|
[Page 1] [Page 2] [Page 3]
Действие Stateful Inspection
Сравнение традиционных архитектур Firewall и Check Point FireWall-1 Stateful Inspection.
Пакетные фильтры
|
 |
Исторически пакетные фильтры были реализованы на маршрутизаторах, условием фильтрации является определяемое пользователем выражение, например адрес IP. Они проверяют пакет на сетевом уровне и являются независимыми от приложения. Это позволяет им показывать высокую производительность и масштабируемость. Однако это вид firewall, обеспечивающий наименьшую защиту. Причина в том, что у пакетного фильтра нет информации о приложениях более высокого уровня и нет возможности отслеживать контекст данного соединения. Это делает их уязвимыми для хакеров. |
| Пример FTP |
 |
Пакетные фильтры могут выбирать один из двух вариантов действия для исходящих соединений FTP. Либо оставить полностью открытым верхнюю часть портов (выше, чем 1023), что позволит передавать файлы с использованием динамически назначаемого порта, но одновременно подвергнет угрозе внутреннюю сеть. Или полностью закрыть верхние порты для защиты внутренней сети, что полностью заблокирует другие службы. Такой компромисс между поддержкой приложений и безопасностью внутренней сети не отвечает требованиям сегодняшних пользователей. |
Шлюзы уровня приложения
|
 |
Шлюзы уровня приложения обеспечивают больший уровень безопасности, проверяя все прикладные уровни пакета. При принятии решения используют информацию о текущем контексте. Однако, делая это, они нарушают модель клиент-сервер. Каждое соединение клиент-сервер требует двух соединений: одно от клиента к firewall и другое от firewall к клиенту. Вдобавок, каждый посредник (proxy) требует отдельного прикладного процесса или демона, затрудняя масштабирование и поддержку новых приложений. |
| Пример FTP |
 |
При использовании FTP proxy, шлюз приложений удваивает число сессий, действуя, как посредник между клиентом и сервером. Несмотря на то, что такой подход снимает ограничения пакетного фильтра, обеспечивая функцию принятия решения информацией о приложении, он делает это за счет неприемлемых затрат производительности. К тому же, каждый тип сервиса требует своего proxy, так что количество доступных сервисов и их масштабируемость ограничены. И, наконец, этот подход открывает операционную систему внешним угрозам. |
Stateful inspection
|
 |
Технология stateful inspection FireWall-1 решает проблемы двух предыдущих подходов, обеспечивая полный контроль на уровне приложения без нарушения модели клиент-сервер. В случае stateful inspection пакет перехватывается на сетевом уровне, после чего его проверкой занимается виртуальная машина INSPECT. Она извлекает информацию о контексте, необходимую для принятия решения, со всех уровней и сохраняет эту информацию в динамических таблицах для проверки последующих пакетов. Это обеспечивает решение с высоким уровнем безопасности, дающее максимальную производительность, масштабируемость и расширяемость. |
| Пример FTP |
 |
Механизм stateful inspection в Check Point FireWall-1 отслеживает сессию FTP, поверяя данные на уровне приложения (FTP). Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), FireWall-1 извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, FireWall-1 просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности. |
[Page 1] [Page 2] [Page 3]
© ООО "Корпорация "ЮНИ", 1998
|
|
🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях
Виртуальные VPS серверы в РФ и ЕС
