Відмінності між версіями «Міжмережевий екран»

Матеріал з Вікі ЦДУ
Перейти до: навігація, пошук
Рядок 6: Рядок 6:
  
 
== Інші назви ==
 
== Інші назви ==
'''Брандмауер''' - запозичений з німецької мови термін, що є аналогом англійського ''firewall''в його оригінальному значенні (стіна, яка розділяє суміжні будівлі, оберігаючи від поширення пожеж).
+
'''Брандмауер''' - запозичений з німецької мови термін, що є аналогом англійського ''firewall'' в його оригінальному значенні (стіна, яка розділяє суміжні будівлі, оберігаючи від поширення пожеж).
  
'''Файрволл''','''файрвол''','''файервол''','''фаєрвол''' - утворено [[транслітерація | транслітерацією]] англійського терміна''firewall'', еквівалентного терміну ''міжмережевий екран'', в даний час не є офіційним запозиченим словом в російській мові немає.
+
'''Файрволл''', '''файрвол''', '''файервол''', '''фаєрвол''' - утворено транслітерацією англійського терміна ''firewall'', еквівалентного терміну ''міжмережевий екран'', в даний час не є офіційним запозиченим словом в російській мові немає.
  
 
== Різновиди мережевих екранів ==
 
== Різновиди мережевих екранів ==
Рядок 17: Рядок 17:
  
 
Залежно від охоплення контрольованих потоків даних мережеві екрани поділяються на:
 
Залежно від охоплення контрольованих потоків даних мережеві екрани поділяються на:
*''Традиційний мережевий''(або''міжмережевий'')''екран''- програма (або невід'ємна частина операційної системи) на шлюзі (сервері передавальному трафік між мережами) або апаратне рішення, контролюючі вхідні і вихідні потоки даних між підключеними мережами.
+
* ''Традиційний мережевий''(або ''міжмережевий'') ''екран''- програма (або невід'ємна частина операційної системи) на шлюзі (сервері передавальному трафік між мережами) або апаратне рішення, контролюючі вхідні і вихідні потоки даних між підключеними мережами.
*''Персональний мережевий екран''- програма, встановлена на комп'ютері користувача і призначена для захисту від несанкціонованого доступу тільки цього комп'ютера.
+
* ''Персональний мережевий екран''- програма, встановлена на комп'ютері користувача і призначена для захисту від несанкціонованого доступу тільки цього комп'ютера.
  
 
Вироджений випадок - використання традиційного мережевого екрану сервером, для обмеження доступу до власних ресурсів.
 
Вироджений випадок - використання традиційного мережевого екрану сервером, для обмеження доступу до власних ресурсів.
  
 
Залежно від рівня, на якому відбувається контроль доступу, існує поділ на мережеві екрани, що працюють на:
 
Залежно від рівня, на якому відбувається контроль доступу, існує поділ на мережеві екрани, що працюють на:
*''Мережевому рівні'', коли фільтрація відбувається на основі адрес відправника і одержувача пакетів, портів транспортного рівня моделі OSI та статичних правил, заданих адміністратором;
+
* ''Мережевому рівні'', коли фільтрація відбувається на основі адрес відправника і одержувача пакетів, портів транспортного рівня моделі OSI та статичних правил, заданих адміністратором;
*''Сеансовому рівні''(також відомі як stateful) - відслідковують сеанси між додатками, що не пропускають пакунки порушують специфікації TCP / IP, що часто використовуються у зловмисних операціях - скануванні ресурсів, злому через неправильні реалізації TCP / IP, обрив / уповільнення з'єднань, ін'єкція даних.
+
* ''Сеансовому рівні''(також відомі як stateful) - відслідковують сеанси між додатками, що не пропускають пакунки порушують специфікації TCP / IP, що часто використовуються у зловмисних операціях - скануванні ресурсів, злому через неправильні реалізації TCP / IP, обрив / уповільнення з'єднань, ін'єкція даних.
*''Рівні додатків'', фільтрація на підставі аналізу даних програми, що передаються всередині пакету. Такі типи екранів дозволяють блокувати передачу небажаної і потенційно небезпечної інформації, на підставі політик і налаштувань.
+
* ''Рівні додатків'', фільтрація на підставі аналізу даних програми, що передаються всередині пакету. Такі типи екранів дозволяють блокувати передачу небажаної і потенційно небезпечної інформації, на підставі політик і налаштувань.
*: Деякі рішення, які відносять до мережевих екранів рівня програми, представляють собою проксі-сервер и з деякими можливостями мережного екрана, реалізуючи прозорі проксі-сервери, зі спеціалізацією по протоколах. Можливості проксі-сервера і багатопротокольна спеціалізація роблять фільтрацію значно більш гнучкою, ніж на класичних мережевих екранах, але такі програми мають всі недоліки проксі-серверів (наприклад, анонімізація трафіку).
+
* Деякі рішення, які відносять до мережевих екранів рівня програми, представляють собою проксі-сервер и з деякими можливостями мережного екрана, реалізуючи прозорі проксі-сервери, зі спеціалізацією по протоколах. Можливості проксі-сервера і багатопротокольна спеціалізація роблять фільтрацію значно більш гнучкою, ніж на класичних мережевих екранах, але такі програми мають всі недоліки проксі-серверів (наприклад, анонімізація трафіку).
  
