Ein Blick unter der Haube der Firewalling Produkte

Share

|

In der geheimen Richtung bestehen Bestandteile einer Brandmauer im Verstand der Person, die sie konstruiert. Eine Brandmauer, an seiner Gründung, ist ein Konzept anstatt ein Produkt; es ist die Idee, welche die Zugriffssteuerungeinheit umgibt, die Verkehr nach und von Ihrem Netz ermöglicht.

In der allgemeineren Richtung besteht eine Brandmauer aus Software und Kleinteilen. Die Software kann eigen, shareware oder Freeware sein. Die Kleinteile können alle mögliche Kleinteile sein, die die Software stützt.

Brandmauertechnologien können in eine von drei Kategorien im Allgemeinen eingestuft werden:

· Paket-Filter–gründete (normalerweise Fräser, Cisco IOS und so weiter)

· Stateful Paket-Filter–gründete (Prüfpunkt FW-1, PIX und so weiter)

· Vollmacht-gegründet (NaI Handschuh, Axent Raptor und so weiter)

Lassen Sie uns kurz jedes überprüfen.

Paket-Filter–Gründete Brandmauern

Filternbrandmauern des Pakets sind gewöhnlich Fräser mit Paket-filternfähigkeiten. Mit einem grundlegenden Paket-filternfräser können Sie Zugang zu Ihrem Aufstellungsort bewilligen oder verweigern, der auf einigen Variablen basiert und einschließen

· Quelladresse

· Zieladresse

· Protokoll

· Portzahl

Fräser-gegründete Brandmauern sind populär, weil sie leicht eingeführt werden. (Sie schließen einfach ein, zur Verfügung stellen ein Access Control List an, und Sie werden. getan) Außerdem bieten Fräser eine integrierte Lösung an. Wenn Ihr Netz dauerhaft an das Internet angeschlossen wird, youneed einen Fräser irgendwie. So warum man nicht zwei Vögel mit einem Stein tötet?

Andererseits haben Fräser-gegründete Brandmauern einige Mängel. Zuerst werden sie normalerweise nicht vorbereitet, um bestimmte Art der Leistungsverweigerung Angriffe anzufassen. Viele der Leistungsverweigerung die Taktiken, die auf dem Internet heute verwendet werden, basieren auf dem Paketzerfleischen, SYN Überschwemmung, oder andere TCP/IP-based Abweichungen zwingend. Grundlegende Fräser sind nicht für die Behandlung dieser Arten von Angriffen bestimmt. Zweitens können die meisten Fräser nicht Lernabschnittzustanddaten verfolgen. Verwalter werden dann gezwungen, alle Tore über 1024 geöffnet zu halten, um TCP Lernabschnitte und Lernabschnittvermittlungen richtig anzufassen. Obgleich dieses diskutierbar nicht ein sehr großes Sicherheit Interesse ist (weil es kein Hören geben sollte instandhält Betrieb auf jenen Toren irgendwie), ist es nicht im Allgemeinen gutes üblich, unbenutzte Tore geöffnet zu lassen zur Außenseite.

Schließlich mit ACLs (Zugriffssteuerung verzeichnet), auf high-end Fräsern, die sich stützen, können extrem beschäftigte Netze zur Leistung Verminderung und zur höheren CPU Last beitragen. Jedoch für die meisten langsamen Anschlüsse (wie Stromkreise T1) auf Niedrigendefräsern (wie Cisco die 2500 Reihe Fräser), besteuert die normale Paketentstörung den Fräser nicht zu irgendeinem bedeutenden Grad.

