For noen år siden, for pålitelig PC-beskyttelse, var det nok å installere et godt antivirusprogram og overvåke de vanlige databaseoppdateringene. Imidlertid genererer inntrengernes oppfinnsomhet flere og flere måter å påføre skade på. Ofte er den viktigste måten å trenge inn i en brukers datamaskin på nettverkstilkoblingene hans, eller snarere de tilknyttede systemsårbarhetene. En antiviruspakke kan bare oppdage ondsinnet kode, men ikke alle antivirus er i stand til å oppdage uautorisert tilgang til data.
Med utviklingen av markedsrelasjoner får informasjon mer og mer egenskapene til en vare, det vil si at den kan kjøpes, selges, overføres og, dessverre, stjeles. Derfor blir problemet med å sikre informasjonssikkerheten mer og mer påtrengende for hvert år. En av de mulige måtene å løse dette problemet på er bruk av brannmurer.
Moderne brannmurteknologier er et av de mest dynamiske segmentene i det moderne sikkerhetsmarkedet. Midler for nettverksbeskyttelse utvikler seg så raskt at den allment aksepterte terminologien i denne retningen ennå ikke er endelig etablert. Disse forsvarene omtales i litteraturen og media som brannmurer, brannmurer og til og med informasjonsmembraner. Men det mest brukte begrepet er "brannmurer" (FW).
I det generelle tilfellet, for å gi nettverksbeskyttelse mellom to sett med informasjonssystemer (IS), plasseres en skjerm eller informasjonsmembran, som er et middel for å avgrense tilgangen til klienter fra ett sett med systemer til informasjon lagret på servere i et annet sett . I denne forstand kan ME representeres som et sett med filtre som analyserer informasjonen som passerer gjennom dem og tar en beslutning: å la informasjonen passere eller å blokkere den. Samtidig registreres hendelser og en alarm utløses dersom en trussel oppdages. Skjermingssystemer er vanligvis laget asymmetriske. For skjermer er begrepene "inne" og "utenfor" definert, dessuten er skjermens oppgave å beskytte det interne nettverket fra et potensielt fiendtlig miljø. I tillegg kan ME brukes som en bedrifts åpen del av nettverket, synlig fra Internett. For eksempel, i mange organisasjoner brukes DOE-er til å lagre offentlig tilgjengelige data, for eksempel informasjon om produkter og tjenester, filer fra FTP-databaser, feilmeldinger og så videre.
En brannmur eller brannmur er et sett med maskinvare eller programvare som overvåker og filtrerer nettverkspakker som passerer gjennom den i samsvar med de spesifiserte reglene.
Brannmurens hovedoppgave er å beskytte datanettverk eller individuelle noder mot uautorisert tilgang. Brannmurer kalles også ofte filtre, siden deres hovedoppgave ikke er å sende (filtrere) pakker som ikke samsvarer med kriteriene som er definert i konfigurasjonen.
Noen brannmurer tillater også adresseoversettelse - dynamisk erstatning av intranett (grå) adresser eller porter med eksterne som brukes utenfor lokalnettverket.
Figur 4. Generell struktur for brannmuren
Andre navn
Brannmur (tysk Brandmauer) er et begrep lånt fra det tyske språket som er analogt med den engelske brannmuren i sin opprinnelige betydning (en vegg som skiller tilstøtende bygninger og forhindrer spredning av brann). Interessant nok, innen datateknologi, brukes ordet "Brannmur" på tysk.
Brannmur – Dannet ved translitterasjon av det engelske begrepet brannmur.
Varianter av brannmurer
Brannmurer er klassifisert i forskjellige typer avhengig av følgende egenskaper:
om skjoldet gir en forbindelse mellom en node og et nettverk, eller mellom to eller flere forskjellige nettverk;
på nivået av hvilke nettverksprotokoller dataflyten kontrolleres;
om tilstandene til aktive tilkoblinger overvåkes eller ikke.
Avhengig av dekningen til de overvåkede datastrømmene, er brannmurer delt inn i:
tradisjonell brannmur (eller brannmur) - et program (eller en integrert del av operativsystemet) på en gateway (en server som overfører trafikk mellom nettverk) eller en maskinvareløsning som kontrollerer innkommende og utgående datastrømmer mellom tilkoblede nettverk.
personlig brannmur er et program installert på en brukers datamaskin og designet for å beskytte kun denne datamaskinen mot uautorisert tilgang.
En degenerert sak er bruken av en tradisjonell brannmur av en server for å begrense tilgangen til sine egne ressurser.
Avhengig av hvilket nivå tilgangskontrollen foregår på, er det en inndeling i brannmurer som opererer på:
nettverkslaget, når filtrering er basert på adressene til senderen og mottakeren av pakker, portnumrene til transportlaget til OSI-modellen og statiske regler satt av administratoren;
Sesjonslag (også kjent som stateful) – Sporing av økter mellom applikasjoner, ikke tillate pakker som bryter med TCP/IP-spesifikasjoner, ofte brukt i ondsinnede operasjoner – ressursskanning, hacking gjennom feil TCP/IP-implementeringer, tapte/bremsede tilkoblinger, datainjeksjon.
applikasjonslag, filtrering basert på analyse av applikasjonsdata overført i pakken. Disse typer skjermer lar deg blokkere overføring av uønsket og potensielt skadelig informasjon basert på retningslinjer og innstillinger.
Noen løsninger relatert til brannmurer på applikasjonsnivå er proxy-servere med noen brannmurfunksjoner, som implementerer transparente proxy-servere og spesialiserer seg på protokoller. Proxyserverfunksjoner og multiprotokollspesialisering gjør filtrering mye mer fleksibel enn på klassiske brannmurer, men slike applikasjoner har alle ulempene med proxy-servere (for eksempel trafikkanonymisering).
Avhengig av sporingen av aktive tilkoblinger, er brannmurer:
stateless (enkel filtrering), som ikke sporer gjeldende tilkoblinger (for eksempel TCP), men filtrerer datastrømmen utelukkende basert på statiske regler;
stateful, stateful packet inspection (SPI) (kontekstbevisst filtrering), overvåker gjeldende tilkoblinger og sender bare de pakkene som tilfredsstiller logikken og algoritmene til de tilsvarende protokollene og applikasjonene. Disse typene brannmurer lar deg mer effektivt bekjempe ulike typer DoS-angrep og sårbarheter i enkelte nettverksprotokoller. I tillegg gir de driften av slike protokoller som H.323, SIP, FTP, etc., som bruker komplekse skjemaer for overføring av data mellom mottakere, som er vanskelige å beskrive med statiske regler, og ofte inkompatible med standard, statsløse brannmurer.
