Xavfsizlik devorlarining turlari
Download 274,43 Kb.
|
Kompyuter Tarmoqlari Sherzod
- Bu sahifa navigatsiya:
- Guruch. 2.12.
|
Mexanizmga misol
Davlatga tegishliTekshirish. Xavfsizlik devori dastur darajasida ma'lumotlarni tekshirish orqali FTP seansini nazorat qiladi. Mijoz serverdan teskari ulanishni ochishni so'raganda (FTP PORT buyrug'i), xavfsizlik devori so'rovdan port raqamini chiqaradi. Ro'yxatda mijoz va server manzillari, port raqamlari saqlanadi. FTP-ma'lumotlar ulanishini o'rnatishga urinish aniqlanganda, xavfsizlik devori ro'yxat bo'ylab o'tadi va ulanish haqiqatan ham haqiqiy mijoz so'roviga javob ekanligini tekshiradi. Netlist dinamik ravishda saqlanadi, shuning uchun faqat zarur portlar FTP. Seans yopilishi bilanoq portlar bloklanadi, bu esa yuqori darajadagi xavfsizlikni ta'minlaydi. Guruch. 2.12. Davlat tekshiruvi mexanizmi FTP protokoli bilan qanday ishlashiga misol Ilova qatlamini filtrlash Paket filtrlashiga xos bo'lgan bir qator zaifliklarni himoya qilish uchun xavfsizlik devorlari Telnet, HTTP, FTP kabi xizmatlarga ulanishlarni filtrlash uchun ilovalardan foydalanishi kerak. Bunday dastur proksi-servis deb ataladi va proksi-serverni boshqaradigan xost dastur sathi shlyuzi deb ataladi. Bunday shlyuz vakolatli mijoz va tashqi xost o'rtasidagi to'g'ridan-to'g'ri aloqani yo'q qiladi. Shlyuz dastur sathida barcha kiruvchi va chiquvchi paketlarni filtrlaydi (ilova qatlami - tarmoq modelining yuqori qatlami) va HTTP xabaridagi URL yoki FTP xabaridagi buyruq kabi ma'lumotlar mazmunini tahlil qilishi mumkin. . Ba'zan ma'lumotlarning o'zida mavjud bo'lgan ma'lumotlar asosida paketlarni filtrlash samaraliroq bo'ladi. Paket filtrlari va havola qatlami filtrlari filtrlash qarorlarini qabul qilishda axborot oqimining mazmunidan foydalanmaydi, lekin buni amaliy qatlam filtrlash yordamida amalga oshirish mumkin. Ilova darajasidagi filtrlar paket sarlavhasidagi ma'lumotlardan, shuningdek, ma'lumotlar tarkibi va foydalanuvchi ma'lumotlaridan foydalanishi mumkin. Administratorlar foydalanuvchi identifikatori va/yoki foydalanuvchi bajarishga harakat qilayotgan muayyan vazifaga asoslangan kirishni boshqarish uchun dastur qatlamini filtrlashdan foydalanishi mumkin. Ilova darajasidagi filtrlarda siz dastur tomonidan berilgan buyruqlar asosida qoidalarni o'rnatishingiz mumkin. Misol uchun, administrator ma'lum bir foydalanuvchining FTP yordamida ma'lum bir kompyuterga fayllarni yuklab olishiga to'sqinlik qilishi yoki foydalanuvchiga FTP orqali bir xil kompyuterga fayllarni yuklashiga ruxsat berishi mumkin. Ushbu filtrlashning afzalliklari quyidagilardan iborat: oddiy filtrlash qoidalari; ko'p sonli tekshiruvlarni tashkil qilish imkoniyati. Ilova qatlamini himoya qilish ko'p sonli qo'shimcha tekshiruvlarni o'tkazish imkonini beradi, bu esa dasturiy ta'minotdagi "teshiklar" yordamida xakerlik ehtimolini kamaytiradi; dastur ma'lumotlarini tahlil qilish qobiliyati. Kamchiliklari: nisbatan yomon ishlash paketli filtrlash bilan solishtirganda; proksi o'z protokolini tushunishi kerak (noma'lum protokollar bilan foydalanish mumkin emas): qoida tariqasida, u murakkab operatsion tizimlar nazorati ostida ishlaydi. Mahalliy tarmoqqa tashqaridan (ya'ni Internetdan) turli xil hujumlardan himoya qilish uchun juda ko'p turli xil professional dasturiy vositalar bilan ularning barchasida bitta jiddiy kamchilik bor - yuqori narx. Va agar biz SOHO sinfidagi kichik tarmoqlar haqida gapiradigan bo'lsak, unda qattiq paketlarni sotib olish - bu arzon hashamatdir. Shu bilan birga, shuni ta'kidlash kerakki, kichik tarmoqlar uchun bunday paketlarning imkoniyatlari hatto ortiqcha bo'lishi mumkin. Shu sababli, SOHO sinfidagi kichik tarmoqlarni himoya qilish uchun arzon apparat yechimlari - xavfsizlik devori keng qo'llanilgan. Dizayni bo'yicha xavfsizlik devorlari alohida yechim sifatida amalga oshirilishi yoki SOHO sinfidagi marshrutizatorlarning, xususan, simsiz routerlarning ajralmas qismi bo'lishi mumkin, bu ular asosida simli va simsiz LAN segmentlarini birlashtirishga imkon beradi. Ushbu maqolada biz SOHO sinfidagi marshrutizatorlarga o'rnatilgan va kichik mahalliy tarmoqlarni himoya qilish uchun foydalaniladigan zamonaviy apparat xavfsizlik devorlarining asosiy xususiyatlarini ko'rib chiqamiz. Faervollar