Die Brandmauer

Die Brandmauer ist ein System oder die Kombination der Systeme, zulassend, das Netz auf zwei oder mehrerer Teile zu teilen und den Satz zu realisieren lenkte, bestimmend die Bedingungen des Durchganges der Pakete aus einem Teil in andere (der cm der Abb. 1). In der Regel, diese Grenze wird zwischen dem lokalen Netz des Unternehmens und INTERNET durchgeführt, obwohl man sie und innerhalb des lokalen Netzes des Unternehmens durchführen kann. Die Brandmauer versäumt durch sich den ganzen Verkehr so. Für jedes gehende Paket fasst die Brandmauer die Lösung, es zu versäumen oder, zurückzuwerfen., Damit die Brandmauer diese Lösungen fassen konnte, muss er den Satz bestimmen lenkte. Das, wie diese Regeln auch welche Parameter beschrieben werden werden bei ihrer Beschreibung die Rede niedriger verwendet.

In der Regel, die Brandmauern funktionieren auf irgendwelchem UNIX dem Bahnsteig - meistens es BSDI, SunOS, AIX, IRIX usw., ist - DOS, VMS, WNT, Windows NT seltener. Aus den Hardwarebahnsteigen treffen sich INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, die Familie RISC der Prozessoren R4400-R5000. Außer Ethernet, viele Brandmauern unterstützen FDDI, Token Ring, 100Base-T, 100VG-AnyLan, verschiedene Serieneinrichtungen. Die Forderungen zum Arbeitsspeicher und dem Umfang der Festplatte hängen von der Zahl der Wagen im geschützten Segment des Netzes ab, aber meistens ist es empfehlenswert, nicht weniger 32Мб den RaM und 500 mb auf der Festplatte zu haben.

In der Regel, an das Betriebssystem, unter der Leitung von dem die Brandmauer arbeitet werden die Änderungen, deren Ziel - die Erhöhung des Schutzes der Brandmauer vorgenommen. Diese Veränderungen berühren wie der Kern der Wespen, als auch die entsprechenden Dateien der Konfiguration. Auf der Brandmauer wird es nicht erlaubt, die Rechnungen der Benutzer (so und der potentiellen Löcher), nur die Rechnung des Verwalters zu haben. Einige Brandmauern arbeiten nur im Einanwenderregime. Viele Brandmauern haben das System der Prüfung der Ganzheit der Programmkodes. Dabei werden die Kontrollsummen der Programmkodes an der geschützten Stelle bewahrt und werden beim Start des Programms zur Vermeidung der Auswechselung der Software verglichen.

Alle Brandmauern kann man auf drei Typen teilen:

  • Die Stapelfilter (packet filter)
  • Des Servers des angewandten Niveaus (application gateways)
  • Des Servers des Niveaus der Vereinigung (circuit gateways)
Alle Typen können sich in einer Brandmauer gleichzeitig treffen.

Die Stapelfilter

Die Brandmauern mit den Stapelfiltern fassen die Lösung darüber, das Paket zu versäumen oder, zurückzuwerfen, die IP-Adressen, die Fahnen oder die Nummern TCP der Häfen im Titel dieses Paketes durchsehend. Die IP-Adresse und die Nummer des Hafens ist Informationen der Netz- und Transportniveaus entsprechend, aber die Stapelfilter verwenden auch die Informationen des angewandten Niveaus, da sich alle standardmäßigen Services in TCP/IP mit einer bestimmten Nummer des Hafens vereinigen.

Für die Beschreibung der Regeln des Durchganges der Pakete werden die Tabellen des Typs gebildet:

Die Handlung Der Typ des Paketes Die Adresse источн. Der Hafen источн. Die Adresse назнач. Der Hafen назнач. Die Fahnen
Das Feld die "Handlung" kann die Bedeutungen zu versäumen übernehmen oder, zurückzuwerfen.
Der Typ des Paketes - TCP, UDP oder ICMP.
Die Fahnen - die Fahnen aus dem Titel IP-Pas-Ketalachs.
Die Felder "den Hafen der Quelle" und "den Bestimmungshafen" haben den Sinn nur für TCP und UDP der Pakete.