Det skal bemerkes at i dag, sammen med enkeltlags brannmurer, øker komplekse skjermer i popularitet, og dekker lag fra nettverk til applikasjon, siden slike produkter kombinerer de beste egenskapene til forskjellige typer enkeltlagsskjermer. Figur 1 viser strukturen for informasjonsskjerming mellom to systemer som bruker ISO/OSI-referansemodellen.
Figur 5. Struktur av informasjonsskjerming ved bruk av referansemodellen
Moderne krav til brannmurer
Hovedkravet er å sikre sikkerheten til det interne (beskyttede) nettverket og full kontroll over eksterne tilkoblinger og kommunikasjonsøkter.
Skjermingssystemet må ha kraftige og fleksible kontroller for enkelt og fullstendig å håndheve organisasjonens sikkerhetspolicy.
Brannmuren skal fungere usynlig for brukere av det lokale nettverket og ikke hindre deres rettslige handlinger.
Brannmurprosessoren må være rask, fungere effektivt nok, og kunne håndtere all innkommende og utgående trafikk på toppnivåer slik at den ikke kan blokkeres av et stort antall anrop og forstyrres.
Selve sikkerhetssystemet må være pålitelig beskyttet mot enhver uautorisert påvirkning, siden det er nøkkelen til konfidensiell informasjon i organisasjonen.
Skjermstyringssystemet skal sentralt kunne håndheve en enhetlig sikkerhetspolicy for eksterne filialer.
Funksjoner av moderne brannmurer
Som det fremgår av tabell 3, er en brannmur det vanligste middelet for å forbedre tradisjonelle beskyttelsesmidler mot uautorisert tilgang og brukes for å sikre databeskyttelse ved organisering av samhandling.
De spesifikke implementeringene av ME avhenger i stor grad av dataplattformene som brukes, men ikke desto mindre bruker alle systemer i denne klassen to mekanismer, hvorav den ene gir blokkering av nettverkstrafikk, og den andre, tvert imot, tillater datautveksling.
Samtidig fokuserer noen versjoner av ME på å blokkere uønsket trafikk, mens andre - på å regulere tillatt maskin-til-maskin-kommunikasjon.
Tabell 3 - Funksjoner ved brannmurer
|
Brannmurtype |
Driftsprinsipp |
Verdighet |
ulemper |
|
Beskyttende rutere (pakkefiltrerende brannmurer) |
Pakker filtreres i samsvar med IP-overskriften til pakken i henhold til kriteriet: det som ikke er eksplisitt forbudt er tillatt. Den analyserte informasjonen er: - avsenderens adresse; - adressen til mottakeren; - informasjon om applikasjonen eller protokollen; - kildeportnummer; - mottakerportnummer |
Lave kostnader · Minimal innvirkning på nettverksytelsen · Enkel å konfigurere og installere · Programvaregjennomsiktighet |
Sårbarhet i beskyttelsesmekanismen for ulike typer nettverksangrep, som forfalskning av kildeadresser til pakker, uautorisert endring av innholdet i pakker Mangel på støtte for hendelseslogging og revisjonsverktøy i enkelte produkter |
|
Shielding gateway (ESH) |
Informasjonsutveksling skjer gjennom en vertsbastion installert mellom det interne og eksterne nettverket, som tar beslutninger om muligheten for trafikkruting. ES er av to typer: økt og applikasjonslag |
· Ingen ende-til-ende overføring av pakker i tilfelle feil · Styrket, sammenlignet med EM, beskyttelsesmekanismer, som tillater bruk av ekstra autentiseringsmidler, både programvare og maskinvare · Bruk av adresseoversettelsesprosedyren, som gjør det mulig å skjule adresser til verter på et lukket nettverk |
· Bruker kun kraftige bastionverter på grunn av den store mengden beregninger · Mangel på "transparens" på grunn av det faktum at ES introduserer forsinkelser i overføringsprosessen og krever brukerautentiseringsprosedyrer |
|
Skjerming undernett (ES) |
Et isolert subnett opprettes mellom det interne og åpne nettverket. Meldinger fra det åpne nettverket behandles av applikasjonsporten og går til den digitale signaturen. Etter å ha bestått kontrollen i den elektroniske koden, går de inn i et lukket nettverk. Forespørsler fra et lukket nettverk behandles gjennom den digitale signaturen på samme måte. Filtrering utføres etter prinsippet: det som ikke er tillatt er forbudt |
Evnen til å skjule adressen til det interne nettverket · Øke påliteligheten til beskyttelsen · Evnen til å skape stor trafikk mellom de interne og åpne nettverkene ved bruk av flere vertsbastioner i den elektroniske signaturen · "transparens" av arbeid for alle nettverkstjenester og hvilken som helst struktur i det interne nettverket |
Bruk kun kraftige bastionverter på grunn av den store mengden beregning. Vedlikehold (installasjon, konfigurasjon) kan kun utføres av spesialister |
Typiske alternativer for å aktivere brannmurer
Figur 6. Slå på ME i henhold til skjemaet for en to-ports gateway
Figur 7. Aktivering av ME direkte på den beskyttede serveren
Figur 8. Aktivering av ME i Internett-intranettsystemet
Sammenlignende egenskaper ved moderne brannmurer
Tabell 4 - Sammenlignende egenskaper ved moderne brannmurer
|
Plattform |
Selskap |
Egenskaper |
||
|
Solstice brannmur |
Kompleks |
SunOS, UNIX, Solaris |
Sun Microsystems |
Implementerer en sikkerhetspolicy: alle data som ikke har en eksplisitt tillatelse blir forkastet. I prosessen genererer pakkefiltre på gatewayer og servere poster over alle hendelser, utløser alarmmekanismer som krever en administrators svar. |
|
Milkyway Networks Corporation |
Bruker ikke pakkefiltreringsmekanisme. Slik fungerer det: det som ikke er eksplisitt tillatt er forbudt. Registrerer alle serverhandlinger, advarer om mulige brudd. Kan brukes som en toveis gateway. |
|||
|
BorderWare brannmurserver |
Application Layer Shielding Gateway |
UNIX, Windows, DOS |
Secure Computing Corporation |
Sikkerhetsprogramvare som sikrer drift under OS-kontroll (proprietær). Gjør det mulig å fikse adresser, tid, forsøk, brukt protokoll. |
|
ALF (Application Layer Filter) |
Application Layer Shielding Gateway |
Kan filtrere IP-pakker etter adresser, portområder, protokoller og grensesnitt. Den innkommende pakken kan gå glipp av, elimineres eller sendes til adressen. |
