|
Zapora firewall (ang. sciana ognia, badz sciana przeciw ogniowa, obie nazwy funkcjonuja) to mechnizm kontroli dostepu, zabezpieczajacy siec przed niechcianym wejsciem. MOże byc wbudowany w ruter (tak jest najczesciej w przypadku wiekszych seci), zainstalowany na komputerze, ktory sluzy takze do innych czynnosci (prywatni uzytkownicy) i jako samodzielne urzadzenie (kiedy siec musi byc dobrze chroniona). Zapora znajduje sie miedzy siecia prywatna a intenetem. Autor: [ s-portal.pl ]
############### ########## ##########
#siec prywatna#----------#Firewall#---------------#internet#
############### ########## ##########
Budowa i dzialanie
Firewall w celu zabezpieczenia dostepu do sieci stosuje tzw. "zasady kontroli dostepu" (inaczej "listy kontroli
dostepu"). Opiera sie to na dwoch mechanizmach:
1) Pierwszy odpowiada za zatrzymywanie transmisji.
2) Drugi przepuszcza tylko te, ktore znajduja sie "na liscie"
Kiedy dowolny program (z zewnatrz lub z naszego komputera) lub inny host (z zewnatrz) zaleznie od naszej konfiguracji
firewall moze:
a)[Jezeli program lub host komunikuje sie z naszym komputerem po raz pierwszy]-zapytac nas czy ten program lub host ma byc przepuszczony i miec dostep do naszego komputera i czy ma tak byc przy kazdym polaczeniem.
b)odrzucic
c)przyjac i przepuscic Do utworzenia Firewall-a jak juz pisałem moze posluzyc "domowy" komputer, ruter (lub zestaw ruterow filtrujacych), osobny firewall lub host bastionowy (jest to silnie zabezpieczony host lub server, zezwalajacy na ograniczony dostep z zewnatrz. Kazdy gosc "z zewnatrz" ma prawo dostepu do okreslonych danych lub aplikacji w hoscie, lecz z ograniczonymi prawami - dzieki temu jest o wiele ciezej zaszkodzic serwerowi. Do hostow bastionowych zaliczamy: serwery www serwery anonimowych uslug FTP oraz servery DNS.
Inne zadania jakie moze wykonywac firewall:
-Tworzyc wirtualne sieci prywatne (VPN).
-Sprawdzac poczte elektroniczna w poszukiwaniu wirowsow.
-Filtrowac adresu URL, zabraniajac dostepu do nieautoryzowanych witryn.
-Filtrowac aplikacje, blokujac zdalny dostep do aplikacji, ktore moga byc dla sieci b.szkodliwe.
Typy zapór firewall.
Ogolnie mowiac istnieja 3 typy zapor:
-zap. filtrujace pakiety.
-zap. badajaca stan pakietow.
-zap. przejscia w warstwie aplikacji
Zapora filtrująca pakiety.
Ze wzgledu na budowe pakietu IP (tzn., ze posiada on adres docelowy, zrodlowy, port docelowy i zrodlowy) decyduje co z
nim zrobic, na podstawie:
-adresu źródłowego
-adresu docelowego
-portow (zrodlowych i doccelowych)
Zalety tego typu firewalli:
-sa najszybsze poniewaz działaja tylko na podstawie adresu IP.
-Sa niezależne od aplikacji ponieważ ignorują dane w pakietach.
-NIe wymagają żadnych zmian konfiguracji chronionych komputerow.
Są jednak i wady:
-Są najmniej bezpieczne ze wszystkich zapór.
-Ignorują zawartość pakietów, przez co nie blokuja witryn www.
-Zapora tego typu będzie wypełniała tylko podstawowe wymagania.
Zapory badające stan pakietu.
Zapory tego typu przechwytuja i sprawdzaja nadchodzace pakiety oraz stan połaczenia.Przyjmują tylko te pochodzace z
nawiazanych połączeń.
Zapory tego typu mają takie oto zalety:
-Zapewniają wyższy poziom zabezpieczeń co najprostsze zapory, poniewaz kojarza nadchodzace informacjami z wyslanymi
zadaniami
-Udostepniają szczegolowe rejestrowanie transakcji, co pomaga administratorom sieci latwo lokalizowac zrodla problemow w
przypadku klopotow z funkconowaniem sieci.
-Zmiejszaja naklady pracy administratorskiej, poniewaz nie wymagaja zadnej zmiany ustawien.
Jest tez pare wad:
-Ich konfiguracja jest dosyc skomplikowana.
-Nie zapewniaja uwierzytelnienia uzytkownikow.
-Sa "wolniejsze" od zapor filtrujacych pakiety, poniewaz musza znac stany polaczen. Wymagaja wiec wiecej zasobow.
-Sa drozsze od zapor filtrujacych pakiety.
Zapory przejscia w warstwie aplikacji. Firewalle tego typu wpuszczaja z jednej strony i wypuszczaja z drugiej po przejsciu pakietow przez oprogramiowanie przejścia w warstwie aplikacji (application proxy software). Przejscie to (proxy) analizuje wszystkie przechodzace przez nie dane i odrzuca nie autoryzowane i niezabezpieczne pakiety danych. Gdy komputer spoza chronionej sieci komunikuje się z hostem z wewnatrz, proxy imituje tego hosta. Podobie, gdy wewnetrzny host laczy sie z zwenetrzynm klientem, proxy maskuje pochodzenie komputera, ktoty maskuje polaczenie. W wyniku tego hosty w wewnetrznej sieci nie sa nigdy ujawniane na zewnatrz.
Zalety tego typu zapor:
-Zapewniaja najwyzszy poziom bepzieczenstwa, poniewaz nie pozwalaja komputerow na obu koncach na komunikacje bezposrednia.
-Zapeniaja najlepsze mozliwosci filtrowania.
-Uwierzytelniaja uzytkownikow i rejestruja zdarzenia - wplywa to na pozim bepzieczenstwa.
-Ich dzailanie opiera sie na zasadach, ktiore latwo skonfigurowac.
Ich wady:
-Są najwolniejszym typem zapór.
-Dla każdego protokołu wymagają odrebnego oprogramowania proxy.
-OPierają się n aprotokole TCP i nie obsluguja UDP.
-Wymagaja zmian konfiguracyjnych wszystkich wenetrznych hostow.
-Sa najdrozszym typem zapor.
Aktualnie wiele firm stara sie polaczyc mozliwosci 2 lub wiecej zapor, wtedy sa to zapory hybrydowe.
Pomimo tego, że zapory pomagają i zatrzymują ataki z zwenątrz, pozostawione same sobie nie stanowią żadnej ochrony,
świadczy o tym pare faktow:
-Zapory nie zabezpieczają przed atakami pochdzacymi z sieci, ktora chronia.MOga jedynie zabezpieczac granice sieci.
-Firewalle nie ochronia nas przed robakami, wirusami i konmi trojanskimi (niektore tak, ale nie wiekszosc), poniewaz nie takie jest ich zadanie - od tego sa programy antyvirusowe.
- Jezeli zle skonfigurujemy zapore to nie ochroni ona nas przed zadnymi atakami ani programami. Autor: [ s-portal.pl ]
|