Des Servers des angewandten Niveaus verwenden die Brandmauern mit den Servern des angewandten Niveaus des Servers der konkreten Services - TELNET, FTP usw. (proxy server), gestartet auf der Brandmauer und versäumend durch sich den ganzen Verkehr, der sich zum gegebenen Service verhält. So bilden sich zwischen dem Kunden und dem Server zwei Vereinigungen: vom Kunden bis zur Brandmauer und von der Brandmauer bis zum Bestimmungsort. Der volle Satz der unterstützten Server wird für jede konkrete Brandmauer unterschieden, jedoch treffen sich meistens des Servers für die folgenden Services:

  • Die Terminale (Telnet, Rlogin)
  • Die Sendung der Dateien (Ftp)
  • Die elektronische Post (SMTP, POP3)
  • WWW (HTTP)
  • Gopher
  • Wais
  • X Window System (X11)
  • Der Drucker
  • Rsh
  • Finger
  • Die Neuheiten (NNTP) usw.
Die Nutzung der Server des angewandten Niveaus lässt zu die wichtige Aufgabe zu lösen, - von den äusserlichen Benutzern die Struktur des lokalen Netzes, einschließlich die Informationen in den Titel der postalischen Pakete oder den Dienst der Hochofennamen (DNS) zu verbergen. Andere positive Qualität ist die Möglichkeit аутентификации auf dem Anwenderniveau (аутентификация - der Prozess der Bestätigung der Identität etwas; in diesem Fall ist es der Prozess der Bestätigung, ob wirklich der Benutzer der, für er sich wen ausgibt ist). Ein wenig ausführlicher wird über аутентификации niedriger gesagt sein. Bei der Beschreibung der Regeln des Zuganges werden solche Parameter wie der Titel des Services, den Namen des Benutzers, zulässig vorübergehend der Umfang der Nutzung des Services, die Computer verwendet, von denen man den Service, des Schemas аутентификации benutzen kann. Des Servers der Protokolle des angewandten Niveaus lassen zu, das höchste Niveau des Schutzes - die Wechselwirkung mit äusserlich der Welten zu gewährleisten wird durch die kleine Zahl der angewandten Programme, die den ganzen eingehenden und hinausgehenden Verkehr vollständig kontrollieren realisiert.

Des Servers des Niveaus der Vereinigung stellt der Server des Niveaus der Vereinigung von sich den Compiler TCP der Vereinigung vor. Der Benutzer bildet die Vereinigung mit einem bestimmten Hafen auf der Brandmauer, wonach der Letzte die Vereinigung mit dem Bestimmungsort auf anderer Seite von der Brandmauer erzeugt. Während der Sitzung kopiert dieser Compiler die Bytes in beiden Richtungen, wie die Leitung geltend. In der Regel, der Bestimmungsort protzt im Voraus, während der Quellen viel sein kann (die Vereinigung des Typs ein - viel). Verschiedene Häfen verwendend, kann man verschiedene Konfigurationen schaffen. Solcher Typ des Servers lässt zu, den Compiler für einen beliebigen mit dem Benutzer bestimmten Service zu schaffen, der sich auf TCP stützt, die Kontrolle des Zuganges auf diesen Service, die Gebühr der Statistik nach seiner Nutzung zu verwirklichen.

Die vergleichenden Charakteristiken sind die Hauptvorteile und die Mängel der Stapelfilter und der Server des angewandten Niveaus verhältnismäßig einander niedriger gebracht. Auf die positiven Qualitäten der Stapelfilter ist nötig es die Folgenden zu bringen:

  • Der verhältnismäßig nicht hohe Wert
  • Die Flexibilität in der Bestimmung der Regeln der Filtrierung
  • Der kleine Verzug beim Durchgang der Pakete
Die Mängel beim gegebenen Typ der Brandmauern die Folgenden:
  • Das lokale Netz ist (маршрутизируется) aus INTERNET sichtbar
  • Die Regeln der Filtrierung der Pakete sind in der Beschreibung schwierig, es wird das sehr gute Wissen der Technologien TCP und UDP gefordert
  • Beim Verstoß der Arbeitsfähigkeit der Brandmauer werden alle Computer hinter ihm vollständig schutzlose oder unzugänglich
  • аутентификацию mit der Nutzung der IP-Adresse kann man von der Nutzung Ip-spufinga (betrügen das angreifende System wird sich für andere ausgeben, ihre IP-Adresse verwendend)
  • Fehlt аутентификация auf dem Anwenderniveau
Auf die Vorteile der Server des angewandten Niveaus ist nötig es die Folgenden zu bringen:
  • Das lokale Netz ist aus INTERNET unsichtbar
  • Beim Verstoß der Arbeitsfähigkeit der Brandmauer hören die Pakete auf, durch die Brandmauer zu gehen, entsteht die Drohungen für die damit geschützten Wagen dadurch nicht
  • Der Schutz auf der Höhe der Anlagen lässt zu, die große Menge der zusätzlichen Prüfungen zu verwirklichen, dadurch die Wahrscheinlichkeit des Einbruches mit der Nutzung der Löcher in der Software verringernd
  • аутентификация auf dem Anwenderniveau kann das System der unverzüglichen Warnung vor dem Versuch des Einbruches realisiert sein.
Die Mängel dieses Typs sind:
  • Höher, als für die Stapelfilter der Wert;
  • Die Unmöglichkeit die Nutzung der Protokolle RPC und UDP;
  • Die Produktivität ist niedriger, als für die Stapelfilter es.