marshrutizatorlarning ajralmas qismi sifatida Routerlar ichki va tashqi tarmoqlar chegarasida o'rnatilgan tarmoq qurilmalari bo'lgani uchun va tarmoq shlyuzi vazifasini bajaradi, shuning uchun ular dizayni bo'yicha kamida ikkita portga ega bo'lishi kerak. Ushbu portlardan biri ulanadi mahalliy tarmoq, va bu port ichki LAN portiga aylanadi. Tashqi tarmoq (Internet) ikkinchi portga ulanadi va uni tashqi WAN portiga aylantiradi. Qoida tariqasida, SOHO sinfidagi marshrutizatorlarda bitta WAN porti va bir nechta (birdan to'rttagacha) LAN portlari mavjud bo'lib, ular kalitga birlashtirilgan. Aksariyat hollarda kalitning WAN porti 10/100Base-TX interfeysiga ega va unga mos interfeysga ega xDSL modem yoki chekilgan tarmoq kabeli ulanishi mumkin. Bundan tashqari, keng tarqalgan simsiz tarmoqlar simsiz routerlar deb ataladigan butun sinfning paydo bo'lishiga olib keldi. Ushbu qurilmalar WAN va LAN portlari bo'lgan klassik routerga qo'shimcha ravishda o'rnatilgan nuqtani o'z ichiga oladi simsiz ulanish, bu IEEE 802.11a/b/g protokolini qo'llab-quvvatlaydi. Simsiz segment kirish nuqtasini tashkil qilish imkonini beruvchi tarmoq yo'riqnoma o'rnidan ichki tarmoqni nazarda tutadi va shu ma'noda routerga simsiz ulangan kompyuterlar LAN portiga ulangan kompyuterlardan farq qilmaydi. Har qanday router tarmoq sathi qurilmasi sifatida o'z IP manziliga ega. Routerga qo'shimcha ravishda WAN porti ham o'z IP manziliga ega. Routerning LAN portlariga ulangan kompyuterlar routerning o'zi bilan bir xil quyi tarmoqda IP manziliga ega bo'lishi kerak. Bundan tashqari, ushbu shaxsiy kompyuterlarning tarmoq sozlamalarida siz yo'riqnoma IP manziliga mos keladigan standart shlyuz manzilini o'rnatishingiz kerak. Va nihoyat, tashqi tarmoqdan WAN portiga ulanadigan qurilma routerning WAN porti bilan bir xil quyi tarmoqdan IP manzilga ega bo'lishi kerak. Router mahalliy tarmoq va Internet o'rtasida shlyuz vazifasini o'taganligi sababli, undan ichki tarmoqni ruxsatsiz kirishdan himoya qilish kabi funktsiyani kutish mantiqan to'g'ri. Shuning uchun, deyarli hammasi zamonaviy routerlar SOHO sinflarida o'rnatilgan apparat xavfsizlik devori mavjud bo'lib, ular xavfsizlik devori deb ham ataladi. Xavfsizlik devori xususiyatlari Har qanday xavfsizlik devorining asosiy vazifasi oxir-oqibat ichki tarmoqni himoya qilishdan iborat. Ushbu muammoni hal qilish uchun xavfsizlik devorlari himoyalangan tarmoqni maskalashi, ma'lum bo'lgan xakerlik hujumlarining barcha turlarini bloklashi, ichki tarmoqdan ma'lumotlarning sizib chiqishini bloklashi va tashqi tarmoqqa kiradigan ilovalarni boshqarishi kerak. Ushbu funktsiyalarni amalga oshirish uchun xavfsizlik devorlari tashqi va ichki tarmoqlar o'rtasidagi barcha trafikni uning ma'lum belgilangan mezonlarga yoki trafikning bir tarmoqdan ikkinchisiga o'tish shartlarini belgilaydigan qoidalarga muvofiqligini tahlil qiladi. Agar trafik belgilangan mezonlarga javob bersa, xavfsizlik devori uni o'zi orqali o'tkazadi. Aks holda, ya'ni belgilangan mezonlar bajarilmasa, trafik xavfsizlik devori tomonidan bloklanadi. Xavfsizlik devorlari kiruvchi va chiquvchini filtrlaydi chiquvchi trafik va, shuningdek, sizga ma'lum kirishni nazorat qilish imkonini beradi tarmoq resurslari yoki ilovalar. Ular mahalliy tarmoq resurslariga ruxsatsiz kirishning barcha urinishlarini yozib olishlari va kirishga urinishlar haqida ogohlantirishlar berishi mumkin. Maqsadiga ko'ra, xavfsizlik devorlari asosan himoyalangan ob'ektning nazorat punkti (nazorat punkti) ga o'xshaydi, bu erda hujjatlar ob'ekt hududiga kiruvchi va undan chiqib ketayotgan har bir kishi uchun tekshiriladi. Agar o'tish joyi tartibda bo'lsa, hududga kirishga ruxsat beriladi. Xavfsizlik devorlari xuddi shunday ishlaydi, faqat tarmoq paketlari nazorat punktidan o'tadigan odamlar sifatida ishlaydi va o'tish bu paketlar sarlavhalarining oldindan belgilangan qoidalar to'plamiga mos kelishidir. Xavfsizlik devorlari haqiqatan ham ishonchlimi? Xavfsizlik devori foydalanuvchining tarmog'i yoki shaxsiy shaxsiy kompyuteri uchun 100% xavfsizlikni ta'minlaydi, deb aytish mumkinmi? Albatta yo'q. Agar umuman hech qanday tizim 100% xavfsizlik kafolati bermasa. Xavfsizlik devori, agar to'g'ri sozlangan bo'lsa, tajovuzkorning foydalanuvchining shaxsiy kompyuteriga kirish