Bức tường lửa. Tường lửa. Phương pháp tổ chức bảo vệ

Mục 5. Câu hỏi 8. (53) Tường lửa.

Tường lửa (FW) - Đây là một công cụ cục bộ (một thành phần) hoặc phần mềm (phần cứng và phần mềm) được phân phối theo chức năng (phức hợp) thực hiện kiểm soát thông tin đi vào AS và/hoặc rời khỏi AS. ME cung cấp khả năng bảo vệ AS bằng cách lọc thông tin, tức là phân tích của nó theo một bộ tiêu chí và đưa ra quyết định về việc phân phối nó đến (từ) AS dựa trên các quy tắc nhất định, do đó phân định quyền truy cập của các chủ thể từ một AS này đến các đối tượng của AS khác. Mỗi quy tắc cấm hoặc cho phép chuyển thông tin thuộc một loại nhất định giữa chủ thể và đối tượng. Kết quả là, các chủ thể từ một AS chỉ nhận được quyền truy cập vào các đối tượng thông tin được phép từ một AS khác. Việc giải thích một bộ quy tắc được thực hiện bởi một chuỗi các bộ lọc cho phép hoặc từ chối việc truyền dữ liệu (gói) đến bộ lọc hoặc lớp giao thức tiếp theo.

(định nghĩa từ RD ME)

Tường lửa - phần mềm hoặc phần cứng phức tạp cho phép bạn kiểm soát số lượng và chất lượng của các gói mạng đi qua nó ở mức độ bảo mật thích hợp. Tường lửa phân tích lưu lượng truy cập mạng dựa trên một bộ quy tắc cụ thể, theo đó tất cả dữ liệu sẽ được lọc.

(một định nghĩa đơn giản cho việc ghi nhớ, Habr)

Như vậy, nhiệm vụ chính của tường lửa (tường lửa, tường lửa, tường lửa) làbảo vệ các nút tự trị hoặc mạng máy tính dùng chung khỏi sự truy cập trái phép của bên thứ ba, những bên có thể sử dụng dữ liệu cho mục đích riêng của họ hoặc gây ra tác hại không thể khắc phục được cho chủ sở hữu mạng. Đó là lý do tại sao tường lửa còn được gọi là bộ lọc, không cho phép các gói dữ liệu không đáp ứng tiêu chí được chỉ định trong cấu hình đi qua. Lọc lưu lượng mạng có thể được thực hiện ở bất kỳ cấp độ nào của mô hình OSI. Thông tin từ các cấp độ khác nhau có thể được sử dụng làm tiêu chí: số cổng, nội dung trường dữ liệu, địa chỉ người gửi/người nhận.

Cơ quan kiểm soát công nghệ thông tin nhà nước xác định tường lửa cụ thể hơn là một thành phần của hệ thống bảo mật thông tin rộng rãi bao gồm một số tính năng bổ sung để đảm bảo hoạt động hiệu quả của nó. Chủ sở hữu mạng không bắt buộc phải mua tường lửa. Mặc dù thực tế rằng anh ta hoàn toàn chịu trách nhiệm về sự an toàn của thông tin bí mật, nhưng hiện tại, hệ thống bảo vệ như vậy ở Liên bang Nga chưa được phổ biến ở mức độ phù hợp. Lý tưởng nhất là nó nên được triển khai trong mọi mạng nội bộ để giám sát các luồng thông tin đến/đi suốt ngày đêm. Hệ thống giám sát an ninh thông tin ở một mức độ nào đó hiện đang thay thế các công cụ bảo mật mạng bổ sung, nhưng điều này là chưa đủ để định nghĩa hệ thống bảo mật cá nhân là một bộ phần cứng cấp cao.

(Habr)

Đối với những người tò mò, nó được viết rất hay về các vấn đề chứng nhậnhttp://habrahabr.ru/post/246193/

Bức tường lửa(ME) thực hiện chức năng phân định các luồng thông tin ở ranh giới của hệ thống tự động được bảo vệ. Điều này cho phép:

Tăng tính bảo mật cho các đối tượng trong môi trường bên trong bằng cách bỏ qua các yêu cầu trái phép từ môi trường bên ngoài;

Kiểm soát các luồng thông tin ra môi trường bên ngoài;

Đảm bảo đăng ký quá trình trao đổi thông tin.

Các luồng thông tin được kiểm soát thông qualọc thông tin, I E. phân tích nó dựa trên một bộ tiêu chí và đưa ra quyết định về lan rộng đến hoặc từ AC.

Tùy thuộc vào nguyên tắc hoạt động, có một sốlớp tường lửa. Đặc điểm phân loại chính là mức độ Mô hình ISO/OSI mà ME vận hành.

1. Bộ lọc gói.

Lớp tường lửa đơn giản nhất hoạt động ở cấp độ mạng và truyền tải của mô hình ISO/OSI. Việc lọc gói thường được thực hiện theo các tiêu chí sau:

Nguồn Địa chỉ IP;

Địa chỉ IP của người nhận;

Cổng nguồn;

Cổng người nhận;

Các thông số cụ thể của tiêu đề gói mạng.

Quá trình lọc được thực hiện bằng cách so sánh các tham số được liệt kê của tiêu đề gói mạng với cơ sở các quy tắc lọc.

Tường lửa lọc gói cũng có thể là các gói phần mềm dựa trên các hệ điều hành có mục đích chung (như Windows NT và Unix) hoặc trên nền tảng tường lửa phần cứng. Tường lửa có một số giao diện, mỗi giao diện dành cho mỗi mạng mà tường lửa được kết nối. Tương tự như tường lửa lớp ứng dụng, việc phân phối lưu lượng từ mạng này sang mạng khác được xác định bởi

một tập hợp các quy tắc chính sách. Nếu một quy tắc không cho phép rõ ràng một số lưu lượng nhất định thì các gói tương ứng sẽ bị tường lửa từ chối hoặc loại bỏ. Các quy tắc chính sách được tăng cường bởi

bằng cách sử dụng các bộ lọc gói. Bộ lọc kiểm tra các gói và xác định xem lưu lượng có được phép theo

quy tắc chính sách và trạng thái giao thức (kiểm tra trạng thái). Nếu giao thức ứng dụng đang hoạt động

thông qua TCP, việc xác định trạng thái tương đối đơn giản vì bản thân TCP hỗ trợ các trạng thái. Nó có nghĩa là,

rằng khi một giao thức ở một trạng thái nhất định, chỉ một số gói nhất định mới được phép truyền đi.

Hãy xem trình tự thiết lập kết nối làm ví dụ. Gói đầu tiên được mong đợi là gói SYN. Tường lửa phát hiện gói này và đặt kết nối vào trạng thái SYN. Ở trạng thái này, dự kiến ​​sẽ có một trong hai gói - SYN ACK (nhận dạng gói và cho phép kết nối) hoặc gói RST (đặt lại kết nối do người nhận từ chối kết nối). Nếu các gói khác xuất hiện trên một kết nối nhất định, tường lửa sẽ loại bỏ hoặc từ chối chúng vì chúng không phù hợp với trạng thái kết nối nhất định, ngay cả khi kết nối được bộ quy tắc cho phép. Nếu giao thức kết nối là UDP, tường lửa lọc gói không thể sử dụng trạng thái vốn có của giao thức và thay vào đó giám sát trạng thái lưu lượng UDP. Thông thường, tường lửa nhận gói UDP bên ngoài và đợi gói đến từ người nhận khớp với gói gốc theo địa chỉ và cổng trong một thời gian nhất định. Nếu gói được nhận trong khoảng thời gian này, việc truyền gói sẽ được phép. Mặt khác, tường lửa xác định rằng lưu lượng UDP không phản hồi yêu cầu và loại bỏ nó. Khi sử dụng tường lửa lọc gói, các kết nối không bị chấm dứt ở tường lửa mà được định tuyến trực tiếp đến hệ thống cuối. Khi các gói đến, tường lửa sẽ xác định xem gói và trạng thái kết nối có được các quy tắc chính sách cho phép hay không. Nếu vậy, gói sẽ được gửi dọc theo tuyến đường của nó. Nếu không, gói hàng sẽ bị từ chối hoặc hủy bỏ.