||
|
ANS InterLock-tjeneste |
Application Layer Shielding Gateway |
ANS CO + RE Systems |
Bruker proxyer for Telnet, FTR, HTTR-tjenester. Støtter punkt-til-punkt-kryptering, og maskinvare kan brukes som autentiseringsmidler. |
|
|
Kompleks skjerm |
SunOS, BSDI på Intel, IRIX på INDY og Challenge |
Den bruker tid, dato, adresse, port osv. for analyse. Inkluderer applikasjonslags proxyer for Telnet, FTR, SMTP, X11, HTTP, Gopher og mer. Støtter de fleste maskinvareautentiseringspakker. |
||
|
Application Layer Shielding Gateway |
SunOS, BSDI, Solaris, HP-UX, AIX |
Et lukket nettverk ses fra utsiden som en enkelt vert. Har mellomliggende programmer for tjenester: e-post, FTR-protokoll osv. Registrerer alle serverhandlinger, advarer om brudd. |
||
|
Application Layer Shielding Gateway |
Sterling programvare |
Det er et programvareprodukt som beskytter informasjon mot tukling ved tilkobling av lukkede og åpne nettverk. Lar deg registrere alle serverhandlinger og advare om mulige brudd. |
||
|
CyberGuard brannmur |
Toveis ende-til-ende gateway (bastionvert som filter, applikasjonsgateway eller skjerm) |
RISC-plattform, OS UNIX |
Harris Computer Systems Corporation |
Det ble brukt komplekse løsninger, inkludert UNIX OS-beskyttelsesmekanismer og integrerte nettverksverktøy designet for RISC-datamaskiner. Analysen bruker kildeadressen, destinasjonsadressen osv. |
|
Digital brannmur for UNIX |
Kompleks skjerm |
Digital Equipment Corporation |
Forhåndsinstallert på Digital Alpha-systemer og introduserer funksjoner for screeningfilter og applikasjonsgateway. |
|
|
Eagle Enterprise |
Application Layer Shielding Gateway |
Implementering av virtuell privat nettverksteknologi |
Inkluderer applifor FTR, HTTP, Telnet-tjenester. Logger alle serveraktiviteter og advarer om brudd. |
|
|
Brannmur IRX ruter |
Skjerming ruter |
Lar deg analysere nettverket for å optimalisere nettverkstrafikken, koble det lokale nettverket sikkert til eksterne nettverk basert på åpne nettverk. |
||
|
Omfattende brannmur |
Intel x86, Sun Sparc, etc. |
Gir beskyttelse mot hackerangrep som adressespoofing (spoofing av pakkeadresser) og gir en kombinasjon av nettverks- og applikasjonslagsbeskyttelse. |
||
|
Brannmur-1 / VPN-1 |
Omfattende brannmur |
Intel x86, Sun Sparc, etc. |
Check Point Software Technologies |
Representerer det offentlige grensesnittet til OPSEC API. Gir: - påvisning av datavirus; - URL-skanning; - blokkering av Java og ActiveX; - SMTP-protokollstøtte; - HTTP-filtrering; - FTP-protokollbehandling |
|
TIS brannmurverktøysett |
Et sett med programmer for å lage og administrere brannmursystemer |
Pålitelige informasjonssystemer |
Distribuert i kildekode er alle moduler skrevet i C. Settet er beregnet på ekspertprogrammerere. |
|
|
Gauntlet Internett-brannmur |
Application Layer Shielding Gateway |
UNIX, sikret BSD |
Pålitelige informasjonssystemer |
Støtter tjenester: e-post, webtjeneste, terminaltjenester osv. Funksjoner: kryptering på nettverksnivå, beskyttelse mot hackerangrep som adresse-spoofing, beskyttelse mot forsøk på å endre ruting. |
|
Brannmur med flere protokoller |
Ulike maskinvareplattformer |
Nettverk-1 Programvare og teknologi |
Kontroll implementeres på nivå med rammer, pakker, kanaler og applikasjoner (for hver protokoll). Lar deg jobbe med mer enn 390 protokoller, gjør det mulig å beskrive eventuelle filtreringsforhold for påfølgende arbeid. |
|
|
Zastava-Jet |
Omfattende brannmur |
SPARC, Solaris, UNIX |
Implementerer en sikkerhetspolicy: alle data som ikke har en eksplisitt tillatelse blir forkastet. |
Brannmuren i seg selv er ikke et universalmiddel for alle trusler mot nettverket. Spesielt han:
beskytter ikke nettverksnoder mot penetrering gjennom bakdører eller programvaresårbarheter;
gir ikke beskyttelse mot mange interne trusler, først og fremst datalekkasje;
beskytter ikke mot brukere som laster ned skadelige programmer, inkludert virus;
For å løse de to siste problemene, brukes passende tilleggsverktøy, spesielt antivirus. Vanligvis kobler de seg til brannmuren og lar den tilsvarende delen av nettverkstrafikken passere gjennom seg selv, og fungerer som en transparent proxy for andre nettverksnoder, eller de mottar en kopi av alle overførte data fra brannmuren. Imidlertid krever denne analysen betydelige maskinvareressurser, så den utføres vanligvis på hver node i nettverket uavhengig.
Krav til kunnskap og ferdigheter
Eleven skal vite:
brannmurmekanisme.
Studenten skal kunne:
velge brannmurer for å beskytte informasjonssystemer.
Nøkkelbegrep
Nøkkelbegrep: Brannmur skjermet.
Brannmur eller brannmur (brannmur) - programvare eller programvare- og maskinvaresystem som overvåker informasjonsstrømmer som kommer inn og/eller forlater informasjonssystemet, og sikrer beskyttelse av informasjonssystemet ved å filtrere informasjon.
Sekundære termer
Klassifisering av brannmurer.
Kjennetegn på brannmurer.
Blokkdiagram over begreper
4.5.1 Klassifisering av brannmurer
En av de effektive mekanismene for å sikre informasjonssikkerhet for distribuerte datanettverk er skjerming, som utfører funksjonene med å avgrense informasjonsstrømmer ved grensen til det beskyttede nettverket.
Brannmuring øker sikkerheten til objekter på det interne nettverket ved å ignorere uautoriserte forespørsler fra det eksterne miljøet, og dermed sikre alle komponenter av informasjonssikkerhet. I tillegg til funksjonene til tilgangskontroll gir screening registrering av informasjonsutveksling.
brannmur eller en brannmur, som forstås som et programvare- eller maskinvare-programvaresystem som kontrollerer informasjonsstrømmer som kommer inn og/eller forlater informasjonssystemet, og sikrer beskyttelse av informasjonssystemet ved å filtrere informasjon. Filtrering av informasjon består i å analysere informasjon basert på et sett med kriterier og ta en beslutning om mottak og/eller overføring.