vazifasini sezilarli darajada murakkablashtiradigan vosita sifatida ko'rib chiqilishi kerak. Biz ta'kidlaymiz: faqat murakkablashtirish uchun, lekin mutlaq xavfsizlikni kafolatlamaslik uchun. Aytgancha, agar gap mahalliy tarmoqni himoya qilish haqida emas, balki Internetga kirish imkoni bo'lgan alohida shaxsiy kompyuterni himoya qilish haqida ketsa, Windows XP operatsion tizimiga o'rnatilgan ICF (Internet Connection Firewall) shaxsiy xavfsizligini ta'minlash bilan muvaffaqiyatli kurashadi. Shuning uchun, kelajakda biz faqat kichik tarmoqlarni himoya qilish uchun mo'ljallangan korporativ apparat xavfsizlik devorlari haqida gapiramiz. Mahalliy tarmoqqa kirishda o'rnatilgan xavfsizlik devori tomonidan faollashtirilgan bo'lsa to'liq dastur(qoida tariqasida, bu standart sozlamalarga mos keladi), keyin u himoya qiladigan tarmoq butunlay o'tib bo'lmaydigan va tashqaridan kirish mumkin emas. Biroq, ichki tarmoqning bunday to'liq o'tkazilmasligi o'ziga xos xususiyatga ega teskari tomon. Gap shundaki, bu holda kompyuterda o'rnatilgan Internet xizmatlaridan (masalan, ICQ va shunga o'xshash dasturlardan) foydalanish imkonsiz bo'lib qoladi. Shunday qilib, xavfsizlik devorini o'rnatish vazifasi tajovuzkor uchun xavfsizlik devori bo'lgan dastlab bo'sh devorda derazalar qilishdir. foydalanuvchi dasturlari tashqaridan kelgan so'rovlarga javob berish va oxir-oqibat ichki tarmoqning tashqi dunyo bilan boshqariladigan o'zaro ta'sirini amalga oshirish. Biroq, bunday devorda bunday oynalar qanchalik ko'p paydo bo'lsa, tarmoqning o'zi shunchalik zaif bo'ladi. Shunday qilib, biz yana bir bor ta'kidlaymiz: hech qanday xavfsizlik devori o'zi himoya qiladigan mahalliy tarmoqning mutlaq xavfsizligini kafolatlay olmaydi. Faervol tasnifi Xavfsizlik devorlarining imkoniyatlari va ularning qanchalik aqlli ekanligi OSI mos yozuvlar modelining qaysi qatlamida ishlashiga bog'liq. Qanchalik baland OSI qatlami, xavfsizlik devori asoslangan bo'lsa, u ta'minlaydigan himoya darajasi shunchalik yuqori bo'ladi. Shuni eslang OSI modeli (ochiq tizim Interconnection) tarmoq arxitekturasining etti darajasini o'z ichiga oladi. Birinchisi, eng pasti jismoniy qatlam. Undan keyin havola, tarmoq, transport, seans, taqdimot va amaliy yoki amaliy qatlamlar keladi. Trafikni filtrlashni ta'minlash uchun xavfsizlik devori kamida OSI modelining uchinchi qatlamida, ya'ni MAC manzillarini tarmoq manzillariga tarjima qilish asosida paketlar yo'naltiriladigan tarmoq sathida ishlashi kerak. TCP/IP protokoli nuqtai nazaridan bu qatlam IP (Internet Protocol) qatlamiga mos keladi. Tarmoq sathi haqida ma'lumot olish orqali xavfsizlik devorlari paketning manba va maqsad manzilini aniqlay oladi va ushbu manzillar o'rtasida trafik o'tishiga ruxsat berilganligini tekshiradi. Biroq, tarmoq sathi ma'lumotlari paket mazmunini tahlil qilish uchun etarli emas. OSI modelining transport qatlamida ishlaydigan xavfsizlik devorlari bir nechtasini oladi qo'shimcha ma'lumot paketlar haqida va shu ma'noda tarmoqlarni himoya qilish uchun yanada aqlli sxemalarni taqdim etishi mumkin. Ilovalar darajasida ishlaydigan xavfsizlik devorlariga kelsak, ular tarmoq paketlari haqida to'liq ma'lumotga ega bo'ladilar, ya'ni bunday xavfsizlik devorlari tarmoqning eng ishonchli himoyasini ta'minlaydi. Xavfsizlik devorlari ishlaydigan OSI modeli darajasiga qarab, ushbu qurilmalarning quyidagi tasnifi tarixan rivojlangan: paketli filtr (paket filtri); seans darajasidagi shlyuz (sxema darajasidagi shlyuz); amaliy darajadagi shlyuz (ilova darajasidagi shlyuz); Davlatga tegishli Paket tekshiruvi(SPI). Eslab qoling bu tasnif faqat tarixiy qiziqish uyg'otadi, chunki barcha zamonaviy xavfsizlik devorlari eng ilg'or (tarmoq xavfsizligi nuqtai nazaridan) SPI xavfsizlik devorlari sifatida tasniflanadi. Paket filtrlari Paket filtri tipidagi xavfsizlik devorlari eng oddiy (eng kam aqlli). Ushbu xavfsizlik devorlari OSI modelining tarmoq qatlamida yoki TCP/IP protokoli stekining IP sathida ishlaydi. Bunday xavfsizlik devorlari har bir routerda majburiydir, chunki har qanday router kamida OSI modelining uchinchi qatlamida ishlaydi. Paket filtrlarining vazifasi manba yoki maqsad IP manzili, shuningdek port raqamlari haqidagi ma'lumotlarga asoslanib paketlarni filtrlashdan iborat. Paket filtrlari