Брандмауэры

Брандмауэры (Firewall) - основа безопасности локальных сетей.
Firewall основное средство защиты локальных сетей от нежелательных контактов
из вне, т.е из внешних сетей.

По принципу работы, по сопособу реализации различают несколько типов.

По исполнению бранмауэры деляться на два типа: софтварный и аппартный.

Самые надёжный это аппаратные ибо они не подвережны удару в спину, т.е когда
работа firewallа нарушается  из-за сбоя других элементов системы, как это может произойти
в случае использования софтварных. Плюс аппартаные работают быстрее.
Наиболее распространённым аппартным брандмауэром является Cisco PIX.

Но в целом любой брандмауэр софтварный или аппартный существенно повышают
безопасность, не требуя больших затрат.

По принципу работы брандмауэры разделяются на фильтрирующие,сервисные и анализирующие.

Фильтрирующие - наиболее распростанённый тип, контролирует трафик на предмет появления пакетов с определёнными наборами IP адресов и портов, и выполняет с ними указанные в настройках десйствия,- отвергает, перенаправляет или просто игнорирует пакеты.К примеру игнорирование широковещательных пакетов.

Сервисные брандмауэры - перхватывают входящие и исходящие запросы на соединения и устанавливают собственные подключения к сервисам в пределах подсети , играя роль преграждающего затвора.По своей архитектуре сервисные брендмауэры менее гибкие и быстродействующие,по сравнению с обычными фильтрами пакетов. Такие брандмауэры должны иметь специальныемодули декодирования и перенаправления пакетов для каждого протокола, трафик которогоон контролирует.
Сервисные брандмауэры на сегодняшний день не популярны, из-за того что современные
пользователи используют в своей работе одновременно массу протоколов.

Анализирующие брандмауэры - этот тип  занимается тем, что просматривает проходящий сковзь него трафик и проверяет на правильность ту информацию, которая содержится в пакетах.К примеру если в пакетах указывается что по определённому протоколу связь должна быть установлена с определённым портом, то брандмауэр должен удостовериться что запрос направиться именно к этому порту.

Софтварные брандмауэры чаще всего строяться на базе ОС Linux, как совмещающую в себя всю мощь операционных систем UNIX, и вместе с тем лишённая многих её недастатков в плане безопасности, плюс к этому Linux имеет быструю и гибкую реализацию стека TCP/IP, позволяющую практически всё, и даже лишнее.

Помимо Linux брандмауэры строят на ОС OpenBSD, но она проигрывает по производительности.

Некторые смелые администраторы ставят в качестве шлюзовых машин, компьютреы с
ОС Windows, но подобное рискованное решение редко, так как если брандмауэр является единственным механизмом защиты, то сломавшаяся ось (в любом другом месте) может октрыть доступ всем жилающим.

Дополнения и исправление ожидаются.

Основные определения

Брандмауэр или Файрвол — это аппаратный или программный комплекс, в данном случае программа, через которую проходит весь траффик к вашему компьютеру (либо же к локальной сети) и осуществляется определенный контроль над этим траффиком.

Сообщение отредактировано: vot - 28.09.03, 14:14

Поскольку фаервол является шлюзом во внешнюю сеть, на практике эти продукты интегрируют с VPN и IDS, иногда с антвирусами.
Аппаратные фаерволы - апплайнсы с залитым софтом. Здесь не все так здорово. Часто эти апплайнсы представляют собой обычные писюки (только маленькие) и соответсвенно, изготовитель заливает туда обычную ОС и програмный фаервол (так поступают многие, если не все, отечественные производители) - соответственно тот же самый подукт, но приходится еще платить накрутку на сам апплайнс. С другой стороны это позволяет производителям быстро менять аппаратную платформу, создавать более производительные продукты. В продуктах Ciso своя секюрная ОС, и это действительно самостоятельный продукт.
Я воосновном встречал продукты, которые сначала писалиь для Solaris, эта ОС обладает мощной (очень детальной) схемой регистрации событий, что благоприятно сказывается на работе интегрированной IDS (если таковая имеется). Solaris - комерческий продукт с регулярными патчами, и серьезно протестированной безопасностью.

По настройке брандмауэров рекомендую книгу Циглера "Брандмауэры в Линукс".
Можно купить по сети: http://www.books.ru/shop/books/8394
IMHO - вещь!

[^Y by vot]

Сообщение отредактировано: vot - 28.09.03, 14:15

[^Y by vot]

Сообщение отредактировано: vot - 28.09.03, 14:15