Brannmurer er klassifisert etter følgende kriterier:
på stedet i nettverket - til ekstern og intern, og gir beskyttelse, henholdsvis fra et eksternt nettverk eller beskyttelse mellom nettverkssegmenter;
filtreringsnivå i samsvar med OSI / ISO-referansemodellen.
Eksterne brannmurer fungerer vanligvis bare med den globale Internett-TCP/IP-protokollen. Interne brannmurer kan støtte flere protokoller, for eksempel når du bruker et Novell Netware-nettverksoperativsystem, bør SPX/IPX-protokollen tas i betraktning.
4.5.2 Kjennetegn ved brannmurer
Driften av alle brannmurer er basert på bruk av informasjon fra ulike lag av OSI-modellen. Vanligvis, jo høyere OSI-laget som brannmuren filtrerer pakker på, jo høyere beskyttelsesnivå gir den.
Brannmurer er delt inn i fire typer:
pakkefiltrerende brannmurer;
gatewayer på øktnivå;
applikasjonsnivå gatewayer;
brannmurer på ekspertnivå.
Tabell 1. Typer brannmurer og lag av ISO OSI-modellen
№ |
NivåOSI-modeller |
Protokoll |
Type avbrannmur |
1 |
Anvendt |
Telnet, FTP, DNS, NFS, SMTP, HTTP |
· Gateway på applikasjonsnivå;· Brannmur på ekspertnivå. |
2 |
Datavisninger |
||
3 |
Økt |
TCP, UDP |
Gateway på øktnivå |
4 |
Transportere |
TCP, UDP |
|
5 |
Nettverk |
IP, ICMP |
Brannmur for pakkefiltrering |
6 |
Kanal |
||
7 |
Fysisk |
Pakkefiltrerende brannmurer er rutere eller server-side programmer konfigurert til å filtrere innkommende og utgående pakker. Derfor kalles disse skjermene noen ganger pakkefiltre. Filtrering utføres ved å analysere kilde- og destinasjons-IP-adressene, samt portene til innkommende TCP- og UDP-pakker og sammenligne dem med en konfigurert regeltabell. Disse brannmurene er enkle å bruke, billige og har minimal innvirkning på dataytelsen. Den største ulempen er deres sårbarhet når de forfalsker IP-adresser. I tillegg er de komplekse å konfigurere: installasjonen krever kunnskap om nettverk, transport og applikasjonsprotokoller.
Innganger på øktnivå kontrollere om kommunikasjonsøkten er tillatt. De overvåker håndtrykket mellom den autoriserte klienten og den eksterne verten (og omvendt) for å finne ut om den forespurte økten er gyldig. Ved filtrering av pakker er sesjonslags-gatewayen avhengig av informasjonen i TCP-sesjonslagets pakkehoder, det vil si at den fungerer to lag høyere enn pakkefiltreringsbrannmuren. I tillegg har disse systemene vanligvis en funksjon for nettverksadresseoversettelse som skjuler interne IP-adresser, og dermed eliminerer IP-spoofing. Imidlertid mangler slike brannmurer kontroll over innholdet i pakker som genereres av ulike tjenester. For å eliminere denne ulempen brukes gatewayer på applikasjonsnivå.
Søknadsporter inspisere innholdet i hver pakke som går gjennom gatewayen og kan filtrere spesifikke typer kommandoer eller informasjon i applikasjonsprotokollene de har i oppgave å betjene. Det er en mer avansert og pålitelig type brannmur som bruker applikasjonsfullmakter eller agenter. Agenter er designet for spesifikke Internett-tjenester (HTTP, FTP, telnet, etc.) og brukes til å sjekke nettverkspakker for gyldige data.
Applikasjonsgatewayer forringer systemytelsen på grunn av reprosessering i mellomvaren. Dette er usynlig når du arbeider på Internett når du arbeider på lavhastighetskanaler, men viktig når du arbeider på et internt nettverk.
Brannmurer av ekspertklasse kombinerer elementer fra alle tre kategoriene beskrevet ovenfor. I likhet med pakkefiltrerende brannmurer opererer de på nettverkslaget til OSI-modellen, og filtrerer innkommende og utgående pakker basert på å sjekke IP-adresser og portnumre. Brannmurer på ekspertnivå fungerer også som en gateway på øktnivå, som avgjør om pakkene har riktig økt. Til slutt fungerer brannmurer av ekspertklasse som en gateway på applikasjonsnivå, og evaluerer innholdet i hver pakke mot en organisasjonsspesifikk sikkerhetspolicy.
I stedet for å bruke applikasjonsrelaterte proxyer, bruker ekspertbrannmurer spesielle algoritmer for å gjenkjenne og behandle data på applikasjonsnivå. Disse algoritmene sammenligner pakker med kjente datamønstre, som i teorien skulle gi mer effektiv pakkefiltrering.
Konklusjoner om temaet
Brannmuring øker sikkerheten til objekter på det interne nettverket ved å ignorere uautoriserte forespørsler fra det eksterne miljøet, og dermed sikre alle komponenter av informasjonssikkerhet. I tillegg til tilgangskontrollfunksjoner gir screening registrering av informasjonsutveksling.
Skjermingsfunksjoner utføres av brannmur eller en brannmur, som forstås som et programvare- eller maskinvare-programvaresystem som kontrollerer informasjonsstrømmer som kommer inn og/eller forlater informasjonssystemet og sikrer beskyttelse av informasjonssystemet ved å filtrere informasjon.
Brannmurer klassifiseres etter følgende kriterier: plassering på nettverket og filtreringsnivå som tilsvarer OSI/ISO-referansemodellen.
Eksterne brannmurer fungerer vanligvis bare med den globale Internett-TCP/IP-protokollen. Interne brannmurer kan støtte flere protokoller.
Brannmurer er delt inn i fire typer:
pakkefiltrerende brannmurer;
gatewayer på øktnivå;
applikasjonsnivå gatewayer;
-
Antall hendelser knyttet til informasjonssikkerhet, ifølge ledende analysebyråer, vokser stadig. Sikkerhetseksperter har lagt merke til en økende aktivitet av eksterne angripere som bruker den nyeste angrepsteknologien for å infiltrere bedriftsnettverk for å utføre sine skitne gjerninger.
