Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
В самом простом случае действие брандмауэра заключается в фильтровании пакетов. Фильтр принимает пакеты, поступающие на его интерфейсы, анализирует информацию, которую оставили в заголовках пакета различные протоколы, использовавшиеся при его создании, и принимает решение о возможности передачи пакета в другую сеть. Фильтрование пакетов осуществляется на нескольких уровнях эталонной модели OSI. Решая, пропустить пакет или нет, брандмауэр опирается на следующие его характеристики.
• Аппаратные адреса. Передавать данные в другую сеть разрешается только определенным компьютерам. Для защиты сетей от неавторизованного доступа через Интернет этот метод фильтрования применяется нечасто, но бывает удобен внутри интерсети. С его помощью можно, например, ограничить круг компьютеров, допущенных в определенную ЛВС.
• IP-адреса. Передавать данные в другую сеть разрешается только на заданные IP-адреса и/или пришедшие только с заданных IP-адресов. Если в Вашей сети, например, есть Web-сервер, настройте брандмауэр так, чтобы он пропускал входящий трафик Интернета только на его IP-адрес. Все остальные компьютеры сети пользователям Интернета будут недоступны.
• Идентификаторы протоколов. Через фильтр пропускаются только пакеты, IP-дейтаграммы в которых созданы заданными протоколами, например TCP, UDP или ICMP.
• Номера портов. Брандмауэр пропускает или задерживает пакеты, опираясь на номер целевого порта или порта-источника, указан-
ный в заголовке транспортного уровня. Такое фильтрование называется зависящим от службы (service-dependent), поскольку номера портов идентифицируют приложение или службу, которые сгенерировали пакет или которым он предназначен. Например, с помощью брандмауэра можно разрешить пользователям сети доступ к Интернету через порты 110 и 25 (они обычно применяются для входящей и исходящей электронной почты), но закрыть выход в Интернет через порт 80 (обычно применяемый для доступа к Web-серверам).
Истинная сила фильтрования пакетов проявляется в сочетании фильтров различных типов. Вот простой пример. Чтобы предоставить службе поддержки сети возможность удаленно администрировать некоторые компьютеры, можно открыть доступ в Вашу сеть из Интернета для входящего трафика Telnet. С другой стороны, доступность порта 23 (порта Telnet) всем пользователям Интернета без исключения представляет потенциально чрезвычайно опасную брешь в защите сети. Решение состоит в том, чтобы объединить фильтр по номеру порта с фильтром по IP-адресу, чтобы доступ к сети через порт Telnet был открыт только компьютерам сетевых администраторов.
Обычно фильтрование пакетов можно осуществлять с помощью обычного маршрутизатора. В занятии 2 главы 11 рассказывалось о механизме фильтрования пакетов, встроенном в Windows 2000. Его наличие означает, что для настройки фильтров не нужны огромные дополнительные расходы. На пропускной способности маршрутизатора фильтрование пакетов обычно заметно не сказывается. Однако помните, что маршрутизатор применяет заданные Вами правила фильтрования индивидуально к каждому пакету, поэтому очень сложная система фильтров может ощутимо замедлить работу сети.
Трудность работы с фильтрами заключена в том, что для их настройки необходимо глубокое понимание коммуникаций TCP/IP и способность предугадывать преступные замыслы внешних врагов. Именно врагов, потому что иначе как «войной умов» использование фильтров для защиты сети не назовешь. Потенциальные захватчики постоянно изобретают новые пути обхода стандартных конфигураций фильтров, и Вы должны быть готовы оперативно корректировать фильтры, чтобы противостоять этим изобретениям.
NAT
Технология трансляции сетевых адресов (Network Address Translation, NAT) действует на сетевом уровне и защищает компьютеры от вторжения из Интернета, маскируя их IP-адреса. Если Ваша сеть подклю-
чена к Интернету, но не защищена брандмауэром, каждому компьютеру в ней должен быть назначен зарегистрированный IP-адрес, чтобы он мог обмениваться информацией с другими компьютерами. Зарегистрированный IP-адрес по определению из Интернета «виден», а это означает, что любой пользователь, проявив немного изобретательности, может получить доступ к компьютерам Вашей сети и ко всем их ресурсам. Результаты могут оказаться катастрофическими. Благодаря NAT у Вас появляется возможность назначать компьютерам незарегистрированные IP-адреса, после чего доступ к ним из Интернета получить уже не удастся. Под незарегистрированными адресами понимаются адреса из диапазона, специально выделенного для использования в частных сетях. Ни за одним пользователем Интернета эти адреса не закреплены.
Примечание Подробнее о регистрации IP-адресов — в главе 8.
Если компьютерам в сети назначены незарегистрированные IP-адреса, внешним пользователям эти компьютеры не видны. Но это также означает, что в Вашу сеть не попадут пакеты, посылаемые серверами Интернета. Иными словами, пользователи смогут отправлять данные в Интернет, но не смогут получать их оттуда.
Чтобы сделать доступ в Интернет двусторонним, на маршрутизаторе, стоящем между сетью и Интернетом, нужно использовать NAT. Когда один из компьютеров в сети пытается выйти в Интернет, например, с помощью Web-браузера, пакет с HTTP-запросом, сгенерированный браузером, в поле IP-заголовка Source IP Address содержит частный IP-адрес компьютера. Пакет достигает маршрутизатора, там программа NAT заменяет частный адрес компьютера на свой собственный, зарегистрированный IP-адрес и отправляет пакет по назначению. Обработав запрос, сервер Интернета отправляет ответ по IP-адресу маршрутизатора NAT. Тот подставляет в поле Destination IP Address исходный частный адрес и отправляет пакет системе-клиенту. Таким образом обрабатываются все без исключения отправляемые и получаемые пакеты. Маршрутизатор NAT выступает в качестве посредника между сетью и Интернетом. Из Интернета виден только зарегистрированный IP-адрес маршрутизатора, поэтому риск нападения угрожает только ему.
NAT — очень популярное средство защиты, которое реализовано во многих брандмауэрах, начиная со сложных дорогостоящих систем до недорогих комплексов, обеспечивающих выход в Интернет с нескольких компьютеров в домашних и небольших коммерческих се-
тях. Именно на принципах NAT основана функция совместного доступа к Интернету ICS (Internet Connection Sharing), включенная в последние версии Windows.
Действие NAT демонстрируются в видеоролике NAT из пап ки Demos на прилагаемом к книге компакт-диске.
Дата публикования: 2014-11-18; Прочитано: 210 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!