Anmerkung

Für eine lange Zeit wurde es geglaubt, daß das Setzen der Zugriffssteuerunglisten (ACLs) auf Fräser groß ihre Leistung vermindern würde. Obgleich, eine 100 Richtlinie ACL auf einem Cisco 7000 haftend, stützende ein Dutzend ATM Anschlüsse nicht von Ideen das beste sein konnten, vermindert die Plazierung grundlegenden ACLs auf die Fräser, die langsame stützen (10Mbps oder senken) Anschlüsse nicht normalerweise ihre Leistung merklich. Zwei Mitglieder des Untergrund, rfp und NightAxis, veröffentlichten einige grundlegende Entdeckungen auf diesem Thema, das an http://www.wiretrip.net/rfp/ gefunden werden kann. Seit damals sind andere Studien auch durchgeführt worden (Ihre Meilenzahl kann sich verändern). Erinnern Sie sich, sogar das Niedrigendecisco, das die 2500 Reihe Fräser auf Motorola 68030 und 68040 Spansätzen basierten, und die neueren benutzen sogar vorgerückte RISC-gegründete Späne. Fräser sind dann viele Leute geben ihnen Gutschrift für leistungsfähiger. Prüfen Sie sie sich—sehen, was Sie finden.

Spitze

Viele Netzverwalter verwenden ACLs auf ihren Umkreisfräsern in Verbindung mit einer vorgerückteren Brandmauer, um eine multitier Annäherung zur Netzzugangsteuerung zu verursachen.

Stateful Paket-Filter–Gründete Brandmauern

Filternbauten des Stateful Pakets auf dem filternkonzept und dem Nehmen des Pakets es einige Schritte weiter. Die Brandmauern, die auf dieser vorbildlichen Unterhaltschiene von Lernabschnitten und von Anschlüssen in den internen Zustandtabellen errichtet werden, und können folglich dementsprechend reagieren. Wegen dieses sind stateful–Paket-filterngegründete Produkte flexibler als ihre reinen Paket-filterngegenstücke. Zusätzlich sind stateful–Paket-filterngegründete Produkte, um sich gegen bestimmte Arten der DOS Angriffe zu schützen, entworfen und Schutz für Smtp-gegründete Post und eine Zusammenstellung anderer Sicherheit-spezifischer Eigenschaften hinzuzufügen.

Prüfpunkt ging mit der Technik voran, die "stateful Kontrolle" genannt wurde (SI), die das stateful Paket nimmt, das herauf eine Kerbe filtert. Si ermöglicht Verwaltern, Brandmauerrichtlinien zu errichten, um die tatsächliche Datennutzlast, eher dann gerade die Adressen und die Tore zu überprüfen.

Anmerkung

Weil stateful Paket-filtern–gegründete Brandmauern Lernabschnittzustände aufspüren, können sie die Tore über 1024 halten geschlossen durch Rückstellung und die hohen Tore auf einer wie-erforderlichen Grundlage nur öffnen. So einfach, wie dieses klingen konnte, deshalb betrachten die meisten Verwalter das stateful Paket, das filtert, um die minimale Technologie zu sein, die sie für ihre Brandmauerlösungen einführen.

Vollmacht-Gegründete Brandmauern

Eine andere Art Brandmauer ist die Vollmacht-gegründete Brandmauer (manchmal gekennzeichnet als eine Anwendung Einfahrt oder eine Anwendung-Vollmacht). Wenn ein Remotebenutzer mit einem Netz in Verbindung tritt, das eine Vollmacht-gegründete Brandmauer laufen läßt, die Brandmauervollmächte der Anschluß. Mit diesem Technik IP werden Pakete nicht direkt zum internen Netz nachgeschickt. Stattdessen tritt eine Art Übersetzung auf, wenn die Brandmauer als das Rohr und der Interpret dient.