Antall hendelser knyttet til informasjonssikkerhet, ifølge ledende analysebyråer, vokser stadig. Sikkerhetseksperter har lagt merke til en økende aktivitet av eksterne angripere som bruker den nyeste angrepsteknologien for å infiltrere bedriftsnettverk for å utføre sine skitne gjerninger. De er ikke begrenset til å stjele informasjon eller slå ut nettverksnoder. Det er ikke uvanlig at kompromitterte nettverk brukes til å starte nye angrep. Derfor er beskyttelsen av omkretsen av informasjonssystemet et obligatorisk element i organisasjonens informasjonssikkerhetssystem.
Samtidig, for å bestemme sammensetningen av psom sikrer det minste (initielle) nivået av informasjonssikkerhet, er det nødvendig å analysere de vanligste truslene mot organisasjonens informasjonsressurser:
nettverksangrep rettet mot utilgjengelighet av informasjonsressurser (for eksempel webservere, e-posttjenester osv.) - DoS- og DDoS-angrep;
kompromittering av informasjonsressurser og eskalering av privilegier både fra innsidere og eksterne angripere, både med det formål å bruke ressursene dine og for å forårsake skade;
handlinger av ondsinnet programvarekode (virus, nettverksormer, trojanere, spyware, etc.);
lekkasje av konfidensiell informasjon og tyveri av data både gjennom nettverket (e-post, FTP, web, etc.) og gjennom eksterne medier;
ulike nettverksangrep på applikasjoner.For å minimere informasjonssikkerhetstrusler er det nødvendig å implementere brannmurer på ulike nivåer av OSI-modellen, som vist i tabellen.
Bord. Brannmurer og OSI-modeller
Driften av alle brannmurer er basert på bruk av informasjon fra ulike lag av OSI-modellen (tabell). OSI-modellen, utviklet av International Organization for Standardization, definerer syv lag der datasystemer samhandler med hverandre, fra det fysiske medielaget til laget av applikasjoner som brukes for kommunikasjon. Generelt, jo høyere OSI-laget som brannmuren filtrerer pakker på, jo høyere beskyttelsesnivå gir den.
Følgende metoder kan velges for å kontrollere trafikk mellom LAN og det eksterne nettverket:
1. Pakkefiltrering- basert på å sette opp et sett med filtre. Avhengig av om den innkommende pakken tilfredsstiller betingelsene spesifisert i filtrene, sendes den til nettverket eller droppes.
2. Denne klassen av rutere er en oversetter av TCP-tilkoblinger. Gatewayen aksepterer en autorisert klients forespørsel om spesifikke tjenester og, etter å ha validert den forespurte økten, oppretter den en forbindelse til destinasjonen (ekstern vert). Gatewayen kopierer deretter pakkene i begge retninger uten å filtrere dem. Som regel er destinasjonen satt på forhånd, mens det kan være mange kilder. Ved å bruke forskjellige porter kan du lage en rekke tilkoblingskonfigurasjoner. Denne typen gateway lar deg lage en TCP-tilkoblingsoversetter for enhver brukerdefinert TCP-basert tjeneste, kontrollere tilgangen til denne tjenesten og samle inn statistikk om bruken.
3. Proxy-server- en ekstra proxy-serverenhet er installert mellom det lokale og eksterne nettverket, som fungerer som en "gate" som all innkommende og utgående trafikk må passere. Statlig inspeksjon– Inspeksjon av innkommende trafikk er en av de mest avanserte måtene å implementere en brannmur på. Inspeksjon betyr ikke å analysere hele pakken, men bare dens spesielle nøkkeldel og sammenligne den med tidligere kjente verdier fra databasen over tillatte ressurser. Denne metoden gir høyest brannmurytelse og lavest ventetid.
Prinsippet for drift av brannmuren er basert på kontroll av trafikk som kommer utenfra.
Brannmuren kan implementeres i maskinvare eller programvare. Den spesifikke implementeringen avhenger av skalaen til nettverket, mengden trafikk og de nødvendige oppgavene. Den vanligste typen brannmur er programvarebasert. I dette tilfellet implementeres det i form av et program som kjører på mål-PCen, eller en kantnettverksenhet, for eksempel en ruter. Når det gjelder maskinvarekjøring, er en brannmur et eget nettverkselement som vanligvis har høy ytelse, men som utfører lignende oppgaver.
Brannmuren lar deg konfigurere filtre som er ansvarlige for å sende trafikk i henhold til følgende kriterier:
1. IP adresse. Som du vet, må enhver sluttenhet som bruker IP-protokollen ha en unik adresse. Ved å spesifisere en adresse eller et bestemt område, kan du nekte mottak av pakker fra dem, eller omvendt kun tillate tilgang fra disse IP-adressene.
2. Domenenavn. Som du vet, kan et nettsted på Internett, eller snarere dens IP-adresse, assosieres med et alfanumerisk navn, som er mye lettere å huske enn et sett med tall. Dermed kan filteret konfigureres til å sende trafikk kun til/fra en av ressursene, eller nekte tilgang til den.
3. Havn. Vi snakker om programvareporter, dvs. tilgangspunkter for applikasjoner til nettverkstjenester. For eksempel bruker ftp port 21, mens nettsurfingsapplikasjoner bruker port 80. Dette lar deg nekte tilgang fra uønskede tjenester og nettverksapplikasjoner, eller omvendt kun tillate tilgang til dem.
4. Protokoll. Brannmuren kan konfigureres til å tillate bare én protokoll å passere gjennom, eller nekte tilgang ved å bruke den. Typisk kan typen protokoll snakke om oppgavene til applikasjonen den bruker og om et sett med beskyttelsesparametere. Dermed kan tilgang kun konfigureres for driften av en spesifikk applikasjon og forhindre potensielt farlig tilgang ved å bruke alle andre protokoller.Ovennevnte viser bare hovedparametrene som justeringen kan gjøres med. Det kan også brukes andre nettverksspesifikke filterparametere, avhengig av oppgavene som utføres på det nettverket.
Dermed gir brannmuren et omfattende sett med oppgaver for å forhindre uautorisert tilgang, skade eller tyveri av data, eller annen negativ påvirkning som kan påvirke ytelsen til nettverket. Vanligvis brukes en brannmur sammen med andre beskyttelsesmidler, for eksempel antivirusprogramvare.
