Відмінності між версіями «Міжмережевий екран»
Матеріал з Вікі ЦДУ
Tkanoff (обговорення • внесок) |
Tkanoff (обговорення • внесок) |
||
| Рядок 1: | Рядок 1: | ||
'''Міжмережевий екран''' або'''мережевий екран''' - комплекс апаратних чи програмних засобів, що здійснює контроль і фільтрацію що проходять через нього мережевих пакетів на різних рівнях моделі OSI у відповідності з заданими правилами . | '''Міжмережевий екран''' або'''мережевий екран''' - комплекс апаратних чи програмних засобів, що здійснює контроль і фільтрацію що проходять через нього мережевих пакетів на різних рівнях моделі OSI у відповідності з заданими правилами . | ||
| − | Основним завданням мережевого екрану є захист | + | Основним завданням мережевого екрану є захист комп'ютерних мереж або окремих вузлів від несанкціонованого доступу. Також мережеві екрани часто називають фільтрами, так як їх основне завдання - не пропускати (фільтрувати) пакети, що не підходять під критерії, визначені в конфігурації. |
| − | Деякі мережеві екрани також дозволяють здійснювати | + | Деякі мережеві екрани також дозволяють здійснювати трансляцію адрес - динамічну заміну внутрішньомережевих адрес або портів на зовнішні, що використовуються за межами ЛОМ. |
== Інші назви == | == Інші назви == | ||
| − | '''Брандмауер''' - запозичений з німецької мови термін, що є аналогом англійського''firewall''в його оригінальному значенні (стіна, яка розділяє суміжні будівлі, оберігаючи від поширення | + | '''Брандмауер''' - запозичений з німецької мови термін, що є аналогом англійського ''firewall''в його оригінальному значенні (стіна, яка розділяє суміжні будівлі, оберігаючи від поширення пожеж). |
| − | '''Файрволл''','''файрвол''','''файервол''','''фаєрвол''' - утворено [[транслітерація | транслітерацією]] англійського терміна''firewall'', еквівалентного терміну ''міжмережевий екран'', в даний час не є офіційним запозиченим словом в російській мові | + | '''Файрволл''','''файрвол''','''файервол''','''фаєрвол''' - утворено [[транслітерація | транслітерацією]] англійського терміна''firewall'', еквівалентного терміну ''міжмережевий екран'', в даний час не є офіційним запозиченим словом в російській мові немає. |
== Різновиди мережевих екранів == | == Різновиди мережевих екранів == | ||
Мережеві екрани підрозділяються на різні типи залежно від таких характеристик: | Мережеві екрани підрозділяються на різні типи залежно від таких характеристик: | ||
* Чи забезпечує екран з'єднання між одним вузлом і мережею або між двома або більше різними мережами; | * Чи забезпечує екран з'єднання між одним вузлом і мережею або між двома або більше різними мережами; | ||
| − | * Чи відбувається контроль потоку даних на мережевому рівні або більш високих рівнях | + | * Чи відбувається контроль потоку даних на мережевому рівні або більш високих рівнях моделі OSI; |
* Відстежуються чи стану активних сполук чи ні. | * Відстежуються чи стану активних сполук чи ні. | ||
| Рядок 24: | Рядок 24: | ||
Залежно від рівня, на якому відбувається контроль доступу, існує поділ на мережеві екрани, що працюють на: | Залежно від рівня, на якому відбувається контроль доступу, існує поділ на мережеві екрани, що працюють на: | ||
*''Мережевому рівні'', коли фільтрація відбувається на основі адрес відправника і одержувача пакетів, портів транспортного рівня моделі OSI та статичних правил, заданих адміністратором; | *''Мережевому рівні'', коли фільтрація відбувається на основі адрес відправника і одержувача пакетів, портів транспортного рівня моделі OSI та статичних правил, заданих адміністратором; | ||
| − | *''Сеансовому рівні''(також відомі як | + | *''Сеансовому рівні''(також відомі як stateful) - відслідковують сеанси між додатками, що не пропускають пакунки порушують специфікації TCP / IP, що часто використовуються у зловмисних операціях - скануванні ресурсів, злому через неправильні реалізації TCP / IP, обрив / уповільнення з'єднань, ін'єкція даних. |
*''Рівні додатків'', фільтрація на підставі аналізу даних програми, що передаються всередині пакету. Такі типи екранів дозволяють блокувати передачу небажаної і потенційно небезпечної інформації, на підставі політик і налаштувань. | *''Рівні додатків'', фільтрація на підставі аналізу даних програми, що передаються всередині пакету. Такі типи екранів дозволяють блокувати передачу небажаної і потенційно небезпечної інформації, на підставі політик і налаштувань. | ||
| − | *: Деякі рішення, які відносять до мережевих екранів рівня програми, представляють собою | + | *: Деякі рішення, які відносять до мережевих екранів рівня програми, представляють собою проксі-сервер и з деякими можливостями мережного екрана, реалізуючи прозорі проксі-сервери, зі спеціалізацією по протоколах. Можливості проксі-сервера і багатопротокольна спеціалізація роблять фільтрацію значно більш гнучкою, ніж на класичних мережевих екранах, але такі програми мають всі недоліки проксі-серверів (наприклад, анонімізація трафіку). |
Залежно від відстеження активних сполук мережеві екрани бувають: | Залежно від відстеження активних сполук мережеві екрани бувають: | ||
* ((Langi | en | stateless)) (проста фільтрація), які не відслідковують поточні з'єднання (наприклад, [[TCP]]), а фільтрують потік даних виключно на основі статичних правил; | * ((Langi | en | stateless)) (проста фільтрація), які не відслідковують поточні з'єднання (наприклад, [[TCP]]), а фільтрують потік даних виключно на основі статичних правил; | ||
* ((Langi | en | stateful, [[Stateful Packet Inspection | stateful packet inspection (SPI )]]}} (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, які задовольняють логіці й алгоритмам роботи відповідних [ [Мережеві протоколи | протоколів]] і додатків. Такі типи мережних екранів дозволяють ефективніше боротися з різними видами [[DoS-атака | DoS-атак]] та уразливими місцями деяких мережевих протоколів. Крім того, вони забезпечують функціонування таких протоколів, як [[H.323]], [[SIP]], [[FTP]] і т. п., які використовують складні схеми передачі даних між адресатами, що погано піддаються опису статичними правилами, і, найчастіше, несумісних зі стандартними, ((langi | en | stateless)) мережевими екранами. | * ((Langi | en | stateful, [[Stateful Packet Inspection | stateful packet inspection (SPI )]]}} (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, які задовольняють логіці й алгоритмам роботи відповідних [ [Мережеві протоколи | протоколів]] і додатків. Такі типи мережних екранів дозволяють ефективніше боротися з різними видами [[DoS-атака | DoS-атак]] та уразливими місцями деяких мережевих протоколів. Крім того, вони забезпечують функціонування таких протоколів, як [[H.323]], [[SIP]], [[FTP]] і т. п., які використовують складні схеми передачі даних між адресатами, що погано піддаються опису статичними правилами, і, найчастіше, несумісних зі стандартними, ((langi | en | stateless)) мережевими екранами. | ||
Версія за 09:29, 5 жовтня 2010
Міжмережевий екран абомережевий екран - комплекс апаратних чи програмних засобів, що здійснює контроль і фільтрацію що проходять через нього мережевих пакетів на різних рівнях моделі OSI у відповідності з заданими правилами .
