|
9-0 Интеграця модулей межсетевого экрана
В этой главе показано, как взаимодействуют между собой три главных модуля межсетевого экрана Aker: пакетный фильтр, транслятор сетевых адресов и модуль криптографии и аутентификации. Показано также, как происходит движение пакетов от момента их получения межсетевым экраном до момента решения основного вопроса об их приеме или отказе в приеме.
9-1 Движение пакетов в межсетевом экране Aker
В предыдущих главах этого руководства были разобраны по отдельности три главных модуля межсетевого экрана Aker со всеми деталями, относящимися к их настройке. Теперь будет показано, как пакеты проходят через эти модули и каким изменениям они могут подвергнуться в каждом из них.
По сути дела, существуют два различных потока: один для пакетов, которые генерируются во внутренней сети и имеют в качестве пункта назначения внешний хост (выходящий поток), и другой, для пакетов, которые генерируются во внешней сети и имеют в качестве пункта назначения хост внутренней сети (входящий поток).
Поток изнутри наружу
Когда какой-либо пакет из внутренней сети достигает межсетевого экрана, он проходит через его модули в следующей последовательности: модуль сборки, пакетный фильтр, транслятор сетевых адресов и криптографический модуль.
Этот модуль отвечает за хранение всех фрагментов полученных IP пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы в другие модули.
Основная функция пакетного фильтра состоит в том, чтобы проверить правильность пакета в соответствии с правилами, определенными администратором и таблице состояния и принять решение, можно ли пропустить пакет через межсетевой экран. Если решение будет положительным, пакет будет передан другим модулям; в противном случае пакет будет отброшен и поток оборвется.
- Транслятор сетевых адресов
Транслятор сетевых адресов получает авторизованный пакет и проверяет по своим таблицам необходимость замены адреса источника. В случае положительного ответа он преобразует адрес, в случае же отрицательного - пакет не претерпевает никаких изменений.
После этого пакет будет передан криптографическому модулю.
Этот модуль получает пакет с преобразованным адресом и решает в соответствии со своей конфигурацией, следует ли производить шифрование или аутентификацию пакета перед его отправкой в пункт назначения. При положительном решении будет проведена аутентификация пакета, он будет зашифрован и к нему будут добавлены некоторые специальные заголовки.
Наконец, пакет будет отправлен в сеть.
Поток снаружи внутрь
Когда пакет, приходящий из внешней сети во внутреннюю, достигает межсетевого экрана, он проходит через его модули в следующем порядке: модуль сборки, криптографический модуль, транслятор сетевых адресов и пакетный фильтр.
Этот модуль отвечает за хранение всех фрагментов полученных IP пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы в другие модули.
Этот модуль удаляет добавленные заголовки пакета и проверяет его аутентификационную подпись и расшифровывает его. Если в аутентификации или расшифровке были выявлены ошибки, пакет будет отброшен.
Другой функцией этого модуля является следующая процедура: он должен убедиться, что все пакеты, прибывающие от сети, связанной с межсетевым экраном защищенным каналом, приходят зашифрованными. В случае, когда пакет приходит от сети, с которой установлен защищенный канал с аутентификацией и шифрованием, и в нем не проведена аутентификация или шифрование, такой пакет будет оброшен.
Если все действия прошли успешно, пакет передается транслятору сетевых адресов.
- Транслятор сетевых адресов
Транслятор сетевых адресов получает пакет и проверяет, не является ли адрес назначения этого пакета одним из виртуальных IP адресов. При положительном ответе этот адрес транслируется в реальный адрес.
Наконец, пакет попадает в пакетный фильтр.
Пакетный фильтр - это последний модуль на пути движения пакета с внешней стороны во внутреннюю. Основная функция этого модуля состоит в проверке правильности полученных пакетов в соответствии с правилами, определенными администратором и своей таблицей состояний, а также в решении вопроса, следует ли санкционировать пакеты в трафик, проходящий через межсетевой экран. Если пакету разрешается пройти, межсетевой экран отправляет его в хост назначения, в противном же случае он сбрасывается.
9-2 Интеграция фильтра и мехнизма трансляции сетевых адресов
При настройке правил фильтрации для хостов, адреса которых преобразуютс# в соответствии с настройками NAT, могут возникнуть сомнения по поводу того, реальные или виртуальные адреса хостов следует использовать?
На этот вопрос можно легко ответить, если проанализировать движение пакетов:
- При движении из внутренней области во внешнюю пакеты сначала проходят через фильтр, а затем только преобразуются их адреса (если нужно); это означает, что фильтр получает реальные адреса хостов.