Opprette en filtreringspolicy for brannmurer
Det er to hovedmåter å lage brannmurregelsett: "inkluderende" og "eksklusiv". En ekskluderingsbrannmur lar all trafikk passere bortsett fra trafikk som samsvarer med et sett med regler. En aktiverende brannmur fungerer på nøyaktig motsatt måte. Den tillater bare trafikk som samsvarer med reglene og blokkerer alt annet.En inkluderende brannmur gir mye mer kontroll over utgående trafikk. Derfor er en inkluderende brannmur det beste valget for systemer som tilbyr tjenester på Internett. Den kontrollerer også typen trafikk som kommer utenfra og dirigeres til ditt private nettverk. Trafikk som ikke er inkludert i reglene blokkeres, og tilsvarende oppføringer gjøres i loggfilen. Inkluderende brannmurer er generelt sikrere enn eksklusive brannmurer fordi de i stor grad reduserer risikoen for at brannmuren passerer uønsket trafikk.
Sikkerheten kan forbedres ytterligere ved å bruke en "stateful brannmur". En slik brannmur beholder informasjon om åpne forbindelser og tillater kun trafikk gjennom åpne forbindelser eller åpne nye forbindelser. Ulempen med en stateful brannmur er at den kan være sårbar for Denial of Service (DoS)-angrep hvis mange nye tilkoblinger åpnes veldig raskt. De fleste brannmurer tillater en kombinasjon av stateful og stateless atferd for å skape den optimale konfigurasjonen for hvert spesifikke system.
Som et eksempel kan du vurdere å lage filterregler i et enkelt pakkefilter. Det er flere mulige alternativer for pakkefiltrering. Det enkleste er målrettet filtrering; den består i å sammenligne adressene i pakken med adressene spesifisert i reglene. Hvis adressene samsvarer, hoppes pakken over. Denne sammenligningen gjøres som følger:
1. Tenk på følgende regel: alle verter på 10.1.x.x-nettverket kan kommunisere med verter på 10.2.x.x-nettverket. Denne regelen er skrevet som følger:
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
——- Kilde —— —— Destinasjon ——Du kan nå bruke regelen på en pakke som sendes fra vert 10.1.1.2 til vert 10.3.7.7. La oss bruke en maske på begge adressene - adressen i regelen og adressen i pakken. Den sjekker deretter om kilde- og destinasjonsadressene er de samme. Som et resultat vil vi ha:
For kildeadresse:
10.1.0.0 og 255.255.0.0 = 10.1.0.0 (for regelen)
10.1.1.2 og 255.255.0.0 = 10.1.0.0 (for pakke)Etter påføring av masken samsvarer begge adressene. La oss nå sjekke destinasjonsadressen:
10.2.0.0 og 255.255.0.0 = 10.2.0.0 (for regelen)
10.3.7.7 og 255.255.0.0 = 10.3.0.0 (for pakke)Siden destinasjonsadressene til pakken og reglene etter bruk av masken ikke stemmer overens, bør ikke denne regelen brukes på denne pakken.
Denne operasjonen utføres over hele listen over kilde- og destinasjonsadresser og masker til slutten av listen er nådd eller til pakken samsvarer med en av reglene. Listen over regler har følgende format:
10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0I tillegg til kilde- og destinasjonsadresser, inneholder hver IP-pakke informasjon om protokollen og tjenesten som brukes. Den kan brukes som en ekstra filtreringsparameter.
For eksempel er TCP-tjenester alltid knyttet til en port. Som et resultat kan du matche listen over porter med adresser.
La oss bruke to kjente tjenester som eksempel – POP3 og HTTP. POP3 bruker port 110 og HTTP bruker port 80. Derfor kan vi legge til disse portene i regelbeskrivelsen. Som et resultat får vi:
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 TCP 80 110
—— Kilde —— —— Destinasjon —— Protokoll - Havner -Denne regelen lar hver pakke som går fra 10.1.x.x-nettverket til 10.2.x.x-nettverket ved hjelp av HTTP- og POP3-tjenester, passere gjennom brannmuren.
Først blir adressene fra regelen sammenlignet med adressene til pakken. Hvis begge adressene samsvarer etter maskering, vil protokollen og destinasjonsporten i pakken bli sammenlignet med protokollen og listen over porter beskrevet i regelen. Hvis protokollen samsvarer, og porten i regelen er den samme som porten til pakken, samsvarer en slik pakke med regelen. Ellers vil søket fortsette i listen over regler.
Med denne nye informasjonen i tankene, vil regelsettet ha følgende format:
10.1.1.2 & 255.255.255.255 - 10.2.0.0 & 255.255.0.0 UDP 53
10.3.3.2 & 255.255.255.255 - 10.1.2.1 & 255.255.255.255 TCP 80
10.1.1.0 & 255.0.0.0 - 10.2.3.0 & 255.255.255.0 TCP 21 20 113
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 ICMP 0 8I tillegg til disse grunnleggende filtreringsparametrene kan du legge til flere. En av dem er kildenettverksgrensesnittet; ved å bruke navnet på nettverksgrensesnittet som en filtreringsparameter, kan du bare tillate passasje av pakker med spesifikke adresser fra det spesifiserte grensesnittet.
Hensikten med denne prosedyren er å blokkere et angrep kjent som IP-spoofing, der en pakke sendes til det interne nettverket med en falsk kildeadresse (fra det interne nettverket). Ved å bruke navnet på et nettverksgrensesnitt som parameter kan du enkelt blokkere denne typen angrep. For eksempel, hvis det interne nettverket samhandler med brannmuren gjennom de0-grensesnittet, er det bare nødvendig å angi i reglene at pakker med en kildeadresse fra det interne nettverket bare skal aksepteres hvis de kom fra dette grensesnittet; i alle andre tilfeller vil de bli kastet.
I Odnoklassniki
et nettverk designet for å blokkere all trafikk med unntak av tillatte data. Dette i motsetning til en ruter som har som funksjon å levere trafikk til destinasjonen så raskt som mulig.Det antas at en ruter også kan fungere som en brannmur. Det er imidlertid en grunnleggende forskjell mellom disse enhetene: ruteren er designet for å rute trafikk raskt, ikke blokkere den. Brannmur er et sikkerhetsverktøy som tillater viss trafikk fra en datastrøm, og en ruter er en nettverksenhet som kan konfigureres til å blokkere bestemt trafikk.
I tillegg har brannmurer en tendens til å være svært konfigurerbare. Trafikkflyt på brannmuren kan konfigureres av tjenester, kilde- og destinasjons-IP-adresser og bruker-IDer som ber om tjenesten. Brannmurer tillater sentralisert sikkerhetsstyring... I én konfigurasjon kan en administrator konfigurere innkommende trafikk til å tillates for alle interne systemer i en organisasjon. Dette eliminerer ikke behovet for å oppdatere og finjustere systemer, men det kan redusere sannsynligheten for feilkonfigurering av ett eller flere systemer, noe som kan føre til at disse systemene blir angrepet av en feilkonfigurert tjeneste.
