Как уже отмечалось в предыдущих разделах, ряд служб TCP и UDP плохо обеспечивают безопасность в современной среде в Интернете. При миллионах пользователей, подключенных к Интернету, и при том, что правительства и промышленность зависят от Интернета, недостатки в этих службах, а также легкодоступность исходного кода и средств для автоматизации прони

Можно найти решение ряд проблем с безопасностью в Интернете, описанных в главе 1, или, по крайней мере, сделать их менее опасными, если использовать существующие и хорошо известные технологии и меры защиты на уровне хостов. Брандмауэр может значительно повысить уровень безопасности сети организации и сохранить в то же время доступ ко всем ресурсам

Наверное, лучше всего начать с описания того, что НЕ является брандмауэром: брандмауэр - это не просто маршрутизатор, хост или группа систем, которые обеспечивают безопасность в сети. Скорее, брандмауэр - это подход к безопасности; он помогает реализовать политику безопасности, которая определяет разрешенные службы и типы доступа к ним, и является

Оснвоной причиной использования брандмауэров является тот факт, что без брандмауэра системы подсети подвергаются опасности использования уязвимых мест служб, таких NFS и NIS, или сканирования и атак со стороны хостов в Интернете. В среде без брандмауэра сетевая безопасность целиком зависит от безопасности хостов и все хосты должны в этом случае вза

Помимо описанных выше преимуществ использования брандмауэров, имеет место ряд недостатков при их использовании и ряд проблем, от которых брандмауэры не могут защитить. Брандмауэр не является панацеей от всех проблем безопасности, связанных с Интернетом. 2.3.1 Ограничение в доступе к нужным службам Самым очевидным недостатком брандмауэра является то

Основными компонентами брандмауэра являются: политика сетевого доступа механизмы усиленной аутентификации фильтрация пакетов прикладные шлюзы Следующие разделы описывают более детально каждую из этих компонент. 2.4.1 Политика сетевого доступа Имеется два вида политики сетевого доступа, которые влияют на проектирование, установку и использование сис

Теперь, когда основные части брандмауэров рассмотрены, мы дадим ряд примеров различных конфигураций брандмауэров для того, чтобы позволить вам глубже понять, как создаются брандмауэры. Здесь мы опишем следующие примеры брандмауэров: брандмауэр с пакетной фильтрацией брандмауэр с шлюзом с двумя адресами брандмауэр с экранированным хостом брандмауэр

Брандмауэр с фильтрацией пакетов (см. рис.3.1) является, наверное, самым распространенным и самым простым при реализации для маленьких сетей с простой структурой. Тем не менее, он имеет ряд недостатков и менее желателен, чем другие примеры брандмауэров, приведенные в этой главе. Рисунок 3.1 Как правило, брандмауэр с фильтрацией пакетов устанавливае

Брандмауэр данного типа - более лучшая альтернатива, чем брандмауэр на базе маршрутизатора с фильтрацией пакетов. Он состоит из хоста, имеющего два сетевых интерфейса, в котором отключена функция маршрутизации IP-пакетов с одного интерфейса на другой ( то есть хост не может маршрутизировать пакеты между двумя сетями). Кроме того, можно поместить ма

Брандмауэр с изолированным хостом более гибкий брандмауэр, чем тот, который построен на основе шлюза с двумя интерфейсами, хотя гибкость достигается ценой некоторого уменьшения безопасности. Брандмауэр такого вида уместен для сетей, которым нужна большая гибкость, чем та, которую может предоставить брандмауэр на основе шлюза с двумя интерфейсами. Б