Главная Web Особенности использования брандмауэра


Особенности использования брандмауэра

В основном Internet-брандмауэры сначала исследуют (работают на 3 и 4 уровнях), а потом разрешают или блокируют входящие и исходящие сетевые трафики. Списки управления доступом (ACL), составленные администратором, определяют порты и IP-адреса трафика (независимо от того, блокируемый он или разрешенный).

Особое внимание необходимо обратить на сетевые порты, которые используются в механизмах связи между сетевыми приложениями через брандмауэры.

Возьмем, к примеру, клиентский браузер, который устанавливает связь с Web-сервером с другой стороны брандмауэра (как элементарное обращение к Web-серверу в Internet). Для

инициирования исходящего соединения необходимо запустить браузер и нацелить его на Web-узел, отправить последовательность IP-пакетов (состоящих из заголовка и иных атрибутов пакета) с полезной информацией о маршруте. Они чаще всего состоят из IP-адреса источника (адрес компьютера, с которого пользователь выходит в Web) и места назначения (3 уровень ) и протокола пакета (4уровень ). Протокол и порт назначения TCP 80, а порт источника обычно назначаемое число, больше 1024. Во время перемещения по Web, IP-адрес назначения принадлежит Web-серверу и полезная информация в данном случае это запрос на предоставление Web-страницы, который генерируется приложением пользователя.

Большинство компаний разрешают из своей сети весь исходящий трафик. Брандмауэр, анализируя этот трафик, разрешает его в соответствии со своими правилами. Но минусом этого является низкая безопасность, так как любой вирус, например "троянский конь", может заразить не только компьютеры в сети, но и отправить его другим компьютерам в Internet.Поэтому для блокирования такой исходящей информации необходимо составлять списки управления доступом.

Такой подход упрощает настройку и развертывание, но из-за отсутствия контроля данных, покидающих сеть, снижается безопасность. Например, "троянский конь" может заразить компьютер в сети предприятия и посылать информацию с этого компьютера другому компьютеру в Internet. Имеет смысл составить списки управления доступом для блокирования такой исходящей информации.

А вот входящую информацию большинство брандмауэров блокируют. Как исключение есть 2 способа входящего трафика: это поступление трафика на входящий запрос ( когда указывают в браузере адрес Web-страницы) и размещение в Internet внутренней службы, ( это может быть Web- или FTP-узел, почтовый сервер и др.), так называемой трансляции порта или публикацией сервера.

Не смотря на различные способы реализации трансляции порта, в ее основе лежит единый принцип. Внутренний сервер для размещения службы и сами службы ( к примеру, такие как TCP-порт 80 для Web-сервера )определяет администратор и при поступлении пакетов через внешний интерфейс, механизм трансляции портов пересылает их на конкретный компьютер сети, скрытый за брандмауэром. Чаще всего при трансляция порта используется служба NAT.

 

Читайте нас:

Голосование

Какой раздел вам наиболее интересен?
 
Яндекс.Метрика /index.php?option=com_content&view=article&id=98:2010-09-11-22-42-03&catid=44:web&Itemid=121
rss
Карта