Definere brannmurtyper
Det er to hovedtyper brannmurer: applikasjonsbrannmurer og brannmurer med pakkefiltrering... De er basert på ulike operasjonsprinsipper, men når de er riktig konfigurert, sikrer begge typer enheter riktig implementering av sikkerhetsfunksjoner, som skal blokkere forbudt trafikk. Du vil se fra de følgende avsnittene at graden av beskyttelse som disse enhetene gir, avhenger av hvordan de brukes og konfigureres.
Brannmurer for applikasjonslag
Brannmurer på applikasjonsnivå, eller proxy-skjermer, er programvarepakker basert på drift generelle systemer(som Windows NT og Unix) eller på brannmurens maskinvareplattform. Brannmur har flere grensesnitt, ett for hvert av nettverkene den er koblet til. Et sett med policyregler bestemmer hvordan trafikk overføres fra ett nettverk til et annet. Hvis regelen ikke eksplisitt tillater trafikk å passere, brannmur avviser eller forkaster pakker.
Sikkerhetspolitiske regler forsterkes ved bruk av tilgangsmoduler. I applikasjonsbrannmuren må hver tillatt protokoll ha sin egen tilgangsmodul. De beste tilbehørene er de som er bygget spesifikt for protokollen som blir løst. FTP-aksessoren er for eksempel for FTP-protokollen og kan avgjøre om trafikken som passerer gjennom den, samsvarer med den protokollen og om den trafikken er tillatt av sikkerhetsregler.
Når du bruker en brannmur for applikasjonslag, går alle tilkoblinger gjennom den (se figur 10.1). Som vist i figuren starter tilkoblingen på klientsystemet og går til det interne grensesnittet til brannmuren. Brannmur aksepterer tilkoblingen, analyserer innholdet i pakken og protokollen som brukes, og avgjør om trafikken er i samsvar med sikkerhetsreglene. I så fall, da brannmur starter en ny forbindelse mellom det eksterne grensesnittet og serversystemet.
Applikasjonsbrannmurer bruker tilgangsmoduler for innkommende forbindelser. Modul tilgang i brannmuren aksepterer den innkommende tilkoblingen og behandler kommandoene før trafikken sendes til mottakeren. Og dermed, brannmur beskytter systemer mot applikasjonsangrep.
Ris. 10.1.Merk
Dette forutsetter at tilgangsmodulen på brannmuren i seg selv er usårbar for angrep. Hvis programvare ikke utdypet nok, kan det være en falsk påstand.
En ekstra fordel med denne typen arkitektur er at den gjør det svært vanskelig, om ikke umulig, å "skjule" trafikk innenfor andre tjenester. For eksempel noen systemkontrollprogrammer som NetBus og
En brannmur er et programvare- og maskinvare- eller programvareelement som kontrollerer nettverkstrafikk basert på spesifiserte parametere og om nødvendig filtrerer den. Det kan også kalles en brannmur eller brannmur.
Formål med brannmurer
En brannmur brukes til å beskytte individuelle nettverkssegmenter eller verter mot mulig uautorisert penetrasjon gjennom sårbarheter i programvare installert på en PC eller nettverksprotokoller. Jobben til en kran er å sammenligne egenskapene til trafikk som passerer gjennom den med mønstre av allerede kjent ondsinnet kode.
Oftest er en brannmur installert ved grensen til den lokale nettverksomkretsen, der den beskytter interne noder. Angrep kan imidlertid initieres innenfra, så når du angriper en server på samme nettverk, vil ikke brannmuren oppfatte det som en trussel. Dette var grunnen til at brannmurer begynte å bli installert ikke bare på kanten av nettverket, men også mellom segmentene, noe som øker graden av nettverkssikkerhet betydelig.
skapelseshistorie
Brannmurer begynner sin historie på slutten av åttitallet av forrige århundre, da Internett ennå ikke var blitt hverdagskost for folk flest. Funksjonen deres ble utført av rutere som analyserte trafikk basert på data fra nettverkslagsprotokollen. Deretter, med utviklingen av nettverksteknologier, var disse enhetene i stand til å bruke dataene til transportlaget. Faktisk er en ruter den aller første implementeringen av en fastvarebrannmur i verden.
Programvarebrannmurer har eksistert mye senere. Så, Netfilter / iptables, en brannmur for Linux, ble ikke opprettet før i 1998. Dette skyldes det faktum at tidligere funksjonen til en brannmur ble utført, og veldig vellykket, av antivirusprogrammer, men siden slutten av 90-tallet har virus blitt mer sofistikert, og utseendet til en brannmur har blitt nødvendig.
Filtrering av trafikk
Trafikk filtreres basert på spesifiserte regler - regelsett. Faktisk er en brannmur en sekvens av filtre som analyserer og behandler trafikk i henhold til en gitt konfigurasjonspakke. Hvert filter har sitt eget formål; dessuten kan sekvensen av regler påvirke ytelsen til skjermen betydelig. For eksempel, når man analyserer trafikk, sammenligner de fleste brannmurer den konsekvent med kjente mønstre fra listen - det er åpenbart at de mest populære typene bør plasseres så høyt som mulig.
Det er to prinsipper som innkommende trafikk behandles etter. I henhold til den første er alle datapakker tillatt, bortsett fra forbudte, så hvis den ikke faller inn under noen begrensning fra listen over konfigurasjoner, overføres den videre. I henhold til det andre prinsippet er kun data som ikke er forbudt tillatt - denne metoden gir den høyeste grad av sikkerhet, men belaster administratoren betydelig.
Brannmuren utfører to funksjoner: nekte, datanekt - og tillat - tillatelse for videre overføring av pakken. Noen brannmurer er også i stand til å utføre en avvisningsoperasjon – nekte trafikk, men informere avsenderen om at tjenesten ikke er tilgjengelig, noe som ikke er tilfellet med avvisningsoperasjonen, som dermed gir mer beskyttelse for verten.
Brannmurtyper
Oftest er brannmurer klassifisert i henhold til det støttede laget av OSI-nettverksmodellen. Skille:
- Administrerte brytere;
- Batch filtre;
- gatewayer på øktnivå;
- Søknadsformidlere;
- Statlige inspektører.
Administrerte brytere
Ofte er de klassifisert som brannmurer, men de utfører sin funksjon på datalinklaget, derfor er de ikke i stand til å behandle ekstern trafikk.
