firewall в його оригінальному значенні (стіна, яка розділяє суміжні будівлі, оберігаючи від поширення пожеж).
Файрволл, файрвол, файервол, фаєрвол - утворено транслітерацією англійського терміна firewall, еквівалентного терміну міжмережевий екран, в даний час не є офіційним запозиченим словом в російській мові немає.
Різновиди мережевих екранів
Мережеві екрани підрозділяються на різні типи залежно від таких характеристик:
- Чи забезпечує екран з'єднання між одним вузлом і мережею або між двома або більше різними мережами;
- Чи відбувається контроль потоку даних на мережевому рівні або більш високих рівнях моделі OSI;
- Відстежуються чи стану активних сполук чи ні.
Залежно від охоплення контрольованих потоків даних мережеві екрани поділяються на:
- Традиційний мережевий(або міжмережевий) екран- програма (або невід'ємна частина операційної системи) на шлюзі (сервері передавальному трафік між мережами) або апаратне рішення, контролюючі вхідні і вихідні потоки даних між підключеними мережами.
- Персональний мережевий екран- програма, встановлена на комп'ютері користувача і призначена для захисту від несанкціонованого доступу тільки цього комп'ютера.
Вироджений випадок - використання традиційного мережевого екрану сервером, для обмеження доступу до власних ресурсів.
Залежно від рівня, на якому відбувається контроль доступу, існує поділ на мережеві екрани, що працюють на:
- Мережевому рівні, коли фільтрація відбувається на основі адрес відправника і одержувача пакетів, портів транспортного рівня моделі OSI та статичних правил, заданих адміністратором;
- Сеансовому рівні(також відомі як stateful) - відслідковують сеанси між додатками, що не пропускають пакунки порушують специфікації TCP / IP, що часто використовуються у зловмисних операціях - скануванні ресурсів, злому через неправильні реалізації TCP / IP, обрив / уповільнення з'єднань, ін'єкція даних.
- Рівні додатків, фільтрація на підставі аналізу даних програми, що передаються всередині пакету. Такі типи екранів дозволяють блокувати передачу небажаної і потенційно небезпечної інформації, на підставі політик і налаштувань.
- Деякі рішення, які відносять до мережевих екранів рівня програми, представляють собою проксі-сервер и з деякими можливостями мережного екрана, реалізуючи прозорі проксі-сервери, зі спеціалізацією по протоколах. Можливості проксі-сервера і багатопротокольна спеціалізація роблять фільтрацію значно більш гнучкою, ніж на класичних мережевих екранах, але такі програми мають всі недоліки проксі-серверів (наприклад, анонімізація трафіку).
Залежно від відстеження активних сполук мережеві екрани бувають:
- Stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад, TCP), а фільтрують потік даних виключно на основі статичних правил;
- Stateful packet inspection (SPI) (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, які задовольняють логіці й алгоритмам роботи відповідних протоколів і додатків. Такі типи мережних екранів дозволяють ефективніше боротися з різними видами DoS-атак та уразливими місцями деяких мережевих протоколів. Крім того, вони забезпечують функціонування таких протоколів, як H.323, SIP, FTP і т. п., які використовують складні схеми передачі даних між адресатами, що погано піддаються опису статичними правилами, і, найчастіше, несумісних зі стандартними мережевими екранами.