Міжмережевий екран

Матеріал з Вікі ЦДУ
Версія від 09:36, 14 вересня 2010; Tkanoff (обговореннявнесок)

(різн.) ← Попередня версія • Поточна версія (різн.) • Новіша версія → (різн.)
Перейти до: навігація, пошук

Міжмережевий екран абомережевий екран - комплекс апаратних чи програмних засобів, що здійснює контроль і фільтрацію що проходять через нього мережевих пакетів на різних рівнях моделі OSI у відповідності з заданими правилами .

Основним завданням мережевого екрану є захист комп'ютерних мереж або окремих вузлів від несанкціонованого доступу. Також мережеві екрани часто називають фільтрами, так як їх основне завдання - не пропускати (фільтрувати) пакети, що не підходять під критерії, визначені в конфігурації.

Деякі мережеві екрани також дозволяють здійснювати трансляцію адрес - динамічну заміну внутрішньомережевих (сірих) адрес або портів на зовнішні, що використовуються за межами ЛОМ.

Інші назви

Брандмауер (((lang-de | Brandmauer))) - запозичений з німецької мови термін, що є аналогом англійськогоfirewallв його оригінальному значенні (стіна, яка розділяє суміжні будівлі, оберігаючи від поширення пожежа а). Цікаво, що в області комп'ютерних технологій в німецькій мові вживається слово « firewall».

Файрволл,файрвол,файервол,фаєрвол - утворено транслітерацією англійського термінаfirewall, еквівалентного терміну міжмережевий екран, в даний час не є офіційним запозиченим словом в російській мові ((немає АІ | 21 | 02 | 2010)).

Різновиди мережевих екранів

Мережеві екрани підрозділяються на різні типи залежно від таких характеристик:

  • Чи забезпечує екран з'єднання між одним вузлом і мережею або між двома або більше різними мережами;
  • Чи відбувається контроль потоку даних на мережевому рівні або більш високих рівнях моделі OSI;
  • Відстежуються чи стану активних сполук чи ні.

Залежно від охоплення контрольованих потоків даних мережеві екрани поділяються на:

  • Традиційний мережевий(абоміжмережевий)екран- програма (або невід'ємна частина операційної системи) на шлюзі (сервері передавальному трафік між мережами) або апаратне рішення, контролюючі вхідні і вихідні потоки даних між підключеними мережами.
  • Персональний мережевий екран- програма, встановлена на комп'ютері користувача і призначена для захисту від несанкціонованого доступу тільки цього комп'ютера.

Вироджений випадок - використання традиційного мережевого екрану сервером, для обмеження доступу до власних ресурсів.

Залежно від рівня, на якому відбувається контроль доступу, існує поділ на мережеві екрани, що працюють на:

  • Мережевому рівні, коли фільтрація відбувається на основі адрес відправника і одержувача пакетів, портів транспортного рівня моделі OSI та статичних правил, заданих адміністратором;
  • Сеансовому рівні(також відомі як ((langi | en | stateful }}) - відслідковують сеанси між додатками, що не пропускають пакунки порушують специфікації TCP / IP, що часто використовуються у зловмисних операціях - скануванні ресурсів, злому через неправильні реалізації TCP / IP, обрив / уповільнення з'єднань, ін'єкція даних.
  • Рівні додатків, фільтрація на підставі аналізу даних програми, що передаються всередині пакету. Такі типи екранів дозволяють блокувати передачу небажаної і потенційно небезпечної інформації, на підставі політик і налаштувань.
    Деякі рішення, які відносять до мережевих екранів рівня програми, представляють собою проксі-сервер и з деякими можливостями мережного екрана, реалізуючи прозорі проксі-сервери, зі спеціалізацією по протоколах. Можливості проксі-сервера і багатопротокольна спеціалізація роблять фільтрацію значно більш гнучкою, ніж на класичних мережевих екранах, але такі програми мають всі недоліки проксі-серверів (наприклад, анонімізація трафіку).

Залежно від відстеження активних сполук мережеві екрани бувають:

  • ((Langi | en | stateless)) (проста фільтрація), які не відслідковують поточні з'єднання (наприклад, TCP), а фільтрують потік даних виключно на основі статичних правил;
  • ((Langi | en | stateful, stateful packet inspection (SPI )}} (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, які задовольняють логіці й алгоритмам роботи відповідних [ [Мережеві протоколи | протоколів]] і додатків. Такі типи мережних екранів дозволяють ефективніше боротися з різними видами DoS-атак та уразливими місцями деяких мережевих протоколів. Крім того, вони забезпечують функціонування таких протоколів, як H.323, SIP, FTP і т. п., які використовують складні схеми передачі даних між адресатами, що погано піддаються опису статичними правилами, і, найчастіше, несумісних зі стандартними, ((langi | en | stateless)) мережевими екранами.