Die Reihe der Brandmauern lässt die virtuellen Netze auch zu, die virtuellen korporativen Netze zu organisieren (Virtual Private Network), d.h. etwas lokaler Netze zu vereinigen, die in INTERNET in ein virtuelles Netz aufgenommen sind. VPN lassen zu, durchsichtig für die Benutzer die Vereinigung der lokalen Netze zu organisieren, die Geheimhaltung und die Ganzheit der übergebenen Informationen mit Hilfe der Chiffrierung aufsparend. Dabei werden bei der Sendung nach INTERNET nicht nur die Daten des Benutzers, sondern auch die Netzinformationen - die Netzadressen, der Nummer der Häfen usw. chiffriert

Die Schemen des Anschließens

Für das Anschließen der Brandmauern werden verschiedene Schemen verwendet. Die Brandmauer kann als äusserlich роутера verwendet werden, die unterstützten Typen der Einrichtungen für das Anschließen zum äusserlichen Netz (dem cm der Abb. 1) verwendend. Manchmal wird das Schema verwendet, das нарис 3, jedoch zu benutzen sie dargestellt ist es ist nötig nur für den äussersten Fall, da die sehr akkurate Abstimmung роутеров gefordert wird und die kleinen Fehler können die ernsten Löcher im Schutz bilden.

Wenn die Brandmauer zwei Ethernet des Interfaces (sogenannt dual-homed die Brandmauer unterstützen kann), so verwirklicht sich meistens das Anschließen durch den äusserlichen Router (den cm der Abb. 4).

Dabei gibt es zwischen äusserlich роутером und der Brandmauer nur einen Weg, nach dem den ganzen Verkehr geht. Gewöhnlich stellt sich роутер so ein dass die Brandmauer ein einziger sichtbarer außen Wagen ist. Dieses Schema ist bevorzugtest vom Gesichtspunkt der Sicherheit und der Zuverlässigkeit des Schutzes. Anderes Schema ist auf der Abb. 5 vorgestellt.

Dabei verteidigt sich von der Brandmauer nur eine подсеть von einigen hinausgehend роутера. Auf dem mit der Brandmauer nicht geschützten Gebiet verfügen die Server, die außen (WWW, FTP usw. sichtbar sein sollen) häufig. Einige Brandmauern bieten an, dieser des Servers darauf - die Lösung aufzustellen, bei weitem existieren best vom Gesichtspunkt der Auslastung des Wagens und der Sicherheit der Brandmauer die Lösungen (die cm der Abb. 6), die zulassen für die Server zu organisieren, die außen, das dritte Netz sichtbar sein sollen; es lässt zu, die Kontrolle über den Zugang auf ihn zu gewährleisten, gleichzeitig das notwendige Niveau des Schutzes der Wagen im Hauptnetz aufsparend.

Dabei wird genug die Aufmerksamkeit zugeteilt, dass die Benutzer des inneren Netzes zufällig oder das Loch ins lokale Netz durch dieser des Servers vorsätzlich nicht öffnen können. Für die Erhöhung des Niveaus der Geborgenheit ist es möglich, in einem Netz etwas Brandmauern zu verwenden, die nacheinander stehen.

Das Administrieren die Leichtigkeit des Administrierens ist einer der Schlüsselaspekte in der Bildung des wirksamen und sicheren Systems des Schutzes. Die Fehler können bei der Bestimmung der Regeln des Zuganges das Loch bilden, durch das das System aufgebrochen sein kann. Deshalb in der Mehrheit der Brandmauern sind die Servicetools, die die Einführungen erleichtern, die Entfernung, die Durchsicht des Satzes der Regeln realisiert. Das Vorhandensein dieser Tools lässt auch zu, die Prüfungen auf die syntaktischen oder logischen Fehler bei der Einführung oder der Editierung der Regeln zu erzeugen. In der Regel, diese Tools lassen zu, die Informationen, die nach welche oder den Kriterien gruppiert sind - zum Beispiel, durchzusehen, aller verhält sich was zum konkreten Benutzer oder dem Service.

