і міжмережевого протоколу. Завдяки своїй популярності TCP/IP став стандартом де фактора для міжмережевоговзаємодії. p> У заголовках пакетів TCP/IP зазначається інформація, яка може піддатися нападам хакерів. Зокрема, хакер може підмінити адресу відправника у своїх "Шкідливих" пакетах, після чого вони будуть виглядати, як пакети, передаються авторизованим клієнтом. p>
7.Функціональние вимоги та компоненти міжмережевих екранів Функціональні вимоги до міжмережевих екранів включають:
Г? вимоги до фільтрації на мережевому рівні;
Г? вимоги до фільтрації на прикладному рівні;
Г? вимоги щодо налаштуванні правил фільтрації та адміністрування;
Г? вимоги до засобам мережевий аутентифікації;
Г? вимоги щодо впровадженню журналів та обліку. p> Більшість компонентів міжмережевих екранів можна віднести до однієї з трьох категорій:
Г? фільтруючі маршрутизатори;
Г? шлюзи мережевого рівня;
Г? шлюзи прикладного рівня. p> Ці категорії можна розглядати як базові компоненти реальних міжмережевих екранів. Лише небагато міжмережеві екрани включають тільки одну з перерахованих категорій. Тим Проте, ці категорії відображають ключові можливості, що відрізняють міжмережеві екрани один від одного. p> 8. Фільтруючі маршрутизатори
Фільтруючий маршрутизатор являє собою маршрутизатор або працюючу на сервері програму, сконфігуровані таким чином, щоб фільтрувати вхідне і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, міститься в TCP-і IP-заголовках пакетів. p> Фільтруючі маршрутизатори звичайно може фільтрувати IP-пакет на основі групи наступних полів заголовка пакету:
В§ IP-адреса відправника (адреса системи, яка послала пакет);
В§ IP-адреса одержувача (адреса системи, яка приймає пакет);
В§ порт відправника (Порт з'єднання в системі відправника);
В§ порт одержувача (Порт з'єднання в системі одержувача);
Порт - це програмне поняття, яке використовується клієнтом або сервером для посилки або прийому повідомлень; порт ідентифікується 16 - бітовим числом. p> В даний час не всі фільтруючі маршрутизатори фільтрують пакети по TCP/UDP - порт відправника, однак багато виробників маршрутизаторів почали забезпечувати таку можливість. Деякі маршрутизатори перевіряють, з якого мережевого інтерфейсу маршрутизатора прийшов пакет, і потім використовують цю інформацію як додатковий критерій фільтрації. p> Фільтрація може бути реалізована різним чином для блокування з'єднань з певними хост - комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що надходять від конкретних адрес тих хост-комп'ютерів і мереж. які вважаються ворожими або ненадійними. p> Додавання фільтрації по портах TCP і UDP до фільтрації по IP-адресами забезпечує більшу гнучкість. Відомо, що такі сервери, як домен TELNET, зазвичай пов'язані з конкретними портами (наприклад, порт 23 протоколу TELNET). Якщо міжмережевий екран може блокувати з'єднання TCP або UDP з певними портами або від них, то можна реалізувати політику безпеки, при якій деякі види з'єднань встановлюються тільки з конкретними хост - комп'ютерами. p> До позитивних якостей фільтруючих маршрутизаторів слід віднести:
Гј порівняно невисоку вартість;
Гј гнучкість у визначенні правил фільтрації;
Гј невелику затримку при проходженні пакетів. p> Недоліками фільтруючих маршрутизаторів є:
Г» внутрішня мережа видно (маршрутізіруєтся) з мережі Internet правила фільтрації пакетів важкі в описі і вимагають дуже хороших знань технологій TCP і UDP;
Г» при порушенні працездатності брандмауера з фільтрацією пакетів всі комп'ютери за ним стають повністю незахищеними або недоступними;
Г» аутентифікацію з використанням IP-адреси можна обдурити шляхом підміни IP-адреси (атакуюча система видає себе за іншу, використовуючи її IP-адреса);
Г» відсутня аутентифікація на рівні користувача. p> 9.Шлюзи мережевого рівня
Шлюз мережевого рівня іноді називають системою трансляції мережевих адрес або шлюзом сеансового рівня моделі OSI. Такий шлюз виключає, пряма взаємодія між авторизованим клієнтом і зовнішнім хост-комп'ютером. Шлюз мережевого рівня приймає запит довіреної клієнта на конкретні послуги, і після перевірки допустимості запитаного сеансу встановлює з'єднання із зовнішнім хост - комп'ютером. Після цього шлюз копіює пакети в обох напрямках, не здійснюючи їх фільтрації. p> Шлюз стежить за підтвердженням (квітірованіем) зв'язку між авторизованим клієнтом і зовнішнім хост - комп'ютером, визначаючи, чи є запитуваний сеанс зв'язку допустимим. p> Фактично більшість шлюзів мережевого рівня не є самостійними продуктами, а поставляються в комплекті зі шлюзами прикладного рівня. Прикладами таких шлюзів є Gauntlet Internet Firewall компанії Trusted Information Systems, Alta Vista Firewa...