Tường lửa lọc gói không sử dụng các mô-đun truy cập cho mỗi

giao thức và do đó có thể được sử dụng với bất kỳ giao thức nào chạy trên IP. Một số giao thức yêu cầu tường lửa nhận ra các hành động mà chúng thực hiện. Ví dụ: FTP sẽ sử dụng một kết nối để đăng nhập và ra lệnh lần đầu, còn một kết nối khác để truyền tệp. Các kết nối được sử dụng để truyền tệp được thiết lập như một phần của kết nối FTP và do đó tường lửa phải có khả năng đọc lưu lượng và xác định các cổng sẽ được kết nối mới sử dụng. Nếu tường lửa của bạn không hỗ trợ điều này

chức năng, việc truyền tập tin là không thể. Tường lửa lọc gói có khả năng hỗ trợ nhiều lưu lượng truy cập hơn vì chúng không phải chịu gánh nặng về cấu hình và tính toán bổ sung xảy ra trong các mô-đun truy cập phần mềm. Tường lửa chỉ hoạt động thông qua lọc gói không sử dụng mô-đun truy cập và do đó lưu lượng được gửi trực tiếp từ máy khách đến máy chủ. Nếu máy chủ bị tấn công thông qua một dịch vụ mở được các quy tắc chính sách tường lửa cho phép,

tường lửa sẽ không phản ứng với cuộc tấn công. Tường lửa lọc gói cũng cho phép khả năng hiển thị bên ngoài vào cấu trúc địa chỉ bên trong. Không cần phải ẩn địa chỉ nội bộ vì các kết nối không bị gián đoạn bởi tường lửa.

2. Cổng cấp phiên

Các tường lửa này hoạt động ở cấp phiên của mô hình ISO/OSI. Không giống như các bộ lọc gói, chúng có thể kiểm soát tính hợp lệ của phiên giao tiếp bằng cách phân tích các tham số của các giao thức lớp phiên. Do đó, các cổng cấp phiên bao gồm các bộ lọc không thể được xác định bằng các lớp mạng, truyền tải hoặc ứng dụng. Bộ lọc cấp phiên có nhiều loại tùy thuộc vào tính năng chức năng của chúng, nhưng sự phân loại này khá tùy tiện vì khả năng của chúng phần lớn trùng lặp. Cần nhớ rằng tường lửa bao gồm tất cả hoặc hầu hết các loại cổng lớp phiên.

Kiểm soát các bit SYN và ACK. Một số bộ lọc cho phép bạn giám sát các bit SYN và ACK trong các gói TCP. Tất cả chúng đều được thiết kế để chống lại các cuộc tấn công tràn ngập SYN (xem thanh bên “Tấn công tràn ngập SYN”), nhưng chúng sử dụng các cách tiếp cận khác nhau. Bộ lọc đơn giản nhất cấm truyền các gói TCP có bit SYN, nhưng không có bit ACK, từ mạng công cộng đến các máy tính trong mạng nội bộ, trừ khi máy chủ sau được khai báo rõ ràng cho mạng bên ngoài (hoặc ít nhất là đối với một mạng cụ thể). nhóm máy tính trên mạng bên ngoài). Thật không may, bộ lọc như vậy không giúp chống lại các cuộc tấn công tràn ngập SYN trên các máy là máy chủ cho mạng bên ngoài nhưng nằm trên mạng nội bộ.

Đối với những mục đích này, các bộ lọc chuyên dụng với thứ tự nhiều giai đoạn để thiết lập kết nối được sử dụng. Ví dụ: bộ lọc SYNDefender Gateway từ tường lửa FireWall-1 của Check Point hoạt động như sau. Giả sử máy tính bên ngoài Z đang cố gắng thiết lập kết nối với máy chủ nội bộ A thông qua tường lửa Tường lửa. Quy trình thiết lập kết nối được hiển thị trong Hình 2. Khi tường lửa nhận gói SYN từ máy tính Z (bước 1), gói này sẽ được truyền đến máy chủ A (bước 2). Đáp lại, máy chủ A gửi gói SYN/ACK đến máy tính Z, nhưng tường lửa chặn nó (bước 3). Tiếp theo, ME chuyển tiếp gói đã nhận đến máy tính Z; ngoài ra, ME thay mặt máy tính Z gửi gói ACK đến máy chủ A (bước 4). Do phản hồi nhanh với máy chủ A, bộ nhớ máy chủ được phân bổ để thiết lập kết nối mới sẽ không bao giờ đầy và cuộc tấn công tràn ngập SYN sẽ không hoạt động.

Điều gì xảy ra tiếp theo tùy thuộc vào việc máy tính Z có thực sự bắt đầu kết nối với máy chủ A hay không. Nếu vậy, máy tính Z sẽ gửi gói ACK đến máy chủ A, gói này đi qua tường lửa (bước 5a). Máy chủ A sẽ bỏ qua gói ACK thứ hai. Khi đó tường lửa sẽ tự do chuyển các gói tin giữa máy tính A và Z. Nếu tường lửa không nhận được gói ACK hoặc hết thời gian chờ thiết lập kết nối, nó sẽ gửi gói RST đến máy chủ A, hủy kết nối (bước 5b).

Bộ lọc để theo dõi trạng thái của kênh liên lạc.

Các bộ lọc để theo dõi trạng thái của kênh liên lạc thường bao gồm các bộ lọc mạng (cấp mạng) với các khả năng nâng cao.

Lọc động trong bộ lọc mạng. Không giống như lọc tĩnh tiêu chuẩn trong các bộ lọc mạng, lọc động (trạng thái) cho phép bạn chỉ định một quy tắc cho mỗi kênh liên lạc thay vì một số quy tắc lọc. Trong trường hợp này, bộ lọc động tự giám sát trình tự trao đổi gói dữ liệu giữa máy khách và máy chủ, bao gồm địa chỉ IP, giao thức lớp vận chuyển, số cổng người gửi và người nhận và đôi khi là số thứ tự của gói. Rõ ràng là việc lọc như vậy đòi hỏi phải có thêm RAM. Hiệu suất của bộ lọc động có phần kém hơn so với bộ lọc tĩnh.

Lọc các gói bị phân mảnh. Khi được truyền qua các mạng có MTU khác nhau, các gói IP có thể được chia thành các đoạn riêng biệt, chỉ đoạn đầu tiên luôn chứa tiêu đề gói lớp vận chuyển hoàn chỉnh, bao gồm cả thông tin cổng phần mềm. Các bộ lọc mạng thông thường không thể kiểm tra các đoạn khác ngoài đoạn đầu tiên và cho phép chúng vượt qua (nếu đáp ứng các tiêu chí về địa chỉ IP và giao thức được sử dụng). Do đó, kẻ tấn công có thể tổ chức các cuộc tấn công từ chối dịch vụ nguy hiểm bằng cách cố tình tạo ra một số lượng lớn các phân đoạn và từ đó chặn hoạt động của máy tính nhận gói. Bộ lọc gói bị phân mảnh không cho phép các phân đoạn đi qua nếu gói đầu tiên không đăng ký được.

