|
[Page 1] [Page 2] [Page 3]
Действие Stateful Inspection
Сравнение традиционных архитектур Firewall и Check Point FireWall-1 Stateful Inspection.
Пакетные фильтры
|
 |
Исторически пакетные фильтры были реализованы на маршрутизаторах, условием фильтрации является определяемое пользователем выражение, например адрес IP. Они проверяют пакет на сетевом уровне и являются независимыми от приложения. Это позволяет им показывать высокую производительность и масштабируемость. Однако это вид firewall, обеспечивающий наименьшую защиту. Причина в том, что у пакетного фильтра нет информации о приложениях более высокого уровня и нет возможности отслеживать контекст данного соединения. Это делает их уязвимыми для хакеров. |
| Пример FTP |
 |
Пакетные фильтры могут выбирать один из двух вариантов действия для исходящих соединений FTP. Либо оставить полностью открытым верхнюю часть портов (выше, чем 1023), что позволит передавать файлы с использованием динамически назначаемого порта, но одновременно подвергнет угрозе внутреннюю сеть. Или полностью закрыть верхние порты для защиты внутренней сети, что полностью заблокирует другие службы. Такой компромисс между поддержкой приложений и безопасностью внутренней сети не отвечает требованиям сегодняшних пользователей. |
Шлюзы уровня приложения
|
 |
Шлюзы уровня приложения обеспечивают больший уровень безопасности, проверяя все прикладные уровни пакета. При принятии решения используют информацию о текущем контексте. Однако, делая это, они нарушают модель клиент-сервер. Каждое соединение клиент-сервер требует двух соединений: одно от клиента к firewall и другое от firewall к клиенту. Вдобавок, каждый посредник (proxy) требует отдельного прикладного процесса или демона, затрудняя масштабирование и поддержку новых приложений. |
| Пример FTP |
 |
При использовании FTP proxy, шлюз приложений удваивает число сессий, действуя, как посредник между клиентом и сервером. Несмотря на то, что такой подход снимает ограничения пакетного фильтра, обеспечивая функцию принятия решения информацией о приложении, он делает это за счет неприемлемых затрат производительности. К тому же, каждый тип сервиса требует своего proxy, так что количество доступных сервисов и их масштабируемость ограничены. И, наконец, этот подход открывает операционную систему внешним угрозам. |
Stateful inspection
|
 |
Технология stateful inspection FireWall-1 решает проблемы двух предыдущих подходов, обеспечивая полный контроль на уровне приложения без нарушения модели клиент-сервер. В случае stateful inspection пакет перехватывается на сетевом уровне, после чего его проверкой занимается виртуальная машина INSPECT. Она извлекает информацию о контексте, необходимую для принятия решения, со всех уровней и сохраняет эту информацию в динамических таблицах для проверки последующих пакетов. Это обеспечивает решение с высоким уровнем безопасности, дающее максимальную производительность, масштабируемость и расширяемость. |
| Пример FTP |
 |
Механизм stateful inspection в Check Point FireWall-1 отслеживает сессию FTP, поверяя данные на уровне приложения (FTP). Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), FireWall-1 извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, FireWall-1 просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности. |
[Page 1] [Page 2] [Page 3]
© ООО "Корпорация "ЮНИ", 1998
|
 |
|
|
|
|
|
|
|
|
Новости мира IT:
- 05.02 - Состоялся релиз Firefox 135
- 05.02 - Huawei рассказала, когда первый в мире трёхстворчатый смартфон Mate XT Ultimate выйдет на глобальный рынок
- 05.02 - Роскомнадзор оштрафовал на ₽2 млн мессенджер Discord, который сам ранее заблокировал
- 05.02 - NASA наделило рой спутников коллективным «разумом» и испытало технологию в космосе
- 05.02 - Huawei выручила $118 млрд в прошлом году — намного больше Xiaomi, но меньше чем Apple за один квартал
- 05.02 - Nissan и Honda передумали сливаться в третьего крупнейшего автопроизводителя в мире
- 04.02 - Отчёт о развитии Fedora Workstation: AI, Wayland, HDR, MIPI-камеры и Flatpak
- 04.02 - Для борьбы с телефонными мошенниками в России будут использовать ИИ и базу биометрических данных
- 04.02 - Opera представила заботливый браузер Air — он поможет бороться со стрессом и поддерживать концентрацию
- 04.02 - Microsoft причислила к вредоносам средства обхода ограничений для установки Windows 11
- 04.02 - Китай начал антимонопольное расследование против Google в ответ на повышение импортных пошлин США
- 04.02 - OpenAI выпустит ИИ-гаджет, который кардинально изменит взаимодействие человека с компьютером
- 04.02 - Энтузиаст создал клиент Discord для древних ПК на Windows 95 и 98
- 04.02 - «Нестабильная, но многообещающая»: американцы начали тестировать спутниковую связь Starlink для обычных смартфонов
- 04.02 - Суд обязал ЕС выплатить компании Intel €515 млн за отменённый штраф 2009 года
- 31.01 - Apple поставила новый рекорд по числу активных устройств, но рост замедлился
- 31.01 - Первое в мире судно с захватом CO2 из собственных выхлопов скоро отправится в море
- 31.01 - Apple отчиталась о «лучшем за всю историю квартале» вопреки падению продаж iPhone
- 31.01 - Intel завершила год с убытками в $18,8 млрд — продажи Core и Xeon упали, но руководство верит, что скоро всё наладится
- 31.01 - Российские медиа объявили войну пиратам: число заблокированных ссылок в поисковиках удвоилось за год
Архив новостей
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях
Виртуальные VPS серверы в РФ и ЕС