Основним завданням мережевого екрану є захист комп'ютерних мереж або окремих вузлів від несанкціонованого доступу. Також мережеві екрани часто називають фільтрами, так як їх основне завдання - не пропускати (фільтрувати) пакети, що не підходять під критерії, визначені в конфігурації.
Деякі мережеві екрани також дозволяють здійснювати трансляцію адрес - динамічну заміну внутрішньомережевих адрес або портів на зовнішні, що використовуються за межами ЛОМ.
Інші назви
Брандмауер - запозичений з німецької мови термін, що є аналогом англійського firewallв його оригінальному значенні (стіна, яка розділяє суміжні будівлі, оберігаючи від поширення пожеж).
Файрволл,файрвол,файервол,фаєрвол - утворено транслітерацією англійського термінаfirewall, еквівалентного терміну міжмережевий екран, в даний час не є офіційним запозиченим словом в російській мові немає.
Різновиди мережевих екранів
Мережеві екрани підрозділяються на різні типи залежно від таких характеристик:
- Чи забезпечує екран з'єднання між одним вузлом і мережею або між двома або більше різними мережами;
- Чи відбувається контроль потоку даних на мережевому рівні або більш високих рівнях моделі OSI;
- Відстежуються чи стану активних сполук чи ні.
Залежно від охоплення контрольованих потоків даних мережеві екрани поділяються на:
- Традиційний мережевий(абоміжмережевий)екран- програма (або невід'ємна частина операційної системи) на шлюзі (сервері передавальному трафік між мережами) або апаратне рішення, контролюючі вхідні і вихідні потоки даних між підключеними мережами.
- Персональний мережевий екран- програма, встановлена на комп'ютері користувача і призначена для захисту від несанкціонованого доступу тільки цього комп'ютера.
Вироджений випадок - використання традиційного мережевого екрану сервером, для обмеження доступу до власних ресурсів.
Залежно від рівня, на якому відбувається контроль доступу, існує поділ на мережеві екрани, що працюють на:
- Мережевому рівні, коли фільтрація відбувається на основі адрес відправника і одержувача пакетів, портів транспортного рівня моделі OSI та статичних правил, заданих адміністратором;
- Сеансовому рівні(також відомі як stateful) - відслідковують сеанси між додатками, що не пропускають пакунки порушують специфікації TCP / IP, що часто використовуються у зловмисних операціях - скануванні ресурсів, злому через неправильні реалізації TCP / IP, обрив / уповільнення з'єднань, ін'єкція даних.
- Рівні додатків, фільтрація на підставі аналізу даних програми, що передаються всередині пакету. Такі типи екранів дозволяють блокувати передачу небажаної і потенційно небезпечної інформації, на підставі політик і налаштувань.
- Деякі рішення, які відносять до мережевих екранів рівня програми, представляють собою проксі-сервер и з деякими можливостями мережного екрана, реалізуючи прозорі проксі-сервери, зі спеціалізацією по протоколах. Можливості проксі-сервера і багатопротокольна спеціалізація роблять фільтрацію значно більш гнучкою, ніж на класичних мережевих екранах, але такі програми мають всі недоліки проксі-серверів (наприклад, анонімізація трафіку).
Залежно від відстеження активних сполук мережеві екрани бувають:
- ((Langi | en | stateless)) (проста фільтрація), які не відслідковують поточні з'єднання (наприклад, TCP), а фільтрують потік даних виключно на основі статичних правил;
- ((Langi | en | stateful, stateful packet inspection (SPI )}} (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, які задовольняють логіці й алгоритмам роботи відповідних [ [Мережеві протоколи | протоколів]] і додатків. Такі типи мережних екранів дозволяють ефективніше боротися з різними видами DoS-атак та уразливими місцями деяких мережевих протоколів. Крім того, вони забезпечують функціонування таких протоколів, як H.323, SIP, FTP і т. п., які використовують складні схеми передачі даних між адресатами, що погано піддаються опису статичними правилами, і, найчастіше, несумісних зі стандартними, ((langi | en | stateless)) мережевими екранами.