3. Cổng ứng dụng

Tường lửa của lớp này cho phép bạn lọc một số loại lệnh hoặc bộ dữ liệu nhất định trong các giao thức cấp ứng dụng. Với mục đích này chúng được sử dụngdịch vụ proxy- các chương trình có mục đích đặc biệt quản lý lưu lượng truy cập thông qua tường lửa cho một số giao thức cấp cao nhất định (http, ftp, telnet, v.v.).

Nếu không sử dụng dịch vụ proxy, kết nối mạng được thiết lập giữa các bên tương tácMỘT Và Btrực tiếp, thì trong trường hợp sử dụng dịch vụ proxy, một bên trung gian sẽ xuất hiện -máy chủ proxy, tương tác độc lập với người tham gia thứ hai trong quá trình trao đổi thông tin. Lược đồ này cho phép bạn kiểm soát khả năng chấp nhận sử dụng các lệnh giao thức cấp cao riêng lẻ, cũng như lọc dữ liệu mà máy chủ proxy nhận được từ bên ngoài; trong trường hợp này, máy chủ proxy, dựa trên các chính sách đã thiết lập, có thể quyết định khả năng hoặc không thể chuyển dữ liệu này cho máy kháchMỘT.

Tường lửa lớp ứng dụng hoặc tường lửa proxy là các gói phần mềm dựa trên các hệ điều hành có mục đích chung (chẳng hạn như Windows NT và Unix) hoặc trên nền tảng phần cứng tường lửa.

Trong tường lửa lớp ứng dụng, mỗi giao thức được phép phải có mô-đun truy cập riêng. Các mô-đun truy cập tốt nhất là những mô-đun được xây dựng riêng cho giao thức đang được giải quyết. Ví dụ: mô-đun truy cập FTP nhắm mục tiêu vào giao thức FTP và có thể xác định xem lưu lượng truy cập có phù hợp với giao thức đó hay không và liệu lưu lượng đó có được phép theo các quy tắc chính sách bảo mật hay không.

Tường lửa chấp nhận kết nối, phân tích nội dung của gói và giao thức được sử dụng, đồng thời xác định xem lưu lượng có tuân thủ các quy tắc chính sách bảo mật hay không. Nếu có sự trùng khớp, tường lửa sẽ khởi tạo một kết nối mới giữa giao diện bên ngoài và hệ thống máy chủ.

Mô-đun truy cập của tường lửa chấp nhận các kết nối đến và xử lý các lệnh trước khi gửi lưu lượng truy cập đến người nhận, từ đó bảo vệ hệ thống khỏi các cuộc tấn công dựa trên ứng dụng.

Tường lửa lớp ứng dụng chứa các mô-đun truy cập cho các giao thức được sử dụng phổ biến nhất như HTTP, SMTP, FTP và telnet. Một số mô-đun truy cập có thể bị thiếu, ngăn cản việc sử dụng một giao thức cụ thể để liên lạc qua tường lửa.

4. Tường lửa cấp chuyên gia.

Tường lửa phức tạp nhất, kết hợp các yếu tố của cả ba loại trên. Thay vì dịch vụ proxy, những màn hình như vậy sử dụng thuật toán để nhận dạng và xử lý dữ liệu ở cấp ứng dụng. Hầu hết các tường lửa hiện đang được sử dụng đều được phân loại là tường lửa chuyên nghiệp. ME nổi tiếng và phổ biến nhất làCISCO PIX Và CheckPoint FireWall-1. Các nhà sản xuất tường lửa cấp ứng dụng, do sự phát triển nhanh chóng của công nghệ CNTT, đã đi đến kết luận rằng cần phải phát triển một phương pháp hỗ trợ các giao thức không có mô-đun truy cập cụ thể. Đây là cách xuất hiện công nghệ mô-đun truy cập Proxy dịch vụ chung (GSP), được thiết kế để hỗ trợ các mô-đun truy cập cấp ứng dụng với các giao thức khác mà hệ thống bảo mật và công việc của quản trị viên mạng yêu cầu. GSP cho phép tường lửa lớp ứng dụng hoạt động như tường lửa lọc gói. Nhiều tường lửa lọc gói đã có sẵn mô-đun truy cập SMTP. Ở thời điểm hiện tại, hầu như không thể tìm thấy tường lửa có hoạt động chỉ được xây dựng trên lớp ứng dụng hoặc lọc gói, vì nó cho phép quản trị viên chịu trách nhiệm bảo mật định cấu hình thiết bị để hoạt động trong các điều kiện cụ thể.

(nguồn Câu trả lời từ năm ngoái)

Văn bản quy định chínhtheo ME là “Tài liệu hướng dẫn. Cơ sở máy tính. Tường lửa. Bảo vệ chống truy cập trái phép vào thông tin. Các chỉ số an ninh chống truy cập thông tin trái phép" (Được Ủy ban Kỹ thuật Nhà nước phê duyệt ngày 25/7/1997)

Theo đó, ME là một công cụ cục bộ (một thành phần) hoặc được phân phối theo chức năng (phức hợp), thực hiện kiểm soát thông tin đi vào AS và/hoặc ra khỏi AS và đảm bảo bảo vệ AS bằng cách lọc thông tin, tức là. phân tích của nó theo một bộ tiêu chí và đưa ra quyết định về việc phân phối nó đến (từ) AS.

Năm lớp bảo mật ME được thiết lập.

Mỗi lớp được đặc trưng bởi một bộ yêu cầu tối thiểu nhất định để bảo vệ thông tin.

Lớp bảo mật thấp nhất là lớp thứ năm, được sử dụng để tương tác an toàn giữa loa lớp 1D với môi trường bên ngoài, lớp thứ tư - dành cho 1G, lớp thứ ba - 1B, lớp thứ hai - 1B, cao nhất là lớp đầu tiên, được sử dụng cho lớp bảo mật an toàn của loa lớp 1A với môi trường bên ngoài.

Các yêu cầu đối với ME không loại trừ các yêu cầu đối với thiết bị máy tính (CT) và AS theo hướng dẫn của “Thiết bị máy tính” của Ủy ban Kỹ thuật Nhà nước Nga. Bảo vệ chống truy cập trái phép vào thông tin. Các chỉ số bảo mật chống truy cập thông tin trái phép” và “Hệ thống tự động. Bảo vệ chống truy cập trái phép vào thông tin. Phân loại hệ thống tự động và yêu cầu bảo vệ thông tin.”

Khi ME được bao gồm trong AS của một lớp bảo mật nhất định thì lớp bảo mật của tổng AS thu được từ AS ban đầu bằng cách thêm ME vào nó sẽ không bị giảm.

Đối với loa loại 3B, 2B, phải sử dụng ME ít nhất là loại 5.

Đối với người nói loại 3A, 2A, tùy theo tầm quan trọng của thông tin được xử lý, nên sử dụng ME của các loại sau:

Khi xử lý thông tin được phân loại là “bí mật” - không thấp hơn loại 3;

Khi xử lý thông tin được phân loại là “tuyệt mật” - không thấp hơn loại 2;

Khi xử lý thông tin được phân loại là “tầm quan trọng đặc biệt” - không thấp hơn loại 1.

Yêu cầu về tường lửa

(nguồn RD ME)

Có một số loại tường lửa tùy thuộc vào các đặc điểm sau:

liệu lá chắn có cung cấp kết nối giữa một nút và mạng hoặc giữa hai hoặc nhiều mạng khác nhau hay không;

liệu việc kiểm soát luồng dữ liệu có xảy ra ở lớp mạng hay các cấp độ cao hơn của mô hình OSI hay không;

trạng thái của các kết nối đang hoạt động có được giám sát hay không.

