Вы находитесь на странице: 1из 14

Карагандинский технический университет имени Абылкаса Сагинова

ДОКЛАД
на тему “Firewall”

Выполнил: Самат Манас


Проверил: преподаватель Казиева Камила
Ергалыевна

Караганда 2022

1
СОДЕРЖАНИЕ
1. ВСТУПЛЕНИЕ………………………………………3
2. НЕОБХОДИМОСТЬ В БРАНДМАУЗЕРАХ………4
3. АРХИТЕКТУРА БРАНДМАУЗЕРА……………….5
4. ФИЛЬТРАЦИЯ ПАКЕТОВ…………………………6
5. ПРОКСИ……………………………………………..7
6.МЕЖСЕТЕВЫЕ БРАНДМАУЗЕРЫ………………..8
7. ДИНАМИЧНЫЕ ФИЛЬТРЫ БРАНДМАУЗЕРА…9
8. ОТ ЧЕГО БРАНДМАУЗЕР НЕ ЗАЩИТИТ?..........10
9. ДАТА ПРОХОДЯЩИЯ
СКВОЗЬ БРАНДМАУЗЕР…………………………11
10. VPN ТУННЕЛИ.......................................................12
11. ЗАКЛЮЧЕНИЕ…………………………………...13

2
ВСТУПЛЕНИЕ
Возрастающая сложность сетей и необходимость
сделать их более открытыми из-за растущего
внимания и привлекательности Интернета как среды
для деловых операций означает, что сети становятся
все более и более подвергается атакам как извне, так и
изнутри.
Идет поиск механизмов и методов защиты
внутренних сетей от таких атак. Один из защитных
механизмов, находящийся под пристальным
вниманием, —брандмауэр.
Брандмауэр защищает сеть, охраняя точки входа в
нее.
С каждым днем брандмауэры становятся все более
изощренными, и появляются новые функции,
постоянно дополняется, так что, несмотря на критику
в свой адрес и тенденции развития, угрожающие им,
они по-прежнему являются мощным защитным
механизм.
В этом докладе представлен обзор технологий
брандмауэра.

Ключевые слова: межсетевые экраны, сетевая


безопасность, контроль доступа,
безопасность,политика, защитные механизмы.

3
НЕОБХОДИМОСТЬ В
БРАНДМАУЗЕРАХ
1. Предотвращение доступа к информации: национальные
брандмауэры (пытаются) ограничить действия своих пользователей
в Интернете, например Китай. Похожая идея в США — Акт об
защите детей в интернете (CHIPA), который требует фильтрации
определенной информации. Этот закон требует что бы школы и
библиотеки, получающие федеральное финансирование,
блокировали определенные классы веб-контента.

2. Предотвращение утечки информации: поскольку весь трафик,


покидающий сеть, должен проходить через брандмауэр, его можно
использовать для уменьшения утечек информации.

3. Применение политики: брандмауэры являются частью общей


политики безопасности; они соблюдают правила к какому сетевому
трафику разрешено входить или выходить из сети. Эти правила
ограничивают использование определенных приложений,
ограничить доступ к удаленным машинам и/или ограничить
пропускнную способность.

4. Аудит: если происходит нарушение безопасности (которое не


включает брандмауэр), можно использовать журналы аудита. чтобы
помочь определить, что произошло. Журналы аудита также
использовались для наблюдения за сотрудниками, например, за
использование ресурсов рабочей сети в нерабочих целях.

4
АРХИТЕКТУРА БРАНДМАУЗЕРА
Брандмауэры варьируются от простых машин,
предназначенных для покупки «готовых» и установки
человеком, не обладающим навыками сетевой безопасности
в сложные, многомашинные пользовательские установки,
используемые в крупных организациях.

Независимо от их сложности, все брандмауэры имеют


понятие «внутри» для защищенной сети и «снаружи» для
ненадежной сети. Эти термины используются даже тогда,
когда брандмауэр защищает внешний мир от потенциально
скомпрометированных машины внутри.
Другой общей чертой межсетевых экранов является
наличие демилитаризованной зоны DMZ (названной в честь
демилитаризованной зоны).

