Logo CitForum CITForum на CD Форумы Газета Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

30.07.2010

Google
WWW CITForum.ru

Новости мира IT:

Архив новостей

[Page 1] [Page 2][Page 3]

Технология Firewall Stateful Inspection.

Техническое замечание

Требования к безопасности, обеспечиваемой Firewall

Для того, что бы надежно обеспечивать безопасность, firewall должен отслеживать и управлять всеми соединениями, проходящими через него. Для выработки окончательных решений о разрешении того или иного соединения для служб TCP/IP (то есть пропустить, запретить, аутентифицировать или зашифровать данную попытку соединения, сделать запись об этом в журнале), firewall должен уметь получать, хранить, извлекать и манипулировать информацией со всех уровней сетевой модели и из других приложений.

Не достаточно только лишь просматривать отдельные пакеты. Информация о состоянии, извлеченная из состоявшихся ранее соединений и других приложений, является основным фактором при принятии окончательного решения для текущей попытки установления соединения. В зависимости от типа проверяемого пакета, для принятия конечного решения важными могут быть как текущее состояние соединения, которому он принадлежит (полученное из его истории), так и состояние приложения, его использующего.

Таким образом, для обеспечения наивысшего уровня безопасности, firewall должен уметь считывать, анализировать и использовать следующую информацию:

  • Информация о соединении – информация со всех семи уровней пакета.
  • Состояние соединения – состояние, полученное из предыдущих пакетов. Например, исходящая команда PORT сессии FTP могла бы быть запомнена для последующей проверки входящего соединения FTP data.
  • Состояние приложения – информация о состоянии, полученная из других приложений. Например, когда-либо авторизованному пользователю будет разрешен доступ через firewall только для разрешенных типов сетевых протоколов.
  • Действия над передаваемой информацией – выполнение различных действий в зависимости от всех вышеизложенных факторов.

Технология Stateful Inspection.

Stateful Inspection –архитектура firewall нового поколения, реализованная в Check Point FireWall-1, - удовлетворяет всем требованиям к безопасности, приведенным выше. Возможностей традиционных технологий firewall недостаточно для выполнения всех этих требований. Для более подробного анализа смотрите Таблицу 1 или “Сравнение технологий Firewall” на следующей странице.

Таблица 1. Сравнение возможностей трех основных архитектур Firewall.

Функция

Пакетные фильтры

Шлюзы уровня приложения

Stateful inspection
Информация из пакета

Частично

Частично

Да
Предыстория соединения

Нет

Частично

Да
Состояние приложения

Нет

Да

Да
Модифицирование информации

Частично

Да

Да

[Page 1] [Page 2][Page 3]

© ООО "Корпорация "ЮНИ", 1998

Последние комментарии:

В Белоруссии появится "черный список" сайтов (248)
30 Июль, 11:27
Oracle разорвала заключенные между Sun и PostgreSQL соглашения (3)
30 Июль, 11:19
Владельцы Mail.Ru выйдут на биржу в 2011 году (1)
30 Июль, 11:12
Пользователи судятся с Apple из-за перегрева планшетов iPad на солнце (7)
30 Июль, 09:56
Вышла вторая бета-версия Firefox 4 (8)
30 Июль, 09:03
Хакеры украли личные данные владельцев смартфонов с Android (2)
30 Июль, 08:59
Объявлен новый лидер сообщества openSUSE и представлен проект SUSE Gallery (1)
29 Июль, 21:38
Symantec удвоила квартальную прибыль (1)
29 Июль, 17:45
Завершено портирование ALT Linux на архитектуру ARM  (6)
29 Июль, 15:18
Релиз GNOME 3.0 откладывается до 2011 года (1)
29 Июль, 09:05

Подписка на новости CITForum.ru

Новые публикации:

7 июля

  • Управление параллелизмом с низкими накладными расходами для разделенных баз данных в основной памяти

  • Рекурсивные запросы в Oracle

  • Жесткий диск WD10EARS с сектором 4 КБ. Подготовка к эксплуатации в Linux.

    Обзоры журнала Computer:

    Газета:

  • Московские пробки - исследование IBM

  • От Osborne до iPad: эволюция портативных компьютеров

    19 мая

  • Прозрачный механизм удаленного обслуживания системных вызовов

  • Система моделирования Grid: реализация и возможности применения

    Газета:

    Майкл Стоунбрейкер:

  • Ошибки в системах баз данных, согласованность "в конечном счете" и теорема CAP

  • Дискуссия по поводу "NoSQL" не имеет никакого отношения к SQL

    29 апреля

  • Материалы конференции "Корпоративные Базы Данных-2010"

  • Разные облики технологии баз данных (отчет о конференции)

    14 апреля

  • MapReduce: внутри, снаружи или сбоку от параллельных СУБД?

  • Научные вызовы технологиям СУБД

    Обзоры журнала Computer:

    31 марта

  • Рационализация согласованности в "облаках": не платите за то, что вам не требуется

  • Взаимные блокировки в Oracle

  • Архитектура среды тестирования на основе моделей, построенная на базе компонентных технологий

  • Объектное представление XML-документов

    Газета:

  • Microsoft для российских разработчиков: практика с элементами фундаментальности

    10 марта

  • HadoopDB: архитектурный гибрид технологий MapReduce и СУБД для аналитических рабочих нагрузок

  • Классификация OLAP-систем вида xOLAP

  • BGP. Три внешних канала. Балансировка исходящего и входящего трафиков

    Газета:

  • Что мы знаем об iPhone 4G?

    17 февраля

  • MapReduce и параллельные СУБД: друзья или враги?

  • Объектно-ориентированное программирование в ограничениях: новый подход на основе декларативных языков моделирования данных

  • Системологический подход к декомпозиции в объектно-ориентированном анализе и проектировании программного обеспечения

    Газета:

  • Эволюция Wine

    3 февраля

  • Дом на песке

  • Реальное переосмысление "формальных методов"

  • Интервью с Найджелом Пендзом

    Газета:

  • iPad. Первый взгляд на долгожданный планшет от Apple

  • Я не верю в iPad

    20 января

  • SQL/MapReduce: практический подход к поддержке самоописываемых, полиморфных и параллелизуемых функций, определяемых пользователями

  • Данные на лету: как технология потокового SQL помогает преодолеть кризис

    Обзоры журнала Computer:

    2 декабря

  • Сергей Кузнецов. Год эпохи перемен в технологии баз данных

    18 ноября

  • Генерация тестовых программ для подсистемы управления памятью микропроцессора

  • Сравнительный анализ современных технологий разработки тестов для моделей аппаратного обеспечения

    Все публикации >>>

    • IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

    Информация для рекламодателей PR-акции, размещение рекламы — тел. +7 495 6608306, ICQ 232284597 Пресс-релизы — pr@citforum.ru
    Послать комментарий
    Информация для авторов

    Редакция раздаёт котят!

    		Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
    Copyright © 1997-2000 CIT, © 2001-2009 CIT Forum
    Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...