Tùy thuộc vào phạm vi bao phủ của luồng dữ liệu được kiểm soát, tường lửa được chia thành:

mạng truyền thống (hoặc tường lửa) - một chương trình (hoặc một phần không thể thiếu của hệ điều hành) trên cổng (thiết bị truyền lưu lượng giữa các mạng) hoặc giải pháp phần cứng kiểm soát luồng dữ liệu đến và đi giữa các mạng được kết nối (đối tượng mạng phân tán) ;

tường lửa cá nhân là một chương trình được cài đặt trên máy tính của người dùng và được thiết kế để chỉ bảo vệ máy tính này khỏi bị truy cập trái phép.

Tùy thuộc vào cấp độ OSI nơi xảy ra kiểm soát truy cập, tường lửa có thể hoạt động trên:

cấp độ mạng, khi quá trình lọc diễn ra dựa trên địa chỉ của người gửi và người nhận gói, số cổng của lớp vận chuyển của mô hình OSI và các quy tắc tĩnh do quản trị viên chỉ định;

cấp độ phiên(còn được biết là có trạng thái), khi các phiên giữa các ứng dụng được giám sát và các gói vi phạm thông số kỹ thuật TCP/IP không được truyền, thường được sử dụng trong các hoạt động độc hại - quét tài nguyên, hack thông qua việc triển khai TCP/IP không chính xác, kết nối bị rớt/chậm, tiêm dữ liệu;

cấp độ ứng dụng(hoặc cấp độ ứng dụng), khi quá trình lọc được thực hiện dựa trên phân tích dữ liệu ứng dụng được truyền trong gói. Những loại màn hình này cho phép bạn chặn việc truyền thông tin không mong muốn và có khả năng gây hại dựa trên các chính sách và cài đặt.

Lọc ở cấp độ mạng

Việc lọc các gói đến và đi được thực hiện dựa trên thông tin có trong các trường sau của tiêu đề TCP và IP của gói: địa chỉ IP của người gửi; Địa chỉ IP của người nhận; cổng gửi; cổng người nhận.

Việc lọc có thể được thực hiện theo nhiều cách khác nhau để chặn kết nối đến các máy tính hoặc cổng cụ thể. Ví dụ: bạn có thể chặn các kết nối đến từ các địa chỉ cụ thể của những máy tính và mạng được coi là không đáng tin cậy.

chi phí tương đối thấp;

linh hoạt trong việc xác định quy tắc lọc;

một chút chậm trễ trong việc truyền gói tin.

Sai sót:

không thu thập các gói bị phân mảnh;

không có cách nào để theo dõi mối quan hệ (kết nối) giữa các gói.?

Lọc cấp phiên

Tùy thuộc vào việc giám sát các kết nối đang hoạt động, tường lửa có thể:

không quốc tịch(lọc đơn giản), không giám sát các kết nối hiện tại (ví dụ: TCP), nhưng chỉ lọc luồng dữ liệu dựa trên các quy tắc tĩnh;

trạng thái, kiểm tra gói có trạng thái (SPI)(lọc nhận biết ngữ cảnh), giám sát các kết nối hiện tại và chỉ truyền những gói đáp ứng logic và thuật toán của các giao thức và ứng dụng tương ứng.

Tường lửa có SPI giúp chống lại nhiều loại tấn công DoS và lỗ hổng khác nhau của một số giao thức mạng một cách hiệu quả hơn. Ngoài ra, chúng còn đảm bảo hoạt động của các giao thức như H.323, SIP, FTP, v.v., sử dụng các sơ đồ truyền dữ liệu phức tạp giữa những người nhận, khó mô tả bằng các quy tắc tĩnh và thường không tương thích với tường lửa tiêu chuẩn, không trạng thái.

Những lợi thế của việc lọc như vậy bao gồm:

phân tích nội dung gói;

không cần thông tin về hoạt động của các giao thức lớp 7.

Sai sót:

rất khó để phân tích dữ liệu cấp ứng dụng (có thể sử dụng ALG - Cổng cấp ứng dụng).

Cổng cấp ứng dụng, ALG (cổng cấp ứng dụng) là một thành phần của bộ định tuyến NAT hiểu giao thức ứng dụng và khi các gói của giao thức này đi qua nó, nó sẽ sửa đổi chúng theo cách mà người dùng đằng sau NAT có thể sử dụng giao thức.

Dịch vụ ALG cung cấp hỗ trợ cho các giao thức cấp ứng dụng (chẳng hạn như SIP, H.323, FTP, v.v.) mà Dịch Địa chỉ Mạng không được phép. Dịch vụ này xác định loại ứng dụng trong các gói đến từ giao diện mạng nội bộ và theo đó thực hiện dịch địa chỉ/cổng cho chúng thông qua giao diện bên ngoài.

Công nghệ SPI (Kiểm tra gói trạng thái) hoặc công nghệ kiểm tra gói có tính đến trạng thái của giao thức ngày nay là một phương pháp kiểm soát lưu lượng tiên tiến. Công nghệ này cho phép bạn kiểm soát dữ liệu ở cấp độ ứng dụng mà không yêu cầu ứng dụng trung gian hoặc proxy riêng cho từng giao thức hoặc dịch vụ mạng được bảo vệ.

Trong lịch sử, tường lửa đã phát triển từ các bộ lọc gói có mục đích chung đến các phần mềm trung gian dành riêng cho giao thức để kiểm tra trạng thái. Các công nghệ trước đây chỉ bổ sung cho nhau chứ không cung cấp khả năng kiểm soát toàn diện các kết nối. Bộ lọc gói không có quyền truy cập vào thông tin trạng thái kết nối và ứng dụng cần thiết để hệ thống bảo mật đưa ra quyết định cuối cùng. Các chương trình phần mềm trung gian chỉ xử lý dữ liệu ở cấp độ ứng dụng, điều này thường tạo ra nhiều cơ hội khác nhau cho việc hack hệ thống. Kiến trúc kiểm tra trạng thái là duy nhất vì nó cho phép bạn xử lý tất cả thông tin có thể đi qua máy cổng: dữ liệu từ gói, dữ liệu về trạng thái kết nối, dữ liệu mà ứng dụng cần.

Ví dụ về cơ chếcó trạng tháiĐiều tra. Tường lửa giám sát phiên FTP bằng cách kiểm tra dữ liệu ở cấp ứng dụng. Khi máy khách yêu cầu máy chủ mở kết nối ngược (lệnh FTP PORT), tường lửa sẽ trích xuất số cổng từ yêu cầu đó. Danh sách lưu trữ địa chỉ máy khách và máy chủ và số cổng. Khi phát hiện nỗ lực thiết lập kết nối dữ liệu FTP, tường lửa sẽ quét danh sách và kiểm tra xem kết nối đó có thực sự là phản hồi cho yêu cầu hợp lệ của khách hàng hay không. Danh sách kết nối được duy trì linh hoạt để chỉ mở các cổng FTP cần thiết. Ngay sau khi phiên đóng, các cổng sẽ bị chặn, mang lại mức độ bảo mật cao.