- При движении из внешней области во внутреннюю пакеты сначала проходят через транслятор сетевых адресов, который преобразует адреса назначения из виртуальных IP адресов в реальные. После этого пакеты передаются пакетному фильтру; это значит, что пакетный фильтр снова получает пакеты с реальными адресами.
В обоих случаях фильтр не подозревает о существовании виртуальных адресов; отсюда вытекает следующее утверждение:
Создавая правила фильтрации, не нужно обращать внимание на преобразование сетевых адресов. Правила должны описываться так, как если бы хосты источника и назначения прямо связывались между собой, не используя преобразования сетевых адресов.
9-3 Интеграция фильтра с трансляцией сетевых адресов и с криптографией
В предыдущем разделе мы показали, как настраивать правила фильтрации, если задействован механизм трансляции адресов. Вывод состоял в том, что вам надо работать только с реальными адресами, пренебрегая преобразованием адресов. Теперь возникает еще один вопрос: при настройке защищенных каналов для хостов, адреса которых преобразуются, должны использоваться их реальные или виртуальные адреса?
Чтобы ответить на этот вопрос, снова проанализируем движение пакета:
- При движении из внутренней области во внешнюю пакеты сначала проходят через фильтр, затем подвергаются преобразованию адресов (при необходимости), и, наконец, попадают в криптографический модуль. Поэтому последний получает пакеты с виртуальными адресами.
- При движении из внешней области во внутреннюю пакеты сначала расшифровываются (при необходимости). Затем они проходят через модуль трансляции адресов, который преобразует виртуальные адреса в реальные, и, наконец, попадают в пакетный фильтр. Криптографиический модуль получает пакеты перед преобразованием их адресов и, следовательно, имеет дело с виртуальными адресами.
В обоих случаях криптографический модуль получает пакеты, как будто они первоначально имели виртуальные адреса и для источника, и для назначения. Это приводит к следующему утверждению:
При создании защищенных каналов вы должны учитывать трансляцию сетевых адресов. Для адресов источника и назначения должны устанавливаться их виртуальные IP адреса.
|
 |
|
|
|
|
|
|
|
|
Новости мира IT:
- 19.06 - В России появятся складные смартфоны на отечественной платформе «Ред ОС М»
- 19.06 - В переговорах OpenAI и Microsoft сохраняется несколько важных противоречий
- 19.06 - OpenAI вскрыла тёмные личности в ИИ, отвечающие за ложь, сарказм и токсичные ответы
- 19.06 - Поставщиком гибких дисплеев для складного iPhone будет компания Samsung
- 19.06 - Apple намеревается использовать ИИ для разработки своих чипов
- 18.06 - «Сбер» выпустит отечественный рассуждающий ИИ
- 18.06 - Google выпустила финальную версию мощной ИИ-модели Gemini 2.5 Pro, а также экономную Gemini 2.5 Flash-Lite
- 18.06 - ИИ-стартап xAI Илона Маска собрался привлечь ещё $4,3 млрд в дополнение к $5 млрд долговых обязательств
- 18.06 - Роскомнадзор пойдёт по трафику: операторов обяжут раскрыть маршруты и устройства в сетях
- 11.06 - Опубликована 65 редакция рейтинга самых высокопроизводительных суперкомпьютеров
- 11.06 - ВТБ начал тестировать отечественную альтернативу Apple Pay — сервис «Волна» от НСПК
- 11.06 - Google выпустила стабильную версию Android 16, но масштабный редизайн ещё не готов
- 11.06 - Руководство Apple признало, что первая попытка создать ИИ-версию Siri провалилась
- 11.06 - Госдума РФ приняла законопроект о создании российского национального мессенджера
- 11.06 - OpenAI выпустила мощную модель o3-pro, но она медленнее, чем o1-pro
- 11.06 - IBM построит первый в мире модульный квантовый компьютер с 200 логическими кубитами и встроенной коррекцией ошибок
- 11.06 - Nintendo установила рекорд, продав более 3,5 млн консолей Switch 2 всего за четыре дня
- 09.06 - Презентация национального российского мессенджера состоится уже летом
- 09.06 - Apple представила iPadOS 26 со стеклянным дизайном, окнами и другими улучшениями
- 09.06 - Российские 4G и 5G заработают на зеленоградских чипах
Архив новостей
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях
Виртуальные VPS серверы в РФ и ЕС