Fandom

Education

PWr - Ściany ogniowe - mechanizmy i architektura

429pages on
this wiki
Add New Page
Talk0 Share

W wielu wypadkach sieć wewnętrzna (np. firmy) wymaga ochrony zebranych wewnątrz danych, przy jednoczesnym zachowaniu możliwości komunikacji ze światem. W takich sytuacjach jedyną metodą zabezpieczenia sieci wewnętrznej przed intruzami z zewnątrz jest otoczenie jej ścianą ogniową.

Zapora sieciowa (ang. firewallściana/zapora przeciwpożarowa, często mylnie tłumaczone jako zapora ogniowa, ściana ognia) - jeden ze sposobów zabezpieczania sieci/komputera/serwera przed intruzami. Termin określający sprzęt komputerowy wraz ze specjalnym oprogramowaniem bądź samo oprogramowanie blokujące niepowołany dostęp do sieci komputerowej, komputera, serwera itp., na której straży stoi.

Ściany ogniowe składają się ze sprzętu i oprogramowania, które reguluje (filtruje) ruch pakietów do wnętrza sieci i poza nią. Ściana ogniowa często decyduje także o routingu danych przechodzących przez nią. Dobra ściana ogniowa rejestruje wszystkie zdarzenia i informuje o anomaliach administratora.

Ustawienie zapory ogniowej wymaga określenia reguł jej działania - usług, których pośredniczenie jest dopuszczalne poprzez zaporę oraz wykluczenie części ruchu.

Zapory sieciowe są zwykle stawiane na styku dwóch sieci komputerowych, np. Internetu i sieci lokalnej (LAN) (wtedy zapora pracuje często dodatkowo jako router), oraz na ważnych serwerach (ich ochrona). Na zaporze można zdefiniować specjalna strefę DMZ, która izoluje od wewnętrznej sieci serwery udostępniające usługi na zewnątrz.

Filtrowanie ruchuEdit

Filtrowania dokonuje się na podstawie analizy ruchu, np:

  • kierunek ruchu - ruch wewnątrz sieci uważany jest za bezpieczny
  • źródło ruchu - odrzucanie zapytań z zewnątrz, zatwierdzanie pakietów pochodzących z innej zaufanej sieci
  • adres IP - określenie adresów źródłowych i docelowych na podstawie IP maszyn
  • numer portu - filtrowanie na podstawie portu (i ew. związanej z nim usługi)
  • uwierzytelnianie - w wybranych miejscach (punktach wejściowych systemu) dokonuje się uwierzytelniania użytkownika zwiększając bezpieczeństwo
  • zawartość aplikacji - monitoring przesyłanych treści (np. filtrowanie apletów Java przesyłanych protokołem HTTP).

Klasyfikacja ze względu na filtracjęEdit

  • filtrowanie pakietów
  • filtrowanie obwodów (tras ruchu)
  • filtrowanie aplikacji (treści)

Typy zapór sieciowychEdit

  • filtrujące: monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko zgodne z regułami ustawionymi na danej zaporze (zapora pracująca dodatkowo jako router). Zwykle w niewielkich sieciach jest zapora sprzętowa, bądź dedykowany komputer z systemem operacyjnym Linux. Obecnie najczęściej wykorzystywana metoda filtrowania w Linuksie to reguły oparte na iptables. Dostępne są także zamknięte komercyjne rozwiązania programowe, z których wiele posiada bardzo wymyślne własności i rozbudowany system konfiguracji oraz wachlarz możliwych do zintegrowania rozwiązań, pozwalających nie tylko na analizę i filtrowanie pakietów IP, ale także na sprawdzanie poprawności pakietów z punktu widzenia wyższych warstw modelu ISO/OSI a nawet na prowadzenia ochrony antywirusowej.
  • oprogramowanie komputerów stacjonarnych: udostępnia wybrane porty do połączeń "z zewnątrz" monitorując ruch, udostępnia także połączenia na zewnątrz komputera wybranym usługom/programom. Często zintegrowane z ochroną antywirusową (na przykład Norton Internet Security)
  • zapory pośredniczące (proxy): wykonujące połączenie w imieniu użytkownika (przykład: zamiast uruchomienia sesji ftp do systemu zdalnego uruchamiamy sesję ftp na naszej zaporze i dopiero stamtąd uruchamiany połączenie z systemem zdalnym. Zabezpieczające działanie proxy polega w tym wypadku na blokowaniu wszelkich pakietów niepoprawnych z punktu widzenia protokołu ftp, które przy bezpośrednim połaczeniu mogłyby być może być obsłużone przez nasz lokalny system, oraz na udostępnieniu możliwości zarządzania i kontroli kto i kiedy oraz w jaki sposób korzysta z usługi FTP).

Współcześnie często pracująca zapora sieciowa jest hybrydowym rozwiązaniem analizującym pakiety w każdej warstwie od warstwy sieciowej, aż do warstwy aplikacji, oraz umożliwiającym realizację złożonych polityk bezpieczeństwa oraz integrację z systemami IDS.

Nazwa się wzięła od instalacji zakładanej w samochodach, która w trakcie wypadku zabezpiecza pasażerów przed zgnieceniem przez silnik lub pożarem. Według innej teorii nazwa pochodzi od terminu określającego w budownictwie grubą ognioodporną zaporę, zabezpieczającą część budynku przed rozprzestrzenianiem się ognia w przypadku pożaru.

Linki zewnętrzneEdit

Źródła informacjiEdit

  • Zamojski W. Internet w działalności gospodarczej. Oficyna PWr. Wrocław 2004, str. 134

Pizdencja

Ad blocker interference detected!


Wikia is a free-to-use site that makes money from advertising. We have a modified experience for viewers using ad blockers

Wikia is not accessible if you’ve made further modifications. Remove the custom ad blocker rule(s) and the page will load as expected.