стору мережі (у внутрішній підмережі може використовуватися локальна система адресації серверів);
o приховування IP адрес внутрішніх серверів з метою захисту від хакерів.
Брандмауери можуть працювати на різних рівнях протоколів моделі OSI.
На мережевому рівні виконується фільтрація вступників пакетів, заснована на IP адресах (наприклад, не пропускати пакети з Інтернету, спрямовані на ті сервери, доступ до яких зовні заборонено; не пропускати пакети з фальшивими зворотними адресами або IP адресами, занесеними до В«чорного спискуВ», і т.д.). На транспортному рівні фільтрація припустима ще й за номерами портів ТСР і прапорів, що містяться в пакетах (наприклад, запитів на встановлення з'єднання). На прикладному рівні може виконуватися аналіз прикладних протоколів (FTP, HTTP, SMTP і т.д.) і контроль за змістом потоків даних (заборона внутрішнім абонентам на отримання будь-яких типів файлів: рекламної інформації або виконуваних програмних модулів, наприклад).
Можна в брандмауері створювати і експертну систему , яка, аналізуючи трафік, діагностує події, що можуть становити загрозу безпеці внутрішньої мережі, і сповіщає про це адміністратора. Експертна система здатна також у разі небезпеки (спам, наприклад) автоматично посилювати умови фільтрації і т.д.
В
3.вид брандмауерів
Брандмауери бувають апаратними або програмними.
Апаратний брандмауер представляє собою пристрій, фізично підключається до мережі. Це пристрій відстежує всі аспекти вхідного і вихідного обміну даними, а також перевіряє адреси джерела і призначення кожного оброблюваного повідомлення. Це забезпечує безпеку, допомагаючи запобігти небажані проникнення в мережу або на комп'ютер. Програмний брандмауер виконує ті ж функції, використовуючи не зовнішній пристрій, а встановлену на комп'ютері програму.
На одному і тому ж комп'ютері можуть використовуватися як апаратні, так і програмні брандмауери.
4.Преімущества використання брандмауера
Брандмауер являє собою захисну межу між комп'ютером (або комп'ютерною мережею) і зовнішньої середовищем, користувачі або програми якої можуть намагатися отримати несанкціонований доступ до комп'ютера. Зазвичай зломщики використовують спеціальні програми для пошуку в Інтернеті незахищених підключень. Така програма відправляє на комп'ютер дуже маленьке повідомлення. За відсутності брандмауера комп'ютер автоматично відповідає на повідомлення, виявляючи свою незахищеність. Встановлений брандмауер отримує такі повідомлення, але не відповідає на них; таким чином, зломщики навіть не підозрюють про існування даного комп'ютера. <В
5.Уровень небезпеки
Існує кілька шляхів звести нанівець або піддати ризику брандмауерних захист. І хоча вони все погані, про деякі можна з упевненістю говорити як про самих неприємних. Виходячи з того, що основною метою встановлення більшості брандмауерів є блокування доступу, очевидно, що виявлення будь-ким лазівки, що дозволяє проникнути в систему, веде до повного краху всієї захисту даної системи. Якщо ж несанкціонованому користувачеві вдалося проникнути в брандмауер і переконфігурувати його, ситуація може прийняти ще більш загрозливого характер. З метою розмежування термінології приймемо, що в першому випадку ми маємо справу зі зломом брандмауерних захисту, а в другому - з повним її руйнуванням. Ступінь шкоди, що може спричинити за собою руйнування брандмауерних захисту, визначити неймовірно складно. Найбільш повні відомості про надійність такої захисту може дати тільки інформація про розпочатої спробі злому, зібрана цим брандмауером. Найгірше відбувається з системою захисту саме тоді, коли при повному руйнуванні брандмауера не залишається ні найменших слідів, що вказують на те, як це відбувалося. У кращому ж випадку брандмауер сам виявляє спробу злому і ввічливо інформує про це адміністратора. Спроба при цьому приречена на провал. p> Один з способів визначити результат спроби злому брандмауерних захисту - перевірити стан речей в так званих зонах ризику. Якщо мережа під'єднана до Internet без брандмауера, об'єктом нападу стане вся мережа. Така ситуація сама по собі не припускає, що мережа стає вразливою для кожної спроби злому. Однак якщо вона під'єднується до загальної небезпечною мережі, адміністратору доведеться забезпечувати безпеку кожного вузла окремо. У разі утворення проломи в брандмауері зона ризику розширюється і охоплює всю захищену мережу. Зломщик, що отримав доступ до входу в брандмауер, може вдатися до методу "захоплення островів" і, користуючись брандмауером як базою, охопити всю локальну мережу. Подібна ситуація все ж дасть слабку надію, бо порушник може залишити сліди в брандмауері, і його можна буде викрити. Якщо ж брандмауер повністю виведений з ла...