 
Залежно від відстеження активних сполук мережеві екрани бувають:
 
Залежно від відстеження активних сполук мережеві екрани бувають:
 
* Stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад, TCP), а фільтрують потік даних виключно на основі статичних правил;
 
* Stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад, TCP), а фільтрують потік даних виключно на основі статичних правил;
 
* Stateful packet inspection (SPI) (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, які задовольняють логіці й алгоритмам роботи відповідних протоколів і додатків. Такі типи мережних екранів дозволяють ефективніше боротися з різними видами DoS-атак та уразливими місцями деяких мережевих протоколів. Крім того, вони забезпечують функціонування таких протоколів, як H.323, SIP, FTP і т. п., які використовують складні схеми передачі даних між адресатами, що погано піддаються опису статичними правилами, і, найчастіше, несумісних зі стандартними  мережевими екранами.
 
* Stateful packet inspection (SPI) (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, які задовольняють логіці й алгоритмам роботи відповідних протоколів і додатків. Такі типи мережних екранів дозволяють ефективніше боротися з різними видами DoS-атак та уразливими місцями деяких мережевих протоколів. Крім того, вони забезпечують функціонування таких протоколів, як H.323, SIP, FTP і т. п., які використовують складні схеми передачі даних між адресатами, що погано піддаються опису статичними правилами, і, найчастіше, несумісних зі стандартними  мережевими екранами.

Версія за 09:33, 5 жовтня 2010

Міжмережевий екран або мережевий екран - комплекс апаратних чи програмних засобів, що здійснює контроль і фільтрацію що проходять через нього мережевих пакетів на різних рівнях моделі OSI у відповідності з заданими правилами .

Основним завданням мережевого екрану є захист комп'ютерних мереж або окремих вузлів від несанкціонованого доступу. Також мережеві екрани часто називають фільтрами, так як їх основне завдання - не пропускати (фільтрувати) пакети, що не підходять під критерії, визначені в конфігурації.

Деякі мережеві екрани також дозволяють здійснювати трансляцію адрес - динамічну заміну внутрішньомережевих адрес або портів на зовнішні, що використовуються за межами ЛОМ.

Інші назви

Брандмауер - запозичений з німецької мови термін, що є аналогом англійського firewall в його оригінальному значенні (стіна, яка розділяє суміжні будівлі, оберігаючи від поширення пожеж).

Файрволл, файрвол, файервол, фаєрвол - утворено транслітерацією англійського терміна firewall, еквівалентного терміну міжмережевий екран, в даний час не є офіційним запозиченим словом в російській мові немає.

Різновиди мережевих екранів

Мережеві екрани підрозділяються на різні типи залежно від таких характеристик:

  • Чи забезпечує екран з'єднання між одним вузлом і мережею або між двома або більше різними мережами;
  • Чи відбувається контроль потоку даних на мережевому рівні або більш високих рівнях моделі OSI;
  • Відстежуються чи стану активних сполук чи ні.

Залежно від охоплення контрольованих потоків даних мережеві екрани поділяються на:

  • Традиційний мережевий(або міжмережевий) екран- програма (або невід'ємна частина операційної системи) на шлюзі (сервері передавальному трафік між мережами) або апаратне рішення, контролюючі вхідні і вихідні потоки даних між підключеними мережами.
  • Персональний мережевий екран- програма, встановлена на комп'ютері користувача і призначена для захисту від несанкціонованого доступу тільки цього комп'ютера.

Вироджений випадок - використання традиційного мережевого екрану сервером, для обмеження доступу до власних ресурсів.

Залежно від рівня, на якому відбувається контроль доступу, існує поділ на мережеві екрани, що працюють на:

  • Мережевому рівні, коли фільтрація відбувається на основі адрес відправника і одержувача пакетів, портів транспортного рівня моделі OSI та статичних правил, заданих адміністратором;
  • Сеансовому рівні(також відомі як stateful) - відслідковують сеанси між додатками, що не пропускають пакунки порушують специфікації TCP / IP, що часто використовуються у зловмисних операціях - скануванні ресурсів, злому через неправильні реалізації TCP / IP, обрив / уповільнення з'єднань, ін'єкція даних.
  • Рівні додатків, фільтрація на підставі аналізу даних програми, що передаються всередині пакету. Такі типи екранів дозволяють блокувати передачу небажаної і потенційно небезпечної інформації, на підставі політик і налаштувань.
  • Деякі рішення, які відносять до мережевих екранів рівня програми, представляють собою проксі-сервер и з деякими можливостями мережного екрана, реалізуючи прозорі проксі-сервери, зі спеціалізацією по протоколах. Можливості проксі-сервера і багатопротокольна спеціалізація роблять фільтрацію значно більш гнучкою, ніж на класичних мережевих екранах, але такі програми мають всі недоліки проксі-серверів (наприклад, анонімізація трафіку).

Залежно від відстеження активних сполук мережеві екрани бувають:

  • Stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад, TCP), а фільтрують потік даних виключно на основі статичних правил;
  • Stateful packet inspection (SPI) (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, які задовольняють логіці й алгоритмам роботи відповідних протоколів і додатків. Такі типи мережних екранів дозволяють ефективніше боротися з різними видами DoS-атак та уразливими місцями деяких мережевих протоколів. Крім того, вони забезпечують функціонування таких протоколів, як H.323, SIP, FTP і т. п., які використовують складні схеми передачі даних між адресатами, що погано піддаються опису статичними правилами, і, найчастіше, несумісних зі стандартними мережевими екранами.