Такие машины, как электронная почта и веб-серверы, часто


размещены в DMZ. Этим машинам не разрешается
подключаться к машинам внутри брандмауэра, но машинам
внутри разрешено подключаться к машинам DMZ.
Таким образом, если сервер в демилитаризованной зоне
скомпрометирован, злоумышленник не может напрямую
атаковать машины в демилитаризованной зоне внутри.

5
ФИЛЬТРАЦИЯ ПАКЕТОВ
Пакетные фильтры используют одну или несколько из
следующих частей информации, чтобы принять решение о
следует ли пересылать пакет: адрес источника; адрес
назначения; варианты в сети заголовок; протокол
транспортного уровня. Опции в транспортном заголовке;
исходный порт или эквивалент.

Хотя фильтрация пакетов выполняется быстро, она имеет


некоторые недостатки, наиболее важным из которых
является сложность написание правильных фильтров.

Вторым недостатком является то, что фильтрация пакетов


не может определить, какой пользователь вызывает какие
сетевые нарушения. Он может проверять IP-адрес хоста, с
которого исходит трафик, но хост неидентичен
пользователю.

Если организация с брандмауэром с фильтрацией пакетов


пытается получить доступ к некоторым пользователям, он
должен либо реализовать дополнительный, отдельный
протокол для аутентификацииили использовать IP-адрес
пользователя, основной компьютер в качестве слабой
замены настоящей аутентификации пользователя.

6
ПРОКСИ
Прокси — это программа, которая получает трафик,
предназначенный для другого компьютера. Прокси
иногда требовать аутентификацию пользователя; они
могут проверить, что пользователю разрешено
подключаться к месту назначения, и затем
подключаться к целевой службе от имени
пользователя.

Когда используется прокси, соединение с удаленной


машиной происходит с машины, на которой работает
прокси вместо исходной машины, делающей запрос.
Поскольку прокси генерирует подключение к
удаленной машине, он без проблем определяет, какие
соединения являются реальными, а какие которые
подделаны; это отличается от брандмауэров с
фильтрацией пакетов без сохранения состояния.

Прокси-серверы транспортного уровня имеют то


преимущество, что машина за пределами брандмауэра
не может отправлять пакеты через брандмауэр,
которые утверждают, что являются частью
установленного соединения.

7
МЕЖСЕТЕВЫЕ БРАНДМАУЗЕРЫ
Мост (т.е Межсетевой) — это сетевое
устройство, работающее на канальном уровне
ISO. Работая на этом уровне, не нуждается в
доступе к маршрутной информации.
Брандмауэр-мост использует информацию,
чтобы решить, следует ли блокировать пакет. В
результате межсетевой экран-мост может
проверять данные на нескольких других уровнях
набора протоколов Интернета, включая сетевой
и транспортный уровни. Поскольку
фильтрующий мост все еще является фильтром,
к нему все еще относятся недостатки пакетной
фильтрации.

Межсетевой экран-мост отличается от


маршрутизатора с фильтрацией пакетов тем, что
его можно где угодно поставить — это
прозрачно на сетевом уровне. Его можно
использовать для защиты одной машины или
небольшой группы машин, которая обычно не
требует отдельной сети. Поскольку ему не нужен
собственный IP-адрес, сам мост может быть
невосприимчив к любой атаке который
использует IP.
8
9
ДИНАМИЧНЫЕ ФИЛЬТРЫ
БРЭНДМАУЗЕРА
Классические фильтры — это статические
фильтры, динамически применяемые к
интерфейсу. Они компилируются во время
фиксации, а затем, когда служба активируется,
фильтр для конкретного интерфейса создается и
присоединяется к логическому интерфейсу. Это
динамическое приложение выполняется путем
связывания входных или выходных фильтров с
динамическим профилем. При срабатывании
динамический профиль применяет фильтр к
интерфейсу.

Параметризованные фильтры позволяют


реализовать настраиваемые фильтры для
каждого сеанса подписчика. В
параметризованных фильтрах вы используете
переменные для определения фильтра. Когда
службы активируются для абонента,
фактические значения, такие как ставки
ограничения, адреса назначения или порты,
заменяются переменными и используются для
создания фильтров.