Cơm. 2.12. Một ví dụ về cơ chế Kiểm tra trạng thái hoạt động với giao thức FTP

Lọc cấp độ ứng dụng

Để bảo vệ một số lỗ hổng cố hữu trong việc lọc gói tin, tường lửa phải sử dụng các chương trình ứng dụng để lọc các kết nối đến các dịch vụ như Telnet, HTTP, FTP. Ứng dụng như vậy được gọi là dịch vụ proxy và máy chủ mà dịch vụ proxy chạy trên đó được gọi là cổng cấp ứng dụng. Cổng như vậy giúp loại bỏ sự tương tác trực tiếp giữa máy khách được ủy quyền và máy chủ bên ngoài. Cổng lọc tất cả các gói đến và đi ở lớp ứng dụng (lớp ứng dụng - lớp trên cùng của mô hình mạng) và có thể phân tích nội dung dữ liệu, chẳng hạn như URL chứa trong thông báo HTTP hoặc lệnh có trong thông báo FTP. Đôi khi sẽ hiệu quả hơn nếu lọc các gói dựa trên thông tin có trong chính dữ liệu đó. Bộ lọc gói và bộ lọc cấp liên kết không sử dụng nội dung của luồng thông tin khi đưa ra quyết định lọc, nhưng lọc cấp ứng dụng có thể làm như vậy. Bộ lọc cấp ứng dụng có thể sử dụng thông tin từ tiêu đề gói cũng như nội dung dữ liệu và thông tin người dùng. Quản trị viên có thể sử dụng tính năng lọc cấp ứng dụng để kiểm soát quyền truy cập dựa trên danh tính của người dùng và/hoặc dựa trên tác vụ cụ thể mà người dùng đang cố gắng thực hiện. Trong các bộ lọc cấp ứng dụng, bạn có thể đặt quy tắc dựa trên các lệnh do ứng dụng đưa ra. Ví dụ: quản trị viên có thể ngăn một người dùng cụ thể tải tệp xuống một máy tính cụ thể bằng FTP hoặc cho phép người dùng lưu trữ tệp qua FTP trên cùng một máy tính.

Những lợi thế của việc lọc như vậy bao gồm:

quy tắc lọc đơn giản;

khả năng tổ chức một số lượng lớn các cuộc thanh tra. Tính năng bảo vệ ở cấp độ ứng dụng cho phép thực hiện một số lượng lớn các bước kiểm tra bổ sung, giúp giảm khả năng bị hack bằng cách sử dụng các lỗ hổng trong phần mềm;

khả năng phân tích dữ liệu ứng dụng.

Sai sót:

hiệu suất tương đối thấp so với lọc gói;

proxy phải hiểu giao thức của nó (không thể sử dụng với các giao thức không xác định)?;

Theo quy định, nó chạy trong các hệ điều hành phức tạp.

Bức tường lửa

Tường lửa (Tường lửa hoặc Tường lửa) là một phương tiện lọc lưu lượng gói đến từ mạng bên ngoài liên quan đến mạng cục bộ hoặc máy tính nhất định. Hãy xem xét lý do xuất hiện và các nhiệm vụ được thực hiện bởi Tường lửa. Mạng dữ liệu hiện đại bao gồm nhiều thiết bị hiệu suất cao từ xa tương tác với nhau trên một khoảng cách đáng kể. Một trong những mạng truyền dữ liệu quy mô lớn nhất là mạng máy tính như Internet. Nó đồng thời sử dụng hàng triệu nguồn thông tin và người tiêu dùng trên khắp thế giới. Sự phát triển rộng rãi của mạng này cho phép nó không chỉ được sử dụng bởi các cá nhân mà còn bởi các công ty lớn để hợp nhất các thiết bị khác nhau của họ trên khắp thế giới thành một mạng duy nhất. Đồng thời, quyền truy cập chung vào các tài nguyên vật lý chung mở ra cơ hội cho những kẻ lừa đảo, vi rút và đối thủ cạnh tranh gây hại cho người dùng cuối: đánh cắp, bóp méo, trồng hoặc phá hủy thông tin được lưu trữ, vi phạm tính toàn vẹn của phần mềm và thậm chí xóa phần cứng của máy. trạm cuối. Để ngăn chặn những tác động không mong muốn này, cần phải ngăn chặn truy cập trái phép, trong đó Tường lửa thường được sử dụng. Chính cái tên Tường lửa (bức tường - từ bức tường tiếng Anh) đã che giấu mục đích của nó, tức là. nó đóng vai trò như một bức tường giữa mạng cục bộ được bảo vệ và Internet hoặc bất kỳ mạng bên ngoài nào khác và ngăn chặn mọi mối đe dọa. Ngoài các chức năng trên, tường lửa còn có thể thực hiện các chức năng khác liên quan đến lọc lưu lượng truy cập từ/đến bất kỳ tài nguyên Internet nào.

Nguyên lý hoạt động của Tường lửa dựa trên việc kiểm soát lưu lượng truy cập đến từ bên ngoài. Có thể chọn các phương pháp giám sát lưu lượng sau đây giữa mạng cục bộ và mạng bên ngoài:

1. Lọc gói– dựa trên việc thiết lập một bộ bộ lọc. Tùy thuộc vào việc gói đến có thỏa mãn các điều kiện được chỉ định trong bộ lọc hay không, nó sẽ được chuyển vào mạng hoặc bị loại bỏ.

2. Máy chủ proxy– một thiết bị máy chủ proxy bổ sung được cài đặt giữa mạng cục bộ và mạng bên ngoài, đóng vai trò như một “cổng” mà qua đó tất cả lưu lượng truy cập vào và ra phải đi qua.

3. Kiểm tra nhà nước– kiểm tra lưu lượng truy cập đến là một trong những cách tiên tiến nhất để triển khai Tường lửa. Kiểm tra không có nghĩa là phân tích toàn bộ gói mà chỉ phân tích phần khóa đặc biệt của nó và so sánh nó với các giá trị đã biết trước đó từ cơ sở dữ liệu về các tài nguyên được phép. Phương pháp này cung cấp hiệu suất Tường lửa cao nhất và độ trễ thấp nhất.

Tường lửa có thể được triển khai bằng phần cứng hoặc phần mềm. Việc triển khai cụ thể phụ thuộc vào quy mô của mạng, lưu lượng truy cập và các tác vụ được yêu cầu. Loại Tường lửa phổ biến nhất là phần mềm. Trong trường hợp này, nó được triển khai dưới dạng một chương trình chạy trên PC cuối hoặc thiết bị mạng biên chẳng hạn. Trong trường hợp triển khai phần cứng, Tường lửa là một thành phần mạng riêng biệt, thường có khả năng hoạt động cao hơn nhưng thực hiện các tác vụ tương tự.

Tường lửa cho phép bạn định cấu hình các bộ lọc chịu trách nhiệm truyền lưu lượng truy cập theo các tiêu chí sau:

1. địa chỉ IP. Như bạn đã biết, bất kỳ thiết bị đầu cuối nào hoạt động theo giao thức đều phải có một địa chỉ duy nhất. Bằng cách đặt một địa chỉ nhất định hoặc một phạm vi nhất định, bạn có thể cấm nhận các gói từ chúng hoặc ngược lại, chỉ cho phép truy cập từ các địa chỉ IP này.

2. Tên miền. Như bạn đã biết, một trang web trên Internet, hay đúng hơn là địa chỉ IP của nó, có thể được gán một tên gồm chữ và số, dễ nhớ hơn nhiều so với một tập hợp số. Do đó, bộ lọc có thể được cấu hình để chỉ cho phép lưu lượng truy cập đến/từ một trong các tài nguyên hoặc từ chối quyền truy cập vào tài nguyên đó.

3. Hải cảng. Chúng ta đang nói về các cổng phần mềm, tức là. các điểm truy cập ứng dụng tới các dịch vụ mạng. Vì vậy, ví dụ: ftp sử dụng cổng 21 và các ứng dụng để xem trang web sử dụng cổng 80. Điều này cho phép bạn từ chối quyền truy cập từ các dịch vụ và ứng dụng mạng không mong muốn hoặc ngược lại, chỉ cho phép truy cập vào chúng.

4. Giao thức. Tường lửa có thể được cấu hình để cho phép dữ liệu từ chỉ một giao thức đi qua hoặc từ chối quyền truy cập bằng cách sử dụng nó. Thông thường, loại giao thức có thể chỉ ra các tác vụ mà nó thực hiện, ứng dụng mà nó sử dụng và tập hợp các tham số bảo mật. Bằng cách này, quyền truy cập có thể được cấu hình để chỉ chạy một ứng dụng cụ thể và ngăn chặn quyền truy cập nguy hiểm tiềm tàng bằng cách sử dụng tất cả các giao thức khác.

