More documents

Recommendations

Info

Виртуална Лаборатория по Компютърни Мрежи и Разпределени СистемиФиг.2. Пример за защитна стена състояща се от два пакетни филтъра.Основно защитните стени на мрежовия слой се делят на две категории:със запазване на състоянието (stateful firewall) и без запазване на състоянието(stateless firewall). Stateful защитните стени използват информацията засъстоянието на връзката (established, initiation, handshaking, data, breakingdown the connection) като част от техните правила. Примерно само хостове отвътрешната мрежа да могат да установяват нова връзка на даден порт.Stateless защитните стени извършват филтрирането на пакети без значение отсъстоянието на връзката. Това ги прави по-малко защитени.Не е необходимо да имате сложна, специално посветена машина зазащитна стена. Всеки нормален компютър на който работи операционнасистема поддържаща филтриране на пакети и маршрутизиране може да бъдеизползвана за защитна стена на мрежовия слой. Подходящи операционнисистеми са Linux, Solaris, BSD/Unix или Windows Server.Съществуват две основни политики при конфигурирането на защитнастена. Първата е по-защитна и при нея всички пакети които не отговарят нанито едно правило се филтрират/блокират. При втората политика, поподразбиране всеки пакет се пуска освен ако не изпълни някое от защитнитефилтриращи правила.Демилитаризирани зони (DMZ)В компютърните мрежи, с термина демилитаризирана зона (DMZ) сеозначава област от мрежата (subnetwork), която е разположена междувътрешната мрежа на организацията и Интернет. Достъп додемилитаризираната зона е разрешен както от вътрешната така и от външнатамрежа, но от демилитаризираната зона връзки могат да бъдат изгражданисамо навън. Това позволява в DMZ мрежата да бъдат поставяни хостовепредоставящи услуги в Интернет като същевременно се защити вътрешнатамрежа в случай на компрометиране на някои от сървърите в DMZ.Демилитаризираната зона обикновено се използва за сървъри, които трябвада бъдат достижими отвън: e-mail, Web, DNS и други. Обикновено връзкитеСтр.52Мрежов слой. Транслиране на адреси (NAT) и защитни стени (Firewalls).
Виртуална Лаборатория по Компютърни Мрежи и Разпределени Системиот външната мрежа към DMZ се контролират чрез транслиране на адреси ипортове (NAT).Фиг.3. Топология на мрежа с демилитаризирана зона (DMZ).Най-лесния начин за създаване на демилитаризирана зона е чрезконфигуриране на защитната стена (firewall) така, че отделните мрежи сесвързват към различни нейни портове. Този вариант е подходящ за мрежикоито нямат много строги изисквания към сигурността. В противен случай епрепоръчително да се използва подхода с две защитни стени (firewalls) катоDMZ зоната се намира по средата и е свързана и с двата защитнимаршрутизатора (фигура 3). По този начин се избягва възможността заинцидентно погрешно конфигуриране на защитната стена, както иустойчивост в случай на пробив във външната защитна стена.Конфигуриране на ОС Linux в режим на защитна стенаNetfilter – Представлява рамка (framework) за достъп до пакетите извънстандартния сокет интерфейс на Berkeley. Състои се от няколко части:• Всеки протокол дефинира т.нар. "hooks", с които се осъществявадостъп до предварително дефинирани точки в пътя на пакета попротоколния стек. Във всяка от тези точки протоколът ще извикафункция от netfilter рамката с номер на пакет и hook номер.Обикновено се реализират като отделни модули които се зареждаткъм ядрото (Loadable Kernel Modules).• Части от ядрото може да се регистрират да слушат за различнитеСтр.53Мрежов слой. Транслиране на адреси (NAT) и защитни стени (Firewalls).
Page 1 and 2: Виртуална Лаборато

ÐÐ¸ÑÑÑÐ°Ð»Ð½Ð° ÐÐ°Ð±Ð¾ÑÐ°ÑÐ¾ÑÐ¸Ñ Ð¿Ð¾ ÐÐ¾Ð¼Ð¿ÑÑÑÑÐ½Ð¸ ÐÑÐµÐ¶Ð¸ Ð¸ Ð Ð°Ð·Ð¿ÑÐµÐ´ÐµÐ»ÐµÐ½Ð¸ ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ÐÐ¸ÑÑÑÐ°Ð»Ð½Ð° ÐÐ°Ð±Ð¾ÑÐ°ÑÐ¾ÑÐ¸Ñ Ð¿Ð¾ ÐÐ¾Ð¼Ð¿ÑÑÑÑÐ½Ð¸ ÐÑÐµÐ¶Ð¸ Ð¸ Ð Ð°Ð·Ð¿ÑÐµÐ´ÐµÐ»ÐµÐ½Ð¸ ...