Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

[Page 1] [Page 2] [Page 3]

Действие Stateful Inspection

Сравнение традиционных архитектур Firewall и Check Point FireWall-1 Stateful Inspection.

Пакетные фильтры

Исторически пакетные фильтры были реализованы на маршрутизаторах, условием фильтрации является определяемое пользователем выражение, например адрес IP. Они проверяют пакет на сетевом уровне и являются независимыми от приложения. Это позволяет им показывать высокую производительность и масштабируемость. Однако это вид firewall, обеспечивающий наименьшую защиту. Причина в том, что у пакетного фильтра нет информации о приложениях более высокого уровня и нет возможности отслеживать контекст данного соединения. Это делает их уязвимыми для хакеров.
Пример FTP
Пакетные фильтры могут выбирать один из двух вариантов действия для исходящих соединений FTP. Либо оставить полностью открытым верхнюю часть портов (выше, чем 1023), что позволит передавать файлы с использованием динамически назначаемого порта, но одновременно подвергнет угрозе внутреннюю сеть. Или полностью закрыть верхние порты для защиты внутренней сети, что полностью заблокирует другие службы. Такой компромисс между поддержкой приложений и безопасностью внутренней сети не отвечает требованиям сегодняшних пользователей.

Шлюзы уровня приложения

Шлюзы уровня приложения обеспечивают больший уровень безопасности, проверяя все прикладные уровни пакета. При принятии решения используют информацию о текущем контексте. Однако, делая это, они нарушают модель клиент-сервер. Каждое соединение клиент-сервер требует двух соединений: одно от клиента к firewall и другое от firewall к клиенту. Вдобавок, каждый посредник (proxy) требует отдельного прикладного процесса или демона, затрудняя масштабирование и поддержку новых приложений.
Пример FTP
При использовании FTP proxy, шлюз приложений удваивает число сессий, действуя, как посредник между клиентом и сервером. Несмотря на то, что такой подход снимает ограничения пакетного фильтра, обеспечивая функцию принятия решения информацией о приложении, он делает это за счет неприемлемых затрат производительности. К тому же, каждый тип сервиса требует своего proxy, так что количество доступных сервисов и их масштабируемость ограничены. И, наконец, этот подход открывает операционную систему внешним угрозам.

Stateful inspection

Технология stateful inspection FireWall-1 решает проблемы двух предыдущих подходов, обеспечивая полный контроль на уровне приложения без нарушения модели клиент-сервер. В случае stateful inspection пакет перехватывается на сетевом уровне, после чего его проверкой занимается виртуальная машина INSPECT. Она извлекает информацию о контексте, необходимую для принятия решения, со всех уровней и сохраняет эту информацию в динамических таблицах для проверки последующих пакетов. Это обеспечивает решение с высоким уровнем безопасности, дающее максимальную производительность, масштабируемость и расширяемость.
Пример FTP
Механизм stateful inspection в Check Point FireWall-1 отслеживает сессию FTP, поверяя данные на уровне приложения (FTP). Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), FireWall-1 извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, FireWall-1 просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.

[Page 1] [Page 2] [Page 3]

© ООО "Корпорация "ЮНИ", 1998

Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...