kabi xavfsizlik devorlarida har bir paket uzatish mezonlariga javob beradimi yoki uzatilishidan oldin uzatishni blokirovka qiladimi yoki yo'qligini tekshirish uchun tahlil qilinadi. Paketga va yaratilgan uzatish mezonlariga qarab, xavfsizlik devori paketni uzatishi, uni rad etishi yoki uzatish tashabbuskoriga bildirishnoma yuborishi mumkin. Paket filtrlarini amalga oshirish oson va marshrutlash tezligiga deyarli ta'sir qilmaydi. Seans darajasidagi shlyuzlar Seans darajasidagi shlyuzlar - bu OSI modelining sessiya darajasida yoki TCP/IP protokoli stekining TCP (Transport Control Protocol) darajasida ishlaydigan xavfsizlik devori. Ushbu xavfsizlik devorlari TCP ulanishini (oxirgi mashinalar o'rtasida ma'lumot almashish seanslarini tashkil etish) o'rnatish jarayonini kuzatib boradi va sizga berilgan aloqa seansining qonuniy yoki yo'qligini aniqlash imkonini beradi. Seans darajasidagi shlyuz orqali tashqi tarmoqdagi masofaviy kompyuterga uzatiladigan ma'lumotlar uzatish manbasi haqida ma'lumotni o'z ichiga olmaydi, ya'ni hamma narsa ma'lumotlar ichki tarmoqdagi kompyuter tomonidan emas, balki xavfsizlik devorining o'zi tomonidan yuborilganga o'xshaydi. (himoyalangan) tarmoq. NAT protokoliga asoslangan barcha xavfsizlik devorlari seans sathi shlyuzlaridir (NAT protokoli quyida tavsiflanadi). Seans darajasidagi shlyuzlar ham marshrutlash tezligiga sezilarli ta'sir ko'rsatmaydi. Shu bilan birga, bu shlyuzlar alohida paketlarni filtrlashga qodir emas. Ilova sathi shlyuzlari Ilova sathi shlyuzlari yoki proksi-serverlar OSI modelining amaliy darajasida ishlaydi. Ilova qatlami tarmoqqa ilovalarga kirish uchun javobgardir. Ushbu darajadagi vazifalarga fayllarni uzatish, elektron pochta almashinuvi va tarmoqni boshqarish kiradi. Ilova sathida paketlar haqida ma'lumot olish orqali dastur sathi shlyuzlari kirishni bloklashni amalga oshirishi mumkin. muayyan xizmatlar. Masalan, agar dastur sathi shlyuzi Web proksi-server sifatida sozlangan bo'lsa, Telnet, FTP, Gopher protokollari bilan bog'liq har qanday trafik bloklanadi. Ushbu xavfsizlik devorlari dastur sathida paketlarni tahlil qilganligi sababli ular http:post, get va hokazo kabi maxsus buyruqlarni filtrlash imkoniyatiga ega. Bu xususiyat paketli filtrlar yoki seans darajasidagi shlyuzlar uchun mavjud emas. Ilova sathi shlyuzlaridan alohida foydalanuvchilar faoliyatini qayd qilish va aloqa seanslarini sozlash uchun ham foydalanish mumkin. Ushbu xavfsizlik devorlari seans darajasidagi shlyuzlar va paketli filtrlarga qaraganda tarmoqlarni himoya qilishning yanada mustahkam usulini taklif qiladi. SPI xavfsizlik devorlari Xavfsizlik devorlarining oxirgi turi - Statusli Paket Tekshirish (SPI) - paket filtrlari, seans darajasidagi shlyuzlar va dastur darajasidagi shlyuzlarning afzalliklarini birlashtiradi. Ya'ni, aslida, biz tarmoq, sessiya va dastur darajalarida bir vaqtning o'zida ishlaydigan ko'p darajali xavfsizlik devorlari haqida gapiramiz. SPI xavfsizlik devorlari tarmoq sathida paketlarni filtrlashni amalga oshiradi, seans darajasidagi ma'lumotlar asosida aloqa seansini o'rnatishning qonuniyligini aniqlaydi va dastur sathi ma'lumotlari asosida paketlar tarkibini tahlil qiladi. Ushbu xavfsizlik devorlari tarmoqlarni himoya qilishning eng ishonchli usulini ta'minlaydi va hozirda de-fakto standart hisoblanadi. Xavfsizlik devori sozlamalari Xavfsizlik devorlarini sozlash metodologiyasi va imkoniyatlari modelga qarab farq qiladi. Afsuski, yagona interfeysni o'rnatish uchun yagona qoidalar yo'q. Biz faqat kuzatilishi kerak bo'lgan ba'zi umumiy qoidalar haqida gapirishimiz mumkin. Aslida, asosiy qoida juda oddiy - tarmoqning normal ishlashi uchun zarur bo'lmagan hamma narsani taqiqlash kerak. Ko'pincha xavfsizlik devorlarini sozlash variantlari oldindan belgilangan qoidalarni faollashtirish va jadval shaklida statik qoidalarni yaratishga to'g'ri keladi. Misol sifatida Gigabyte GN-B49G routeriga kiritilgan xavfsizlik devorini sozlash imkoniyatlarini ko'rib chiqaylik. Ushbu router turli darajadagi ichki tarmoq xavfsizligini amalga oshirish imkonini beruvchi bir qator oldindan belgilangan qoidalarga ega. Ushbu qoidalarga quyidagilar kiradi: Routerning konfiguratsiyasi va boshqaruviga WAN tomonidan kirish taqiqlangan. Ushbu funktsiyani faollashtirish