Стек протоколов TCP/IPПрикладной уровеньТСРIPКоммуникационная сетьПротокол IP обеспечивает способ адресации источника и получателя. IP также имеет дело с фрагментацией и реассемблированием пакетов, которые передаются на транспортный уровень.Протокол ТСР обеспечивает надежность и упорядоченность для получателя потока данных, посылаемого по ТСР-соединению.Надежность обеспечивается с помощью того, что каждый пакет содержит свой последовательный номер и номер полученного пакета. С каждым пакетом данных связывается последовательный номер. Этот номер указывается для первого пакета данных в передаваемом сегменте. Сегменты также содержат номер подтверждения, который является последовательным номером следующего ожидаемого октета данных, передаваемых в обратном направлении. Когда один из концов ТСР-соединения передает сегмент, содержащий данные, он помещает его копию в очередь повторной передачи и запускает таймер; когда подтверждение о получении этих данных получено, сегмент удаляется из очереди. Если подтверждение не получено по истечении таймера, сегмент передается повторно.Для идентификации начальной и конечной точек ТСР-соединения вводится понятие номера порта. Номера портов выбираются независимо для каждого соединения ТСР, при этом они могут не быть уникальными. Для обеспечения уникальной идентификации внутри каждого соединения ТСР, выполняется конкатенация IP-адреса и номера порта. Эта конкатенация определяет сокет.Соединение полностью определяется парой сокетов на своих концах. Локальный сокет может участвовать во многих соединениях с различными удаленными сокетами. Соединение используется для пересылки данных в обоих направлениях.ТСР может использовать любые номера портов. Тем не менее определены некоторые базовые принципы назначения номеров портов. Существуют "хорошо известные" номера портов, которые ТСР связывает только с "соответствующими" процессами.Каждый конец ТСР-соединения является либо клиентом, либо сервером. Соединение инициируется клиентом. Сервер ждет установления соединения от клиента. Поэтому ТСР-соединение может быть открыто либо в пассивном режиме сервером, либо в активном клиентом.Запрос пассивного открытия означает, что процесс сервера ждет запросов на входящие соединения, а не пытается сам инициировать соединение. Часто процесс, запрашивающий пассивное открытие, будет принимать запросы соединения от любого вызывающего.Процесс, который хочет предоставлять сервис другим неизвестным процессам, создает запрос пассивного открытия. При этом будет создаваться соединение с любым процессом, который запросил соединение с данным локальным сокетом.Процед
Взаимосвязь уровней стека протоколов TCP/IP и OSIУровень 7ApplicationПочтовые клиенты, web-браузерыУровень 4TransportТСР-сессииУровень 3NetworkIP-адресацияУровень 2Data LinkEthernet-адресацияСовременные firewall ы функционируют на любом из перечисленных уровней. Первоначально firewall ы анализировали меньшее число уровней; теперь более мощные из них охватывают большее число уровней. С точки зрения функциональности, firewall, имеющий возможность анализировать большее число уровней, является более совершенным и эффективным. За счет охвата дополнительного уровня также увеличивается возможность более тонкой настройки конфигурации firewall а. Возможность анализировать более высокие уровни позволяет firewall у предоставлять сервисы, которые ориентированы на пользователя, например, аутентификация пользователя. Firewall, который функционирует на уровнях 2, 3 и 4, не имеет дело с подобной аутентификацией.Независимо от архитектуры firewall может иметь дополнительные сервисы. Эти сервисы включают трансляцию сетевых адресов (NAT), поддержку протокола динамической конфигурации хоста (DHCP) и функции шифрования, тем самым являясь конечной точкой VPN-шлюза, и фильтрацию на уровне содержимого приложения.Многие современные firewall ы могут функционировать как VPN-шлюзы. Таким образом, организация может посылать незашифрованный сетевой трафик от системы, расположенной позади firewall а, к удаленной системе, расположенной позади корпоративного VPN-шлюза; firewall зашифрует трафик и перенаправит его на удаленный VPN-шлюз, который расшифрует его и передаст целевой системе. Большинство наиболее популярных firewall ов сегодня совмещают эти функциональности.