Được liệt kê ở trên chỉ là các tham số chính có thể được cấu hình. Các cài đặt bộ lọc dành riêng cho mạng khác cũng có thể được áp dụng, tùy thuộc vào tác vụ được thực hiện trên mạng đó.

Do đó, Tường lửa cung cấp một bộ nhiệm vụ toàn diện để ngăn chặn truy cập trái phép, làm hỏng hoặc đánh cắp dữ liệu hoặc các tác động tiêu cực khác có thể ảnh hưởng đến hiệu suất của mạng. Thông thường, tường lửa được sử dụng cùng với các công cụ bảo mật khác, chẳng hạn như phần mềm chống vi-rút.

Số lượng các sự cố liên quan đến an toàn thông tin, theo các cơ quan phân tích hàng đầu, không ngừng gia tăng. Các chuyên gia chịu trách nhiệm về bảo mật thông tin lưu ý hoạt động ngày càng tăng của những kẻ tấn công bên ngoài bằng cách sử dụng những phát triển mới nhất trong lĩnh vực tấn công, cố gắng xâm nhập vào mạng công ty để thực hiện các hành động “bẩn” của chúng.

Số lượng các sự cố liên quan đến an toàn thông tin, theo các cơ quan phân tích hàng đầu, không ngừng gia tăng. Các chuyên gia chịu trách nhiệm về bảo mật thông tin lưu ý hoạt động ngày càng tăng của những kẻ tấn công bên ngoài bằng cách sử dụng những phát triển mới nhất trong lĩnh vực tấn công, cố gắng xâm nhập vào mạng công ty để thực hiện các hành động “bẩn” của chúng. Chúng không bị giới hạn trong việc đánh cắp thông tin hoặc vô hiệu hóa các nút mạng. Việc các mạng bị tấn công được sử dụng để khởi động các cuộc tấn công mới không phải là điều hiếm gặp. Vì vậy, bảo vệ vành đai của hệ thống thông tin là yếu tố bắt buộc trong hệ thống bảo mật thông tin của tổ chức.

Đồng thời, để xác định thành phần của các thành phần bảo vệ vành đai mang lại mức độ bảo mật thông tin tối thiểu (ban đầu), cần phân tích các mối đe dọa phổ biến nhất đối với tài nguyên thông tin của tổ chức:
các cuộc tấn công mạng nhằm mục đích làm cho tài nguyên thông tin không khả dụng (ví dụ: máy chủ web, dịch vụ email, v.v.) - các cuộc tấn công DoS và DDoS;
xâm phạm tài nguyên thông tin và leo thang đặc quyền của cả người trong cuộc và kẻ tấn công bên ngoài, nhằm mục đích sử dụng tài nguyên của bạn và nhằm mục đích gây thiệt hại;
hành động của mã phần mềm độc hại (vi-rút, sâu mạng, Trojan, phần mềm gián điệp, v.v.);
rò rỉ thông tin bí mật và đánh cắp dữ liệu qua mạng (e-mail, FTP, web, v.v.) và qua phương tiện bên ngoài;
các cuộc tấn công mạng khác nhau vào các ứng dụng.

Để giảm thiểu các mối đe dọa bảo mật thông tin, cần triển khai tường lửa ở các cấp độ khác nhau của mô hình OSI, như được trình bày trong bảng.

Bàn. Tường lửa và mô hình OSI

Hoạt động của tất cả các tường lửa đều dựa trên việc sử dụng thông tin từ các cấp độ khác nhau của mô hình OSI (bảng). Mô hình OSI, do Tổ chức Tiêu chuẩn hóa Quốc tế phát triển, xác định bảy lớp mà tại đó các hệ thống máy tính tương tác với nhau, từ cấp độ phương tiện truyền dẫn vật lý đến cấp độ chương trình ứng dụng được sử dụng để liên lạc. Nói chung, cấp độ của mô hình OSI mà tường lửa lọc các gói càng cao thì mức độ bảo vệ mà nó cung cấp càng cao.

Có thể chọn các phương pháp giám sát lưu lượng sau đây giữa mạng cục bộ và mạng bên ngoài:
1. Lọc gói- dựa trên việc thiết lập một bộ bộ lọc. Tùy thuộc vào việc gói đến có thỏa mãn các điều kiện được chỉ định trong bộ lọc hay không, nó sẽ được chuyển vào mạng hoặc bị loại bỏ.
2. Lớp bộ định tuyến này là trình dịch kết nối TCP. Cổng chấp nhận yêu cầu của khách hàng được ủy quyền đối với các dịch vụ cụ thể và sau khi xác minh rằng phiên được yêu cầu là hợp lệ, sẽ thiết lập kết nối đến đích (máy chủ bên ngoài). Sau đó, cổng sao chép các gói theo cả hai hướng mà không lọc chúng. Theo quy định, đích đến được chỉ định trước, trong khi có thể có nhiều nguồn. Sử dụng các cổng khác nhau, bạn có thể tạo nhiều cấu hình kết nối khác nhau. Loại cổng này cho phép bạn tạo trình dịch kết nối TCP cho bất kỳ dịch vụ dựa trên TCP nào do người dùng xác định, kiểm soát quyền truy cập vào dịch vụ này và thu thập số liệu thống kê về việc sử dụng nó.
3. Máy chủ proxy- một thiết bị máy chủ proxy bổ sung được cài đặt giữa mạng cục bộ và mạng bên ngoài, đóng vai trò như một “cổng” mà qua đó tất cả lưu lượng truy cập vào và ra phải đi qua. Kiểm tra nhà nước- kiểm tra lưu lượng truy cập đến là một trong những cách tiên tiến nhất để triển khai tường lửa. Kiểm tra có nghĩa là phân tích không phải toàn bộ gói mà chỉ phân tích phần khóa đặc biệt của nó và so sánh với các giá trị đã biết trước đó từ cơ sở dữ liệu về các tài nguyên được phép. Phương pháp này cung cấp hiệu suất tường lửa cao nhất và độ trễ thấp nhất.

Nguyên lý hoạt động của tường lửa dựa trên việc kiểm soát lưu lượng truy cập đến từ bên ngoài.

Tường lửa có thể được triển khai bằng phần cứng hoặc phần mềm. Việc triển khai cụ thể phụ thuộc vào quy mô của mạng, lưu lượng truy cập và các tác vụ được yêu cầu. Loại tường lửa phổ biến nhất là phần mềm. Trong trường hợp này, nó được triển khai dưới dạng một chương trình chạy trên PC cuối hoặc thiết bị mạng biên, chẳng hạn như bộ định tuyến. Trong trường hợp triển khai phần cứng, tường lửa là một thành phần mạng riêng biệt, thường có khả năng hoạt động cao hơn nhưng thực hiện các tác vụ tương tự.