tashqi tarmoqdan router sozlamalariga kirishni taqiqlaydi; LAN ichida Global-IP-dan Private-IP-ga kirish taqiqlangan. Bu xususiyat mahalliy tarmoq ichida global IP-manzillardan (agar mavjud bo'lsa) shaxsiy foydalanish uchun ajratilgan IP-manzillarga kirishni bloklash imkonini beradi; Router tarmog'idan tashqarida fayl va printer almashishni oldini oling. Funktsiya printerlar va ichki tarmoqdagi fayllarga tashqaridan umumiy kirishdan foydalanishni oldini oladi; Routerning mavjudligini WAN tomonidan aniqlab bo'lmaydi. Bu funksiya routerni tashqi tarmoqdan ko'rinmas holga keltiradi; Xizmatni rad etish (DoS) hujumlarining oldi olinadi. Ushbu funktsiya faollashtirilganda, DoS (Xizmatni rad etish) hujumlaridan himoyalanish amalga oshiriladi. DoS hujumlarining bir turi tarmoq hujumlari, bu tizim tomonidan taqdim etilgan xizmatni talab qiluvchi serverga so'rovlar to'plamini olishdan iborat. Server o'z resurslarini ulanishni o'rnatish va unga xizmat ko'rsatishga sarflaydi va ma'lum bir so'rovlar oqimi bilan u ularni bajara olmaydi. Ushbu turdagi hujumlardan himoya qilish odatdagi trafikka nisbatan haddan tashqari ko'p bo'lgan trafik manbalarini tahlil qilish va uni uzatishni taqiqlashga asoslangan. Yuqorida aytib o'tganimizdek, ko'pgina xavfsizlik devorlari yuqorida sanab o'tilganlarga o'xshash, ammo boshqa nomlarga ega bo'lishi mumkin bo'lgan oldindan belgilangan qoidalarga ega. Xavfsizlik devorini sozlashning yana bir usuli - bu tarmoqni nafaqat tashqi tomondan himoya qilish, balki mahalliy tarmoq foydalanuvchilari uchun tashqi tarmoqqa kirishni cheklash imkonini beruvchi statik qoidalarni yaratishdir. Qoidalarni yaratish imkoniyatlari juda moslashuvchan va deyarli har qanday vaziyatni amalga oshirishga imkon beradi. Qoida yaratish uchun siz manba IP-manzilini (yoki manzillar oralig'ini), manba portlarini, maqsad IP-manzillarini va portlarini, protokol turini, paketlarni uzatish yo'nalishini (ichki tarmoqdan tashqi tarmoqqa yoki aksincha) va amalni belgilaysiz. paket belgilangan xususiyatlarga ega aniqlanganda olinadi (paketni tashlab qo'ying yoki o'tkazib yuboring). Misol uchun, agar siz ichki tarmoq foydalanuvchilarining (IP manzillar diapazoni: 192.168.1.1-192.168.1.100) 64.233.183.104 tashqi IP manzilida joylashgan FTP serveriga (port 21) kirishiga yo'l qo'ymaslikni istasangiz, qoida bo'lishi mumkin. quyidagicha shakllantirilsin: paketlarni yo'naltirish yo'nalishi: LAN-to-WAN; Manba IP manzillari: 192.168.1.1-192.168.1.100; manba porti: 1-65535; maqsad porti: 21; protokol: TCP; harakat: tushirish. Yuqoridagi misol uchun xavfsizlik devori qoidasining statik konfiguratsiyasi rasmda ko'rsatilgan. bitta. NAT protokoli xavfsizlik devorining ajralmas qismi sifatida O'rnatilgan xavfsizlik devoriga ega barcha zamonaviy routerlar Tarmoqni tarjima qilish protokolini qo'llab-quvvatlaydi. NAT manzillari(Tarmoq manzili tarjimasi). NAT protokoli xavfsizlik devorining bir qismi emas, lekin ayni paytda tarmoq xavfsizligini oshirishga yordam beradi. NAT protokolining asosiy vazifasi IP-manzillar etishmasligi muammosini hal qilishdan iborat bo'lib, bu kompyuterlar sonining ko'payishi bilan tobora dolzarb bo'lib bormoqda. Gap shundaki, IPv4 protokolining joriy versiyasida IP-manzilni aniqlash uchun to'rt bayt ajratilgan, bu esa tarmoq kompyuterlarining to'rt milliarddan ortiq manzillarini shakllantirish imkonini beradi. Albatta, o'sha kunlarda Internet go'zallik davrida, qachondir IP-manzillar soni etarli bo'lmasligi mumkinligini tasavvur qilish ham qiyin edi. IP-manzillar etishmasligi muammosini qisman hal qilish uchun bir vaqtlar tarjima protokoli taklif qilingan tarmoq manzillari NAT. NAT protokoli RFC 1631 tomonidan belgilanadi, u tarmoq manzilini tarjima qilish qanday amalga oshirilishini belgilaydi. Ko'pgina hollarda, NAT qurilmasi mahalliy tarmoqlarda shaxsiy foydalanish uchun ajratilgan IP manzillarni umumiy IP manzillarga tarjima qiladi. Shaxsiy manzil maydoni RFC 1918 tomonidan boshqariladi. Bu manzillar quyidagi IP diapazonlarini o'z ichiga oladi: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-1925.251. RFC 1918 ga ko'ra, shaxsiy IP-manzillardan WAN tarmog'ida foydalanish mumkin emas, shuning uchun ular faqat ichki maqsadlarda erkin foydalanishlari mumkin. NAT protokolining ishlash xususiyatlariga o'tishdan oldin, keling, qanday ishlashini ko'rib chiqaylik tarmoq ulanishi ikkita kompyuter o'rtasida. Tarmoqdagi bitta kompyuter boshqa kompyuter bilan aloqa o'rnatganida, manba IP manzili, manba porti, maqsad IP manzili, maqsad porti va tarmoq protokoli bilan aniqlangan rozetka ochiladi. IP-paket formati port raqamlari uchun ikki baytli maydonni taqdim etadi. Bu sizga aloqa kanallarining bir turi rolini o'ynaydigan 65 535 portni aniqlash imkonini beradi. 