Wie unterscheidet sich dieses vom stateful Paket, das filtert und das generische filternde Paket, bitten Sie? Gute Frage—und eine, die viele Leute stellen. überprüfen Paketfilter und stateful Entstörung Prozesse die ankommenden und abgehenden Pakete auf den Netz- und Lernabschnittniveaus. Sie überprüfen IP Quelle und Zieladressen zusammen mit Toren und Statusmarkierungsfahnen, vergleichen sie mit ihren Richtlinie Sätzen und Tabelle Informationen und entscheiden dann, ob das Paket nachgeschickt werden sollte. Vollmacht-gegründete Brandmauern kontrollieren andererseits Verkehr auf dem Anwendung Niveau zusätzlich zu den untereren Niveaus. Ein Paket kommt in die Brandmauer und wird weg zu einer anwendungsspezifischen Vollmacht übergeben, die die Gültigkeit des Paket- und Anwendung-Niveauantrags selbst kontrolliert. Z.B. wenn ein Netzantrag (HTTP) in eine Vollmacht-gegründete Brandmauer kommt, wird die Datennutzlast, die den HTTP Antrag enthält, zu einem HTTP-Vollmacht Prozeß übergeben. Ein ftp Antrag würde zu einem Ftp-Vollmacht Prozeß, telnet zu einem telnet Vollmachtprozeß und so weiter übergeben.

Dieses Konzept einer Protokoll-durch-Protokoll Annäherung ist das sicherere dann stateful und generische filternde Paket, weil die Brandmauer die Anwendungsprotokolle selbst versteht (HTTP, ftp, smtp, KNALL und so weiter). Es ist schwieriger für Eindringlinge, hinter etwas zu schleichen, das mehr als gerade die Tore und DIE IP Adressen aufpaßt. Jedoch beachten Sie, daß ich das Wort "Konzept" im Hinweis auf ihm seiend sicherer verwendete. Die Wahrheit der Angelegenheit ist die in den realistischen Anwendungen, diese Annäherung hat gehabt seinen angemessenen Anteil von Problemen.

Vollmacht-gegründete Brandmauern sind immer die langsamere dann stateful Paket-filterngegründete–gewesen. Jetzt für die meisten Netze (10Mbps oder langsameres), ist dieser Unterschied strittig. Jedoch denn schwer geladene Netze (T3s an 45Mbps, mehrfaches T3s, das sich 100Mbps und so weiter nähert), dieses wird eine viel größere Ausgabe. Da Technologie verbessert, konnte der Abstand schließen, aber für jetzt den Gebrauch von reiner Vollmacht-gegründeter Technologie noch ist ein Interesse für high-volume Netze.

Zusätzlich zum Leistung Problem hat die Vollmacht-gegründete Lösung auch einige Anpassungsfähigkeit Ausgaben. Nehmen Sie z.B. an daß ein neues Protokoll erfunden wird, um Ihre Kaffeeproduzenten zu Hause zu handhaben. Um des Beispiels willen nennen wir dieses Protokoll das Filtration-Steuersystem oder PC für Kurzschluß. Jetzt lassen Sie uns annehmen auch, daß PC TCP verwendet und Übertor 666 laufen läßt. Verwalter der stateful Paket-filtern–gegründeten Brandmauern müssen einfach eine neue Richtlinie in ihre Brandmauer errichten, Verkehr über TCP auf Tor 666 erlaubend, und es ist ein erfolgtes Abkommen. Verwalter der Vollmacht-gegründeten Brandmauern haben jedoch ein neues Problem: Sie haben nicht eine Vollmacht (dennoch) für PC. Es ist ein nagelneues Protokoll. Obgleich einige Vollmacht-gegründete Brandmauern (wie Handschuh NaI) eine generische Vollmacht für solche Probleme haben, jetzt sind wir zurück zu dem grundlegenden filternden Paket, dem den Zweck des Habens einer Vollmacht verfehlt zum anzufangen mit.

Jedoch diesem Beispiel einen Schritt weiter unternehmend, lassen Sie uns den Vollmacht-gegründeten Brandmauerverkäufer sagen schreibt schließlich ein PCS-proxy, und alles ist gut in Coffeeville. Bald nach, beleben einige boshafte helpdesk Fremdfirmen ihre alten Kopien des Netz SCHICKSALS wieder, das auch Übertor 666 laufen läßt, und sie versuchen eine, alte Neigung zu mißbrauchen zu beginnen. Niedrig-und-erblicken Sie, bildet Netz SCHICKSAL es nicht durch die Vollmacht-gegründete Brandmauer, aber es wird durch die stateful Paket-filtern–gegründete.