Die Systeme der Gebühr der Statistik und der Warnung vor dem Angriff Noch eine wichtige Komponente der Brandmauer ist das System der Gebühr der Statistik und der Warnung vor dem Angriff. Die Informationen über alle Ereignisse - die Absagen, die eingehen, die hinausgehenden Vereinigungen, die Zahl übergeben das Byte, die verwendeten Services, der Zeit der Vereinigung usw. - werden in den Dateien der Statistik angesammelt. Viele Brandmauern erlauben biegsam, die dem Protokollieren unterliegenden Ereignisse zu bestimmen, die Handlungen der Brandmauer bei den Angriffen oder den Versuchen des unbefugten Zuganges zu beschreiben ist es kann die Mitteilung auf die Konsole sein, das postalische Schreiben kann dem Verwalter des Systems usw. die Unverzügliche Schlussfolgerung der Mitteilung vom Versuch des Einbruches auf den Bildschirm der Konsole oder des Verwalters helfen, wenn sich der Versuch erfolgreich erwiesen hat und angreifend schon ist ins System durchgedrungen. Zum Bestand vieler Brandmauern gehören die Generatoren der Berichte, die Angestellten für die Bearbeitung der Statistik. Sie lassen zu, die Statistik nach der Nutzung der Ressourcen von den konkreten Benutzern, nach der Nutzung der Services, den Absagen, den Quellen zu sammeln, von denen die Versuche des unbefugten Zuganges usw. durchgeführt wurden

Autentifikazija Autentifikazija ist eine der wichtigsten Komponenten der Brandmauern. Bevor dem Benutzer das Recht gewährt sein wird, diesen oder jenen Service auszunutzen, muss man sich überzeugen, dass er der wirklich ist, für er sich wen ausgibt (es wird angenommen, dass dieser Service für den gegebenen Benutzer erlaubt ist: der Prozess der Bestimmung, welche Services sind erlaubt heißt von der Autorisation. Die Autorisation wird im Kontext аутентификации - kaum der Benutzer аутентифицирован gewöhnlich betrachtet, für ihn klären sich die ihm erlaubten Services). Bei dem Erhalten der Anfrage auf die Nutzung des Services im Namen irgendwelchen Benutzers, die Brandmauer prüft, welche Weise аутентификации für den gegebenen Benutzer bestimmt ist und übergibt die Verwaltung dem Server аутентификации. Nach dem Erhalten der positiven Antwort vom Server аутентификации bildet die Brandmauer die vom Benutzer angeforderte Vereinigung. In der Regel, wird das Prinzip, das den Titel bekam "verwendet dass er weiß" - d.h. Der Benutzer weiß einiges geheimes Wort, das er dem Server аутентификации als Antwort auf seine Anfrage schickt. Eines der Schemen аутентификации ist die Nutzung standardmäßig UNIX der Parolen. Dieses Schema ist am meisten verwundbar vom Gesichtspunkt der Sicherheit - die Parole kann von anderer Person aufgefangen und verwendet sein. Meistens werden die Schemen mit der Nutzung der einmaligen Parolen verwendet. Sogar wird als aufgefangen, diese Parole bei der nächsten Registrierung vergeblich sein, und, die folgende Parole aus vorhergehend zu bekommen ist äußerst harte Nuss. Für die Erzeugung der einmaligen Parolen werden wie programm- verwendet, als auch die Hardwaregeneratoren - stellen die Letzten von sich die Einrichtungen vor, die in слот den Computer eingestellt werden. Das Wissen des geheimen Wortes ist dem Benutzer für die Anführung dieser Einrichtung in die Handlung notwendig. Die Reihe der Brandmauern unterstützen Kerberos - eine der am meisten verbreiteten Methoden аутентификации. Einige Schemen fordern die Veränderung der Kundensoftware - der Schritt, der bei weitem nicht immer annehmbar ist. In der Regel, alle kommerziellen Brandmauern unterstützen etwas verschiedener Schemen, dem Verwalter zulassend, am meisten annehmbar für die Bedingungen auszuwählen.



Яндекс цитирования

Subscribe Subscribe.Ru
The Family Tree of Family