65 535 portdan birinchi 1023 tasi taniqli portlar uchun ajratilgan server xizmatlari Web, FTP, Telnet va boshqalar kabi. Boshqa barcha portlardan har qanday boshqa maqsadda foydalanish mumkin. Agar, masalan, bitta tarmoq kompyuteri FTP serveriga (port 21) kirsa, u holda rozetka ochilganda, operatsion tizim seansga 1023 dan yuqori bo'lgan istalgan portni tayinlaydi. Masalan, bu port 2153 bo'lishi mumkin. Keyin IP-paket yuboriladi. Kompyuter tomonidan FTP-serverga manba IP-manzil, manba port (2153), maqsad IP-manzil va maqsad port (21) kiradi. Yuboruvchining IP manzili va porti serverning mijozga javobi uchun ishlatiladi. Turli xil tarmoq seanslari uchun turli portlardan foydalanish tarmoq mijozlariga bir vaqtning o'zida turli serverlar yoki bir xil server xizmatlari bilan bir nechta seanslarni o'rnatish imkonini beradi. Endi ichki tarmoq va Internet chegarasida NAT routeridan foydalanganda sessiyani o'rnatish jarayonini ko'rib chiqamiz. Ichki tarmoq mijozi tashqi tarmoq serveri bilan aloqa qilganda, xuddi ikkita shaxsiy kompyuter o'rtasida ulanish o'rnatilganda, manba IP manzili, manba porti, maqsad IP manzili, maqsad porti va tarmoq protokoli bilan aniqlangan rozetka ochiladi. Ilova ushbu rozetkaga ma'lumot yuborganda, manba parametrlari maydonlarida manba IP manzili va manba porti paketga kiritiladi. Belgilangan parametr maydonlarida server IP manzili va server porti bo'ladi. Masalan, IP manzili 192.168.0.1 bo'lgan ichki tarmoq kompyuteri 64.233.188.104 IP manzilli WAN veb-serveriga kirishi mumkin. Bunday holda, mijozning operatsion tizimi tayinlashi mumkin tashkil etilgan sessiya port 1251 (manba port), maqsad port esa Web servis porti, ya'ni 80. Keyin yuborilgan paket sarlavhasida quyidagi atributlar ko'rsatiladi (2-rasm): manba porti: 1251; Belgilangan IP manzil: 64.233.183.104; maqsad porti: 80; Protokol: TCP. NAT qurilmasi (marshrutizator) ichki tarmoqdan chiquvchi paketni tutib oladi va uning ichki jadvaliga maqsad IP manzili, maqsad porti, NAT qurilmasining tashqi IP manzili, tashqi port yordamida paketning manba va maqsadli portlarining xaritasini kiritadi. , tarmoq protokoli va mijozning ichki IP-manzili va porti. Faraz qilaylik, yuqoridagi misolda NAT router 195.2.91.103 (WAN port manzili) tashqi IP manziliga ega va belgilangan seans uchun NAT qurilmasining tashqi porti 3210. Bu holda ichki port. Paketning manba va maqsadli portlarini xaritalash quyidagi ma'lumotlarni o'z ichiga oladi: Manba IP manzili: 192.168.0.1; manba porti: 1251; tashqi IP manzili NAT qurilmalari: 195.2.91.103; NAT qurilmasining tashqi porti: 3210; Belgilangan IP manzil: 64.233.183.104; maqsad porti: 80; Protokol: TCP. Keyin NAT qurilmasi paketdagi manba maydonlarini tarjima qilish orqali paketni "tarjima qiladi": mijozning ichki IP manzili va porti NAT qurilmasining tashqi IP manzili va porti bilan almashtiriladi. Ushbu misolda aylantirilgan paket quyidagi ma'lumotlarni o'z ichiga oladi: Manba IP manzili: 195.2.91.103; manba porti: 3210; Belgilangan IP manzil: 64.233.183.104; maqsad porti: 80; Protokol: TCP. O'zgartirilgan paket tashqi tarmoq orqali yuboriladi va oxir-oqibat belgilangan serverga etib boradi. Paketni olgandan so'ng, server manba maydonlarida o'zining IP-manzilini va portini ko'rsatgan holda NAT qurilmasining (router) tashqi IP manzili va portiga javob paketlarini yuboradi (3-rasm). Ko'rib chiqilgan misolda, serverdan javob paketi sarlavhada quyidagi ma'lumotlarni o'z ichiga oladi: manba porti: 80; Belgilangan IP manzil: 195.2.91.103; maqsad porti: 3210; Protokol: TCP. Guruch. 