Nätverksadministration: brandväggsprotokoll - dummies

All nätverkstrafik till och från LAN ska passera genom en brandvägg, vilket förhindrar obehörig åtkomst till nätverket. Det finns fyra tekniker som brandväggar använder för att hålla oväntade besökare ur ditt nätverk. Tre av dessa tekniker beskrivs här. Den fjärde, paketfiltrering, omfattas inte av denna artikel.

Statlig paketinspektion (SPI)

Statlig paketinspektion, , även kallad SPI, är ett steg i intelligens från enkel paketfiltrering. En brandvägg med stateful paketinspektion ser på paket i grupper istället för individuellt. Det håller reda på vilka paket som har passerat genom brandväggen och kan upptäcka mönster som indikerar obehörig åtkomst.

I vissa fall kan brandväggen hålla kvar på paket när de kommer fram tills brandväggen samlar tillräckligt med information för att fatta beslut om huruvida paketen ska godkännas eller avvisas.

Stateful packet inspektion hittades enbart på dyra, företagsnivå routrar. Nu är dock SPI-brandväggar tillräckligt överkomliga för små och medelstora nätverk att använda.

Kretskortets gateway

A kretsnivå gateway hanterar anslutningar mellan klienter och servrar baserat på TCP / IP-adresser och portnummer. När anslutningen är etablerad påverkar inte gatewayen paket som strömmar mellan systemen.

Du kan till exempel använda en gateway för Telnet-kretsnivå för att tillåta Telnet-anslutningar (port 23) till en viss server och förbjuda andra typer av anslutningar till den servern. När anslutningen är etablerad tillåter kretskortets gateway att flöda fritt över anslutningen. Som ett resultat kan kretskortsgatewayen inte hindra en Telnet-användare från att köra specifika program eller använda specifika kommandon.

Programgateway

En applikationsgateway är ett brandväggssystem som är mer intelligent än en paketfiltrerings brandvägg, stateful paketinspektion eller gateway-brandvägg på kretsnivå. Paketfilter behandlar alla TCP / IP-paket samma. Däremot känner applikationsgateways informationen om de program som genererar paket som passerar genom brandväggen.

Till exempel är en webbapplikationsgateway medveten om detaljerna i HTTP-paket. Som ett resultat kan det granska mer än bara käll- och destinationsadresserna och portarna för att avgöra om paketen ska tillåtas att passera genom brandväggen.

Dessutom fungerar applikationsgateways som proxyservrar.Enkelt uttryckt är en proxyserver en server som sitter mellan en klientdator och en riktig server. Proxyservern avbryter paket som är avsedda för den verkliga servern och behandlar dem.

Proxyservern kan undersöka paketet och bestämma att vidarebefordra det till den verkliga servern, eller det kan avvisa paketet. Eller kan proxyservern kunna svara på själva paketet utan att involvera den verkliga servern alls.

Exempelvis lagrar webproxys ofta kopior av vanliga webbsidor i en lokal cache. När en användare begär en webbsida från en fjärransluten webbserver avbryter proxyservern begäran och kontrollerar om den redan har en kopia av sidan i cacheminnet. Om så är fallet returnerar webproxyen sidan direkt till användaren. Om inte, skickar proxy begäran till den verkliga servern.

Application Gateways är medvetna om detaljerna i hur olika typer av TCP / IP-servrar hanterar sekvenser av TCP / IP-paket för att göra intelligenta beslut om huruvida ett inkommande paket är legitimt eller är en del av en attack. Som ett resultat är applikationsgateways säkrare än enkla paketfiltrerings brandväggar, som kan hantera endast ett paket åt gången.

Den förbättrade säkerheten för applikationsgateways kommer dock till ett pris. Ansöknings gateways är dyrare än paketfilter, både vad gäller köpeskillingen och kostnaderna för att konfigurera och behålla dem. Dessutom sänker applikationsgateways nätverksprestanda eftersom de utför mer detaljerad kontroll av paket innan de tillåter att de passerar.