Tường lửa cho phép bạn định cấu hình các bộ lọc chịu trách nhiệm truyền lưu lượng truy cập theo các tiêu chí sau:
1. Địa chỉ IP. Như bạn đã biết, mọi thiết bị đầu cuối hoạt động qua giao thức IP đều phải có một địa chỉ duy nhất. Bằng cách chỉ định một địa chỉ nhất định hoặc một phạm vi nhất định, bạn có thể cấm nhận các gói từ chúng hoặc ngược lại, chỉ cho phép truy cập từ các địa chỉ IP này.
2. Tên miền. Như bạn đã biết, một trang web trên Internet, hay đúng hơn là địa chỉ IP của nó, có thể được gán một tên gồm chữ và số, dễ nhớ hơn nhiều so với một tập hợp số. Do đó, bộ lọc có thể được cấu hình để chỉ cho phép lưu lượng truy cập đến/từ một trong các tài nguyên hoặc từ chối quyền truy cập vào tài nguyên đó.
3. Hải cảng. Chúng ta đang nói về các cổng phần mềm, tức là. các điểm truy cập ứng dụng tới các dịch vụ mạng. Ví dụ: ftp sử dụng cổng 21 và các ứng dụng xem trang web sử dụng cổng 80. Điều này cho phép bạn từ chối quyền truy cập từ các dịch vụ và ứng dụng mạng không mong muốn hoặc ngược lại, chỉ cho phép truy cập vào chúng.
4. Giao thức. Tường lửa có thể được cấu hình để cho phép dữ liệu từ chỉ một giao thức đi qua hoặc từ chối quyền truy cập bằng cách sử dụng nó. Thông thường, loại giao thức có thể chỉ ra các tác vụ được thực hiện bởi ứng dụng mà nó sử dụng và tập hợp các tham số bảo mật. Bằng cách này, quyền truy cập có thể được cấu hình để chỉ chạy một ứng dụng cụ thể và ngăn chặn quyền truy cập nguy hiểm tiềm tàng bằng cách sử dụng tất cả các giao thức khác.

Được liệt kê ở trên chỉ là các tham số chính có thể được cấu hình. Các cài đặt bộ lọc dành riêng cho mạng khác cũng có thể được áp dụng, tùy thuộc vào tác vụ được thực hiện trên mạng đó.

Do đó, tường lửa cung cấp một bộ nhiệm vụ toàn diện để ngăn chặn truy cập trái phép, làm hỏng hoặc đánh cắp dữ liệu hoặc các tác động tiêu cực khác có thể ảnh hưởng đến chức năng của mạng. Thông thường, tường lửa được sử dụng cùng với các công cụ bảo mật khác, chẳng hạn như phần mềm chống vi-rút.

Tạo chính sách lọc cho tường lửa
Có hai cách chính để tạo bộ quy tắc tường lửa: "bao gồm" và "độc quyền". Tường lửa loại trừ cho phép tất cả lưu lượng truy cập đi qua, ngoại trừ lưu lượng truy cập phù hợp với một bộ quy tắc. Tường lửa bao gồm thực hiện điều ngược lại. Nó chỉ cho phép lưu lượng truy cập phù hợp với quy tắc và chặn mọi thứ khác.

Tường lửa bao gồm cung cấp mức độ kiểm soát cao hơn nhiều đối với lưu lượng đi. Do đó, tường lửa kích hoạt là lựa chọn tốt nhất cho các hệ thống cung cấp dịch vụ trên Internet. Nó cũng kiểm soát loại lưu lượng được tạo ra bên ngoài và hướng đến mạng riêng của bạn. Lưu lượng truy cập không tuân theo quy tắc sẽ bị chặn và các mục nhập thích hợp sẽ được thực hiện trong tệp giao thức. Tường lửa toàn diện thường an toàn hơn tường lửa độc quyền vì chúng làm giảm đáng kể nguy cơ tường lửa cho phép lưu lượng truy cập không mong muốn đi qua.

Bảo mật có thể được tăng cường hơn nữa bằng cách sử dụng "tường lửa trạng thái". Tường lửa như vậy lưu trữ thông tin về các kết nối mở và chỉ cho phép lưu lượng truy cập thông qua các kết nối mở hoặc mở các kết nối mới. Nhược điểm của tường lửa trạng thái là nó có thể dễ bị tấn công Từ chối dịch vụ (DoS) nếu nhiều kết nối mới được mở rất nhanh. Hầu hết các tường lửa cho phép kết hợp hành vi có trạng thái và không có trạng thái, cho phép bạn tạo cấu hình tối ưu cho từng hệ thống cụ thể.

Ví dụ: hãy xem xét việc tạo quy tắc lọc trong bộ lọc gói đơn giản. Có một số tùy chọn khả thi khi lọc gói. Đơn giản nhất là lọc địa chỉ; nó bao gồm việc so sánh các địa chỉ trong gói với các địa chỉ được chỉ định trong các quy tắc. Nếu địa chỉ trùng khớp, gói sẽ được chuyển. Sự so sánh này được thực hiện như sau:

1. Bạn có thể xem xét quy tắc sau: tất cả các máy chủ trên mạng 10.1.x.x có thể giao tiếp với các máy chủ trên mạng 10.2.x.x. Quy tắc này được viết như sau:

10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
--- Điểm đến gốc --

Bây giờ bạn có thể áp dụng quy tắc cho gói được gửi từ máy chủ 10.1.1.2 đến máy chủ 10.3.7.7. Hãy áp dụng mặt nạ cho cả hai địa chỉ - địa chỉ trong quy tắc và địa chỉ trong gói. Sau đó nó sẽ kiểm tra xem địa chỉ nguồn và đích có giống nhau không. Kết quả là chúng ta sẽ có:

Đối với địa chỉ nguồn:

10.1.0.0 & 255.255.0.0 = 10.1.0.0 (đối với quy tắc)
10.1.1.2 & 255.255.0.0 = 10.1.0.0 (đối với gói)

Sau khi áp dụng mặt nạ, cả hai địa chỉ đều trùng khớp. Bây giờ hãy kiểm tra địa chỉ đích:

10.2.0.0 & 255.255.0.0 = 10.2.0.0 (đối với quy tắc)
10.3.7.7 & 255.255.0.0 = 10.3.0.0 (đối với gói)

Vì địa chỉ đích của gói và quy tắc không khớp nhau sau khi áp dụng mặt nạ nên không nên áp dụng quy tắc này cho gói này.

Hoạt động này được thực hiện trên toàn bộ danh sách địa chỉ nguồn và đích cũng như mặt nạ cho đến khi đến cuối danh sách hoặc cho đến khi gói khớp với một trong các quy tắc. Danh sách các quy tắc có định dạng sau:

10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0

Ngoài địa chỉ nguồn và đích, mỗi gói IP còn chứa thông tin về giao thức và dịch vụ được sử dụng. Nó có thể được sử dụng như một tham số lọc bổ sung.

Ví dụ: các dịch vụ trong giao thức TCP luôn được liên kết với một cổng. Kết quả là bạn có thể khớp danh sách các cổng với địa chỉ.

Hãy sử dụng hai dịch vụ nổi tiếng làm ví dụ - POP3 và HTTP. POP3 sử dụng cổng 110 và HTTP sử dụng cổng 80. Do đó, chúng ta có thể thêm các cổng này vào mô tả quy tắc. Kết quả là chúng tôi nhận được:

10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0 TCP 80 110
--- Nguồn ---------- Đích --- Giao thức – Cổng —

Quy tắc này cho phép mọi gói di chuyển từ mạng 10.1.x.x đến mạng 10.2.x.x sử dụng dịch vụ HTTP và POP3 đều đi qua tường lửa.

Đầu tiên, các địa chỉ từ quy tắc được so sánh với các địa chỉ gói. Nếu sau khi áp dụng mặt nạ, cả hai địa chỉ đều khớp nhau thì giao thức và cổng đích trong gói sẽ được so sánh với giao thức và danh sách các cổng được mô tả trong quy tắc. Nếu giao thức khớp và cổng trong quy tắc giống với cổng của gói thì gói đó thỏa mãn quy tắc. Nếu không, việc tìm kiếm sẽ tiếp tục trong danh sách quy tắc.