3. Paketni tashqi tarmoqdan ichki tarmoqqa o'tkazishda NAT qurilmasining ishlash printsipi NAT qurilmasi ushbu paketlarni serverdan oladi va ularning tarkibini port xaritalash jadvali asosida tahlil qiladi. Agar jadvalda manba IP manzili, manba porti, maqsad porti va kiruvchi paketdagi tarmoq protokoli masofaviy xostning IP manziliga mos keladigan port xaritasi topilsa, u holda masofaviy port va port xaritasida ko'rsatilgan tarmoq protokoli bilan NAT ishlaydi teskari transformatsiya: paketning maqsadli maydonlaridagi tashqi IP manzili va tashqi portni ichki tarmoq mijozining IP manzili va ichki porti bilan almashtiradi. Shunday qilib, ichki tarmoqqa uzatiladigan paket, yuqorida ko'rib chiqilgan misol uchun, quyidagi atributlarga ega bo'ladi: Manba IP manzili: 64.233.183.104; manba porti: 80; Belgilangan IP manzil: 192.168.0.1; maqsad porti: 1251; Protokol: TCP. Biroq, agar portni xaritalash jadvalida moslik bo'lmasa, u holda kiruvchi paket rad qilinadi va ulanish tugatiladi. NAT marshrutizatori tufayli ichki tarmoqdagi har qanday shaxsiy kompyuter yo'riqnoma tashqi IP manzili va porti yordamida ma'lumotlarni WAN ga o'tkazishi mumkin. Shu bilan birga, ichki tarmoqning IP-manzillari seanslarga tayinlangan portlar sifatida tashqi tarmoqdan ko'rinmas qoladi. Biroq, NAT routeri faqat ichki va tashqi tarmoqlardagi kompyuterlar o'rtasidagi aloqani faqat ichki tarmoqdagi kompyuterdan boshlagan bo'lsa, ruxsat beradi. Agar tashqi tarmoqdagi har qanday kompyuter o'z tashabbusi bilan ichki tarmoqdagi kompyuterga kirishga harakat qilsa, u holda bunday ulanish NAT qurilmasi tomonidan rad etiladi. Shu sababli, NAT IP-manzillarning etishmasligi muammosini hal qilishdan tashqari, ichki tarmoq xavfsizligiga ham hissa qo'shadi. NAT qurilmalari bilan bog'liq muammolar NAT qurilmalarining ko'rinib turgan soddaligiga qaramay, ular o'rtasidagi o'zaro ta'sirni tashkil qilishni qiyinlashtiradigan ba'zi muammolar bilan bog'liq. tarmoq kompyuterlari yoki hatto uning tashkil etilishiga to'sqinlik qiladi. Misol uchun, agar mahalliy tarmoq NAT qurilmasi bilan himoyalangan bo'lsa, ichki tarmoqdagi har qanday mijoz WAN serveri bilan aloqa o'rnatishi mumkin, lekin aksincha emas. Ya'ni, tashqi tarmoqdan siz NAT qurilmasi orqasidagi ichki tarmoqda joylashgan serverga ulanishni boshlay olmaysiz. Ammo ichki tarmoqda tashqi tarmoqdagi foydalanuvchilar foydalanishi kerak bo'lgan xizmat (masalan, FTP yoki veb-server) mavjud bo'lsa-chi? Ushbu muammoni hal qilish uchun NAT routerlari perimetr zonasi va portni yo'naltirish texnologiyalaridan foydalanadi, ular quyida batafsil tavsiflanadi. NAT qurilmalaridagi yana bir muammo shundaki, ba'zi tarmoq ilovalari paketning ma'lumotlar qismidagi IP-manzil va portni o'z ichiga oladi. NAT qurilmasi bunday manzillarni tarjima qilishga qodir emasligi aniq. Natijada, agar tarmoq ilovasi paketning foydali qismiga IP-manzil yoki portni kiritsa, server NAT qurilmasining ichki jadvalida tegishli xaritalash yozuvi mavjud bo'lmagan ichki IP-manzil va port yordamida bunday paketga javob beradi. . Natijada, bunday paket NAT qurilmasi tomonidan tushiriladi va shuning uchun foydalaniladigan ilovalar bu texnologiya, NAT qurilmalari mavjud bo'lsa, ishlamaydi. Ma'lumotlarni uzatishda bitta portdan (jo'natuvchi port sifatida) foydalanadigan, lekin boshqa portda javob kutadigan tarmoq ilovalari mavjud. NAT qurilmasi chiquvchi trafikni tahlil qiladi va manba portini xaritalaydi. Biroq, NAT qurilmasi javob boshqa portda kutilayotganini bilmaydi va tegishli xaritalashni amalga oshira olmaydi. Natijada, NAT qurilmasining ichki jadvalida mos kelmaydigan portga yuborilgan javob paketlari o'chiriladi. NAT qurilmalari bilan bog'liq yana bir muammo - bir xil portga bir nechta kirish. NAT qurilmasi bilan tashqi tarmoqdan ajratilgan mahalliy tarmoqning bir nechta mijozlari bir xil foydalanishi mumkin bo'lgan vaziyatni ko'rib chiqing standart port. Masalan, u veb-xizmat uchun ajratilgan 80-port bo'lishi mumkin. Ichki tarmoqdagi barcha mijozlar bir xil IP-manzildan foydalanganligi sababli, savol tug'iladi: NAT qurilmasi tashqi so'rov ichki tarmoqdagi qaysi mijozga tegishli ekanligini qanday aniqlashi mumkin? Ushbu muammoni hal qilish uchun ichki tarmoqdagi faqat bitta mijoz bir vaqtning o'zida standart portga kirish huquqiga ega. Statik portni yo'naltirish (portni xaritalash) Ichki tarmoqdagi serverda ishlaydigan ba'zi ilovalarni (masalan, veb-server yoki FTP serveri) tashqi tarmoqdan foydalanish imkoniyatini yaratish uchun NAT qurilmasida ma'lum ilovalar