Многие firewall ы также включают различные технологии фильтрации активного содержимого. Данный механизм отличается от обычной функции firewall а тем, что firewall теперь также имеет возможность фильтровать реальные прикладные данные на уровне 7, которые проходят через него. Например, данный механизм может быть использован для сканирования на предмет наличия вирусов в файлах, присоединенных к почтовому сообщению. Он также может применяться для фильтрации наиболее опасных технологий активного содержимого в web, таких как Java, JavaScript и ActiveX. Или он может быть использован для фильтрации содержимого или ключевых слов с целью ограничения доступа к неподходящим сайтам или доменам. Тем не менее компонент фильтрации, встроенный в firewall, не должен рассматриваться как единственно возможный механизм фильтрации содержимого; возможно применение аналогичных фильтров при использовании сжатия, шифрования или других технологий. Установление ТСР-соединенияТСР является надежным протоколом в сетях, основанных на коммутации пакетов. Так как и пакетные фильтры, и stateful inspection firewall ы анализируют параметры ТСР-протокола, рассмотрим подробно этот протокол. Стек протоколов TCP/IP выглядит следующим образом:
Стек протоколов модели OSIУровень 7ApplicationУровень 6PresentationУровень 5SessionУровень 4TransportУровень 3NetworkУровень 2Data LinkУровень 1PhysicalУровень 1 представляет собой реальную аппаратуру физического соединения и среду, такую как Ethernet. Уровень 2 уровень, на котором сетевой трафик передается по локальной сети (LAN). Он также является первым уровнем, обладающим возможностью адресации, с помощью которой можно идентифицировать отдельную машину. Адреса назначаются на сетевые интерфейсы и называются МАС (Media Access Control) адресами. Ethernet-адрес, принадлежащий Ethernet-карте, является примером МАС-адреса уровня 2.Уровень 3 является уровнем, отвечающим за доставку сетевого трафика по WAN. В Интернете адреса уровня 3 называются IP-адресами; адреса обычно являются уникальными, но при определенных обстоятельствах, например, при трансляции сетевых адресов (NAT) возможны ситуации, когда различные физические системы имеют один и тот же IP-адрес уровня 3. Уровень 4 идентифицирует конкретное сетевое приложение и коммуникационную сессию в дополнение к сетевым адресам; система может иметь большое число сессий уровня 4 с другими ОС. Терминология, связанная с семейством протоколов ТСР/IP, включает понятие портов, которые могут рассматриваться как конечные точки сессий: номер порта источника определяет коммуникационную сессию на исходной системе; номер порта назначения определяет коммуникационную сессию системы назначения. Более высокие уровни (5, 6 и 7) представляют приложения и системы конечного пользователя.Стек протоколов TCP/IP соотносится с уровнями модели OSI следующим образом:
ВведениеFirewall ы защищают компьютеры и сети от попыток несанкционированного доступа с использованием уязвимых мест, существующих в семействе протоколов ТСР/IP. Дополнительно они помогают решать проблемы безопасности, связанные с использованием уязвимых систем и с наличием большого числа компьютеров в локальной сети. Существует несколько типов firewall ов, начиная от пакетных фильтров, встроенных в пограничные роутеры, которые могут обеспечивать управление доступом для IP-пакетов, до мощных firewall ов, которые могут закрывать уязвимости в большом количестве уровней семейства протоколов ТСР/IP, и еще более мощных firewall'ов, которые могут фильтровать трафик на основании всего содержимого пакета.Технологические возможности firewall ов с начала 1990-х годов существенно улучшились. Сперва были разработаны простые пакетные фильтры, которые постепенно развивались в более сложные firewall ы, способные анализировать информацию на нескольких сетевых уровнях. Сегодня firewall ы являются стандартным элементом любой архитектуры безопасности сети.