Flere produsenter (ZyXEL, Cisco) har lagt til produktet deres muligheten til å behandle data basert på MAC-adresser, som finnes i rammeoverskriftene. Ikke desto mindre gir selv denne metoden ikke alltid det forventede resultatet, siden mac-adressen enkelt kan endres ved hjelp av spesielle programmer. I denne forbindelse styres brytere i disse dager oftest av andre indikatorer, nemlig VLAN ID.
VLAN lar deg organisere grupper av verter der data er fullstendig isolert fra eksterne servere på nettverket.
I bedriftsnettverk kan administrerte brytere være en svært effektiv og relativt rimelig løsning. Deres største ulempe er manglende evne til å håndtere høyere lags protokoller.
Pakkefiltre
Pakkefiltre brukes på nettverkslaget for å kontrollere trafikk basert på data fra pakkehodet. Ofte er de også i stand til å behandle headers av protokoller og et høyere lag - transport (UDP, TCP) Pakkefiltre ble de aller første brannmurene, og er fortsatt de mest populære i dag. Ved mottak av innkommende trafikk analyseres data som IP-adressen til mottakeren og avsenderen, typen av protokoll, portene til mottakeren og kilden, tjenestehodene til nettverket og transportprotokoller.
Sårbarheten til pakkefiltre er at de kan sende ondsinnet kode hvis den er delt inn i segmenter: pakkene etterligner en del av annet tillatt innhold. Løsningen på dette problemet er å blokkere fragmenterte data, noen skjermer er også i stand til å defragmentere dem på sin egen gateway – før de sendes til hovednettverksnoden. Men selv i dette tilfellet kan brannmuren bli et offer for et DDos-angrep.
Pakkefiltre implementeres som OS-komponenter, kantrutere eller personlige brannmurer.
Pakkefiltre utmerker seg ved deres høye hastighet på pakkeanalyse og fungerer godt ved grensene til nettverk med lav konfidens. Imidlertid er de ikke i stand til å analysere høye nivåer av protokoller og kan lett bli offer forrep.
Innganger på øktnivå
Ved å bruke en brannmur kan du utelukke direkte interaksjon av eksterne servere med nettstedet - i dette tilfellet spiller det rollen som en mellommann kalt en proxy. Den sjekker hver innkommende pakke, og hopper ikke over de som ikke tilhører den tidligere etablerte tilkoblingen. De pakkene som utgir seg for å være pakker med en allerede fullført tilkobling, blir forkastet.
Gatewayen på øktnivå er den eneste koblingen mellom det eksterne og interne nettverket. Dermed blir det vanskelig å bestemme nettverkstopologien som gatewayen på øktnivå beskytter, noe som øker sikkerheten betydelig mot DoS-angrep.
Ikke desto mindre har selv denne løsningen en betydelig ulempe: på grunn av manglende evne til å sjekke innholdet i datafeltet, kan en hacker relativt enkelt overføre trojanere til det beskyttede nettverket.
Søknadsformidlere
I likhet med gatewayer på sesjonsnivå, formidler brannmurer på applikasjonsnivå mellom to noder, men de har en betydelig fordel - muligheten til å analysere konteksten til de overførte dataene. En brannmur av denne typen kan oppdage og blokkere uønskede og ikke-eksisterende kommandosekvenser (dette betyr ofte et DOS-angrep), og også forby noen av dem helt.
Mellomledd på applikasjonsnivå bestemmer også hvilken type informasjon som overføres - et godt eksempel er posttjenesten, som forbyr overføring av kjørbare filer. I tillegg kan de autentisere brukeren, om SSL-sertifikatene har en signatur fra et spesifikt senter.
Den største ulempen med denne typen brannmur er analyse av lang pakke, som krever mye tid. I tillegg har ikke applikasjonsmeglere støtte for automatisk tilkobling for nye protokoller og nettverksapplikasjoner.
Statusinspektører
Skaperne av de statlige inspektørene satte et mål om å samle fordelene med hver av de ovennevnte typene brannmurer, og dermed få en brannmur som kan håndtere trafikk både på nettverket og applikasjonslaget.
Tilstandsinspektører overvåker:
- alle økter - basert på tilstandstabellen,
- alle overførte datapakker - basert på den angitte regeltabellen,
- alle applikasjoner basert på utviklet av forhandlere.
Statens inspektørs trafikk filtreres på samme måte som ved bruk av gatewayer på øktnivå, noe som gjør den mye mer effektiv enn meglere på applikasjonsnivå. Statlige inspektører har et brukervennlig og intuitivt grensesnitt, enkel tilpasning og omfattende utvidbarhet.
Implementering av brannmurer
Brannmurer (brannmur) kan være enten programvare og maskinvare, for programvare. Førstnevnte kan lages både som en egen modul i en ruter eller switch, eller som en spesiell enhet.
Oftest velger brukere utelukkende programvarebrannmurer - av den grunn at de bare trenger å installere spesiell programvare for å bruke dem. Likevel er det i organisasjoner ofte vanskelig å finne en ledig datamaskin for et gitt formål – dessuten er en som oppfyller alle tekniske krav ofte ganske høy.
Det er derfor store selskaper foretrekker installasjon av spesialisert maskinvare- og programvaresystemer kalt "sikkerhetsapparat". De fungerer oftest på grunnlag av Linux eller FreeBSD-systemer, begrenset funksjonalitet for å utføre en gitt funksjon.
Denne løsningen har følgende fordeler:
- Enkel og enkel administrasjon: Kontroll av maskinvare- og programvarekomplekset utføres fra enhver standardprotokoll (Telnet, SNMP) - eller sikker (SSL, SSH).
- Høy ytelse: driften av operativsystemet er rettet mot en enkelt funksjon, alle eksterne tjenester er ekskludert fra den.
- Feiltoleranse: maskinvare- og programvaresystemer utfører effektivt oppgaven sin, sannsynligheten for feil er praktisk talt utelukket.
Brannmurrestriksjoner
Brannmuren filtrerer ikke data som den ikke kan tolke. Brukeren konfigurerer selv hva som skal gjøres med ukjente data - i konfigurasjonsfilen som slik trafikk behandles i henhold til. Slike datapakker inkluderer trafikk fra SRTP, IPsec, SSH, TLS-protokoller, som bruker kryptografi for å skjule innhold, protokoller som krypterer applikasjonslagdata (S/MIME og OpenPGP). Det er også umulig å filtrere trafikktunnelering hvis mekanismen for den tunneleringen ikke er tydelig for brannmuren. En betydelig del av feilene til brannmurer er fikset i UTM-systemer – Unified Threat Management, noen ganger kalles de også NextGen Firewall.