10
ОТ ЧЕГО БРЭНДМАУЗЕР НЕ
ЗАЩИЩАЕТ?
Ни один брандмауэр не обеспечивает идеальной
безопасности. Существует ряд проблем, которые не
решает текущее поколение межсетевых экранов. В
случае, если брандмауэр попытается обеспечить
защиту проблемы, обсуждаемые в этом разделе, либо
он не получил широкого распространения, либо имеет
проблемы с защиту которое оно само обеспечивает.

Хотя правильно настроенные брандмауэры могут


эффективно блокировать некоторые атаки, не
поддавайтесь ложному чувству безопасности.
Брандмауэры не гарантируют, что ваш компьютер не
будет атакован. Брандмауэры в первую очередь
помогают защитить от вредоносного трафика, а не от
вредоносных программ (например, вредоносных
программ), и могут не защитить вас, если вы случайно
установите или запустите вредоносное ПО на своем
компьютере.

11
ДАТА ПРОХОДЯЩИЮ СКВОЗЬ
БРЭНДМАУЗЕРА
Брандмауэр, вероятно, лучше всего рассматривать как
проницаемую мембрану. То есть он полезен только в
том случае, если он пропускает часть трафика (если
нет, то сеть может быть физически изолирована от
внешний мир и брандмауэр не нужны). К сожалению,
любой трафик, проходящий через брандмауэр,
потенциальное направление атаки. Например, в
большинстве брандмауэров предусмотрена
возможность работы с электронной почтой.

Электронная почта — это распространенный метод


атаки; некоторые из многих атак по электронной
почте включают письмо «Я люблю тебя» И «Собиг»
червь

Если веб-трафик разрешен через брандмауэр, сетевые


администраторы должны справиться с возможность
вредоносных веб-сайтов. С языками сценариев,
такими как Java, JavaScript и ActiveX контроля,
злоумышленники могут читать произвольные файлы
на клиентских машинах, и выполнить произвольный
код на клиент.

12
VPN ТУННЕЛИ
Поскольку брандмауэры развертываются по
периметру сети, если периметр сети расширяется,
брандмаузэр должен как-то защищать эту
расширенную территорию. VPN представляют собой
пример того, как это может случиться.

Ноутбук, используемый разъездным сотрудником в


интернет-кафе, или домашняя машина который
подключен к интернет-провайдеру через линию DSL
или кабельный модем, должен находиться внутри
брандмауэра. Однако, если безопасность ноутбука
или домашней машины нарушена, вся внутренняя
сеть становится доступной к нападавшим.

Из-за того, что VPN еще не было изобретено, легко


понять, почему разработчики Аволио и Ранум не
смогли обсудить проблему удаленного периметр,
который включает узлы, постоянно подключенные к
Интернету (через DSL или кабельные модемы) и
которые также разрешены внутри через VPN-туннель.

13
ЗАКЛЮЧЕНИЕ
Потребность в брандмауэрах привела к их повсеместному распространению.
Почти каждая организация, связанная с Интернет установил какой-то
брандмауэр. Результатом этого является то, что большинство организаций
имеют некоторые уровни защиты от угроз извне. Злоумышленники все еще
исследуют уязвимости, которые скорее всего, применимо только к машинам
внутри брандмауэра. Они также нацелены на серверы, особенно на веб-
сайты.

Однако теперь эти злоумышленники нацелены и на домашних пользователей,


которые с меньшей вероятностью будут хорошо защищены. Эти атаки
состоят из двух частей:

1) взять преимущество более низкой осведомленности о безопасности


домашнего пользователя

2) пройти через VPN связь с внутренней частью организации.

Поскольку машины внутри брандмауэра часто уязвимы как для


злоумышленников, брандмауэр, а также враждебные инсайдеры, мы,
вероятно, увидим более широкое использование распределенного
архитектуры брэндмаузера.

Зачатки простой формы распределенных брандмауэров уже здесь, с


персональными брандмаузерами устанавливаются на отдельные машины.
Тем не менее, многие организации требуют, чтобы эти отдельные
брандмауэры реагируют на директивы конфигурации от центрального
сервера политик. Эта архитектура будет просто служить следующим уровнем
в гонке вооружений, как центральный сервер и протоколы, которые он
использует, становятся особыми целями для злоумышленников.

14

Вам также может понравиться