Современные firewall ы могут работать совместно с такими инструментальными средствами, как системы обнаружения проникновений и сканеры содержимого e-mail или web с целью нахождения вирусов или опасного прикладного кода. Но в отдельности firewall не обеспечивает полной защиты от всех проблем, порожденных Интернетом. Как результат, firewall ы являются только одной частью архитектуры информационной безопасности. Обычно они рассматриваются как первая линия обороны, однако их лучше воспринимать как последнюю линию обороны в организации; организация в первую очередь должна делать безопасными свои внутренние системы. Для внутренних серверов, персональных компьютеров и других систем должны своевременно выполняться все обновления как самих систем, так и других систем обеспечения безопасности, например, антивирусного ПО.Займемся основными понятиями, связанными с firewall ами и политикой firewall а, на основании которой реализуется обеспечение безопасности сети. Рассмотрим понятия, относящиеся к выбору, развертыванию и управлению firewall ом и его функциональному окружению. Рассмотрим также возможные подходы к созданию различных топологий сети с использованием firewall ов.Данное описание в основном предназначено для технических специалистов, а также для управляющего персонала, которому могут потребоваться технические знания для принятия решений.Сначала сделаем обзор стека протоколов OSI и покажем, на каком уровне функционируют различные типы firewall ов, такие как пакетные фильтры, stateful inspection firewall ы и прикладные прокси.Затем опишем различные окружения firewall а, например, комбинации конкретных компонентов обеспечивающие то или иное решение. Приведем примеры расположения firewall ов и их взаимодействий с другими инструментальными средствами безопасности. Также опишем прочие функции современных firewall ов, такие как использование их в качестве конечных точек VPN, трансляция IP-адресов, фильтрация содержимого web или e-mail.Далее рассмотрим принципы, используемые при администрировании firewall ов и конфигурировании политики firewall а. Опишем политику firewall а, которой он должен соответствовать в контексте общей политики безопасности, а также сформулируем минимальную политику, которая может соответствовать многим окружениям. Наконец, опишем предложения по реализации и поддержке администрирования firewall а. Классификация firewall овFirewall ы являются устройствами или системами, которые управляют потоком сетевого трафика между сетями с различными требованиями к безопасности. В большинстве современных приложений firewall ы и их окружения обсуждаются в контексте соединений в Интернете и, следовательно, использования стека протоколов ТСР/IP. Однако firewall ы применяются и в сетевых окружениях, которые не требуют обязательного подключения к Интернету. Например, многие корпоративные сети предприятия ставят firewall ы для ограничения соединений из и во внутренние сети, обрабатывающие информацию разного уровня чувствительности, такую как бухгалтерская информация или информация о заказчиках. Ставя firewall ы для контроля соединений с этими областями, организация может предотвратить неавторизованный доступ к соответствующим системам и ресурсам внутри чувствительных областей. Тем самым, использование firewall а обеспечивает дополнительный уровень безопасности, который иначе не может быть достигнут.В настоящее время существует несколько типов firewall ов. Одним из способов сравнения их возможностей является перечисление уровней модели OSI, которые данный тип firewall а может анализировать. Модель OSI является абстракцией сетевого взаимодействия между компьютерными системами и сетевыми устройствами. Рассмотрим только уровни модели OSI, относящиеся к firewall ам.Стек протоколов модели OSI определяется следующим образом:
Исследуются существующие технологии firewall ов: пакетные фильтры, stateful inspection firewall ы, прокси прикладного уровня. Рассматривается также сервис NAT. Приводятся примеры использования firewall ов различного типа: выделенные прокси-серверы, host-based firewall ы, персональные firewall ы.
Классификация firewall ов и определение политики firewall а: версия для печати и PDA
Межсетевое экранирование
Интернет-Университет Информационных Технологий
INTUIT.ru::Интернет-Университет Информационных Технологий
Комментариев нет:
Отправить комментарий