Với thông tin mới này, bộ quy tắc sẽ có định dạng sau:

10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0 UDP 53
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255 TCP 80
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0 TCP 21 20 113
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0 ICMP 0 8

Ngoài các thông số lọc cơ bản này, bạn có thể thêm một số thông số khác. Một trong số đó là giao diện mạng nguồn; Sử dụng tên giao diện mạng làm tham số lọc, bạn có thể cho phép các gói có địa chỉ cụ thể chỉ đi qua từ một giao diện nhất định.

Mục đích của quy trình này là để chặn một cuộc tấn công được gọi là giả mạo IP, bản chất của nó là một gói có địa chỉ nguồn giả (từ mạng nội bộ) được gửi đến mạng nội bộ. Bằng cách sử dụng tên giao diện mạng làm tham số, kiểu tấn công này có thể dễ dàng bị chặn. Ví dụ: nếu mạng nội bộ giao tiếp với tường lửa thông qua giao diện de0, thì bạn chỉ cần đặt quy tắc rằng các gói có địa chỉ nguồn từ mạng nội bộ chỉ được chấp nhận nếu chúng đến từ giao diện này; trong tất cả các trường hợp khác chúng sẽ bị loại bỏ.

ở Odnoklassniki

\\ 06.04.2012 17:16

Tường lửa là một tập hợp các tác vụ nhằm ngăn chặn truy cập trái phép, làm hỏng hoặc đánh cắp dữ liệu hoặc các tác động tiêu cực khác có thể ảnh hưởng đến hiệu suất của mạng.

Tường lửa, còn được gọi là bức tường lửa(từ Tường lửa tiếng Anh) hoặc tường lửa trên cổng cho phép bạn cung cấp quyền truy cập Internet an toàn cho người dùng, đồng thời bảo vệ các kết nối từ xa đến tài nguyên nội bộ. Bức tường lửa xem xét tất cả lưu lượng truy cập đi qua giữa các phân đoạn mạng và đối với mỗi gói sẽ đưa ra quyết định - vượt qua hay không vượt qua. Hệ thống quy tắc tường lửa linh hoạt cho phép bạn từ chối hoặc cho phép kết nối dựa trên nhiều tham số: địa chỉ, mạng, giao thức và cổng.

Phương pháp giám sát lưu lượng giữa mạng cục bộ và mạng bên ngoài

Lọc gói. Tùy thuộc vào việc gói đến có thỏa mãn các điều kiện được chỉ định trong bộ lọc hay không, nó sẽ được chuyển vào mạng hoặc bị loại bỏ.

Kiểm tra nhà nước. Trong trường hợp này, lưu lượng truy cập đến sẽ được kiểm tra - một trong những phương pháp triển khai Tường lửa tiên tiến nhất. Kiểm tra không có nghĩa là phân tích toàn bộ gói mà chỉ phân tích phần khóa đặc biệt của nó và so sánh nó với các giá trị đã biết trước đó từ cơ sở dữ liệu về các tài nguyên được phép. Phương pháp này cung cấp hiệu suất Tường lửa cao nhất và độ trễ thấp nhất.

Trong trường hợp này, một thiết bị máy chủ proxy bổ sung được cài đặt giữa mạng cục bộ và mạng bên ngoài, đóng vai trò như một “cổng” mà qua đó tất cả lưu lượng truy cập vào và ra đều phải đi qua.

Bức tường lửa cho phép bạn định cấu hình các bộ lọc chịu trách nhiệm chuyển lưu lượng truy cập bằng cách:

Địa chỉ IP. Bằng cách đặt một địa chỉ nhất định hoặc một phạm vi nhất định, bạn có thể cấm nhận các gói từ chúng hoặc ngược lại, chỉ cho phép truy cập từ các địa chỉ IP này.

- Hải cảng. Tường lửa có thể cấu hình các điểm truy cập ứng dụng tới các dịch vụ mạng. Ví dụ: ftp sử dụng cổng 21 và các ứng dụng duyệt web sử dụng cổng 80.

Giao thức. Tường lửa có thể được cấu hình để cho phép dữ liệu từ chỉ một giao thức đi qua hoặc từ chối quyền truy cập bằng cách sử dụng nó. Thông thường, loại giao thức có thể chỉ ra các tác vụ được thực hiện, ứng dụng mà nó sử dụng và tập hợp các tham số bảo mật. Về vấn đề này, quyền truy cập chỉ có thể được cấu hình để vận hành một ứng dụng cụ thể và ngăn chặn quyền truy cập nguy hiểm tiềm tàng bằng cách sử dụng tất cả các giao thức khác.

Tên miền. Trong trường hợp này, bộ lọc từ chối hoặc cho phép kết nối với các tài nguyên cụ thể. Điều này cho phép bạn từ chối quyền truy cập từ các dịch vụ và ứng dụng mạng không mong muốn hoặc ngược lại, chỉ cho phép truy cập vào chúng.

Các tham số khác cho các bộ lọc dành riêng cho mạng cụ thể này có thể được sử dụng để định cấu hình, tùy thuộc vào các tác vụ được thực hiện trong đó.

Thông thường, tường lửa được sử dụng cùng với các công cụ bảo mật khác, chẳng hạn như phần mềm chống vi-rút.

Tường lửa hoạt động như thế nào

Bức tường lửa có thể được thực hiện:

Phần cứng. Trong trường hợp này, bộ định tuyến nằm giữa máy tính và Internet, hoạt động như một tường lửa phần cứng. Một số PC có thể được kết nối với tường lửa và tất cả chúng sẽ được bảo vệ bởi tường lửa, một phần của bộ định tuyến.

Lập trình. Loại tường lửa phổ biến nhất, là phần mềm chuyên dụng mà người dùng cài đặt trên PC của mình.

Ngay cả khi bộ định tuyến có tường lửa tích hợp được kết nối, tường lửa phần mềm bổ sung có thể được cài đặt riêng lẻ trên từng máy tính. Trong trường hợp này, kẻ tấn công sẽ khó xâm nhập vào hệ thống hơn.

Văn bản chính thức

Năm 1997, Tài liệu hướng dẫn của Ủy ban Kỹ thuật Nhà nước dưới thời Tổng thống Liên bang Nga "Công nghệ máy tính. Tường lửa. Bảo vệ khỏi truy cập thông tin trái phép. Các chỉ số về bảo mật khỏi truy cập thông tin trái phép" đã được thông qua. Tài liệu này thiết lập năm lớp bảo mật tường lửa, mỗi lớp được đặc trưng bởi một bộ yêu cầu tối thiểu nhất định để bảo vệ thông tin.

Năm 1998, một tài liệu khác được phát triển: “Các yêu cầu tạm thời đối với các thiết bị loại tường lửa”. Theo tài liệu này, 5 lớp bảo mật tường lửa được thiết lập, được sử dụng để bảo vệ thông tin trong các hệ thống tự động có chứa các công cụ mật mã.

Và kể từ năm 2011, các yêu cầu pháp lý về chứng nhận tường lửa đã có hiệu lực. Do đó, nếu dữ liệu cá nhân được xử lý trên mạng doanh nghiệp thì cần phải cài đặt tường lửa được Cơ quan Kiểm soát Xuất khẩu Liên bang (FSTEC) chứng nhận.

Gần đây có xu hướng hạn chế quyền riêng tư trên Internet. Điều này là do những hạn chế mà quy định của chính phủ về Internet áp đặt lên người dùng. Quy định của chính phủ về Internet tồn tại ở nhiều nước (Trung Quốc, Nga, Belarus).

"Lừa đảo đăng ký tên miền châu Á" trên RuNet! Bạn đã đăng ký hoặc mua một miền và tạo một trang web trên đó. Nhiều năm trôi qua, trang web ngày càng phát triển và trở nên phổ biến. Bây giờ thu nhập từ nó đã bị “nhỏ giọt”. Bạn nhận được thu nhập của mình, trả tiền cho tên miền, hosting và các chi phí khác...