|
Существует три основных типа брандмауэров, в зависимости от того, на каком уровне брандмауэр осуществляет фильтрацию. Ранние брандмауэры фильтровали только на одном уровне, обычно пакетном. Большинство современных брандмауэров использует многоуровневую фильтрацию, что обеспечивает большую безопасность. Многоуровневый брандмауэр выполняет два и более уровней фильтрации из приведенных далее:
¦ фильтрация уровня приложения. Эти три уровня фильтрации и их связь с сетевой моделью OSI более подробно обсуждаются в следующих разделах. Фильтрация пакетов Первыми брандмауэрами были брандмауэры с фильтрацией пакетов, работающие на сетевом уровне модели OSI. Они анализируют заголовки пакетов, содержащих IP-адреса и свойства пакета, и блокируют или пропускают трафик через брандмауэр на основе полученной информации. Брандмауэр с фильтрацией пакетов использует одну из трех технологий: ¦ статическая фильтрация пакетов: правила устанавливаются вручную, а кон кретные порты остаются открытыми или закрытыми до тех пор, пока они не
¦ динамическая фильтрация пакетов: более интеллектуальная фильтрация, при которой правила изменяются динамически, основываясь на событиях или усло
¦ фильтрация с отслеживанием состояний соединений: используется таблица для сохранения состояний соединения в сессиях и пакеты проходят в последова тельности, определенной политиками фильтра.
Фильтрация уровня канала
Брандмауэр с фильтрацией уровня канала, или шлюз канального уровня, работает на транспортном и сеансовом уровнях модели OSI. Он исследует информацию квитирования протокола TCP, пересылаемую между компьютерами, для определения легитимности сеансового запроса. Фильтры уровня канала работают на более высоком уровне модели OSI — на транспортном уровне (уровень хост-хост модели DoD). Фильтры уровня канала ограничивают доступ на основе хост-машин (а не пользователей), обрабатывая информацию в заголовках пакетов TCP и UDP. Это позволяет администраторам создавать фильтры, например запрещающие любому, использующему компьютер А, получать доступ с помощью FTP на компьютер В. При использовании фильтров уровня канала контроль доступа основан на потоках данных TCP или диаграммах UDP. Фильтры уровня канала могут работать на основании статусных флагов TCP и UDP и информации упорядочивания, кроме адресов источника и назначения и номеров портов. Фильтрация уровня канала позволяет администраторам анализировать сеансы, а не каналы. Сеанс рассматривается как аналог соединения, но в действительности сеанс может состоять более чем из одного соединения. Сеансы устанавливаются только в ответ на запрос пользователя, что обеспечивает дополнительную безопасность. Фильтры уровня канала не ограничивают доступ, основываясь на информации о пользователе; они также не могут интерпретировать значение пакетов. То есть они не могут различить команды GET и PUT, посылаемые программным приложением. Для этого используется фильтрация уровня приложения.
|
Изучаем ISA Server | icuwa, web сервер, proxy сервер - Все права защищены!