va IP manzillar tomonidan ishlatiladigan portlar o'rtasida xaritalash o'rnatilishi kerak. ushbu ilovalar ishlaydigan intranet serverlari. Bunday holda ular portni xaritalash texnologiyasi haqida gapirishadi va ichki tarmoq serverining o'zi virtual server deb ataladi. Natijada, tashqi tarmoqdan ko'rsatilgan portdagi NAT qurilmasining (router) tashqi IP-manziliga har qanday so'rov avtomatik ravishda ko'rsatilgan ichki tarmoq virtual serveriga yo'naltiriladi. Masalan, agar 192.168.0.10 IP-manzilli shaxsiy kompyuterda ishlaydigan ichki tarmoqda virtual FTP-server sozlangan bo'lsa, virtual serverni sozlashda virtual serverning IP-manzili (192.168.0.10), ishlatiladigan protokol (TCP) va dastur porti o'rnatiladi (21). Bunday holatda, 21-portda NAT qurilmasining tashqi manziliga (routerning WAN porti) kirishda, tashqi tarmoqdagi foydalanuvchi NAT protokolidan foydalanishga qaramay, ichki tarmoqdagi FTP serveriga kirishi mumkin. Haqiqiy NAT routerda virtual serverni sozlash misoli rasmda ko'rsatilgan. 4. Odatda, NAT marshrutizatorlari bir nechta statik portlarni yo'naltirish imkonini beradi. Shunday qilib, bitta virtual serverda siz bir vaqtning o'zida bir nechta portlarni ochishingiz yoki turli IP manzilli bir nechta virtual serverlarni yaratishingiz mumkin. Biroq, statik portni yo'naltirish bilan siz bitta portni bir nechta IP manzillarga yo'naltira olmaysiz, ya'ni port bitta IP manzilga mos kelishi mumkin. Masalan, turli xil IP-manzillarga ega bir nechta veb-serverlarni sozlashning iloji yo'q - buning uchun siz standart veb-server portini o'zgartirishingiz kerak bo'ladi va 80-portga kirishda yo'riqnoma sozlamalarida o'zgartirilgan veb-server portini ko'rsating. Shaxsiy port serveri. Ko'pgina marshrutizator modellari shuningdek, portlar guruhini statik qayta yo'naltirishni o'rnatishga, ya'ni bir vaqtning o'zida butun portlar guruhini virtual serverning IP manzili bilan bog'lashga imkon beradi. Agar siz foydalanadigan ilovalarning ishlashini ta'minlash kerak bo'lsa, bu xususiyat foydalidir katta miqdorda o'yin yoki audio/video konferentsiya kabi portlar. Yo'naltirilgan port guruhlari soni turli modellar marshrutizatorlar farq qiladi, lekin odatda kamida o'nta bo'ladi. Dinamik portni yo'naltirish (maxsus dastur) Statik portni yo'naltirish tashqi tarmoqdan NAT qurilmasi bilan himoyalangan mahalliy tarmoq xizmatlariga kirish muammosini qisman hal qilish imkonini beradi. Biroq, qarama-qarshi vazifa ham mavjud - mahalliy tarmoq foydalanuvchilariga NAT qurilmasi orqali tashqi tarmoqqa kirishni ta'minlash zarurati. Gap shundaki, ba'zi ilovalar (masalan, Internet-o'yinlar, videokonferentsiyalar, Internet-telefoniya va bir vaqtning o'zida ko'plab seanslarni o'rnatishni talab qiladigan boshqa ilovalar) NAT texnologiyasiga mos kelmaydi. Ushbu muammoni hal qilish uchun portni yo'naltirish individual tarmoq ilovalari darajasida o'rnatilganda dinamik portni yo'naltirish (ba'zan maxsus dastur deb ataladi) ishlatiladi. Router qo'llab-quvvatlasa bu funksiya, ma'lum bir ilova bilan bog'langan ichki port raqamini (yoki port diapazonini) o'rnatishingiz kerak (odatda Trigger Port bilan belgilanadi) va raqamni o'rnatishingiz kerak. tashqi port Umumiy portga xaritalash uchun NAT qurilmasi (Ommaviy port). Dinamik portni yo'naltirish yoqilganda, yo'riqnoma ichki tarmoqdan chiquvchi trafikni kuzatib boradi va ushbu trafikni keltirib chiqaradigan kompyuterning IP manzilini eslab qoladi. Ma'lumotlar mahalliy segmentga qaytib kelganida, portni yo'naltirish yoqiladi va ma'lumotlar ichkariga uzatiladi. O'tkazish tugallangandan so'ng, qayta yo'naltirish o'chiriladi va keyin har qanday boshqa kompyuter o'zining IP manziliga yangi yo'naltirishni yaratishi mumkin. Dinamik portni yo'naltirish asosan qisqa muddatli so'rovlar va ma'lumotlarni uzatishni talab qiladigan xizmatlar uchun qo'llaniladi, chunki agar bitta kompyuter berilgan portni yo'naltirishdan foydalansa, bir vaqtning o'zida boshqa kompyuter ham xuddi shunday qila olmaydi. Agar siz portni uzoq vaqt davomida egallagan doimiy ma'lumotlar oqimiga muhtoj bo'lgan ilovalarning ishini sozlashni istasangiz, dinamik qayta yo'naltirish samarasiz bo'ladi. Biroq, bu holatda muammoning yechimi bor - bu qurolsizlantirilgan hududdan foydalanish. DMZ zonasi Demilitarizatsiya zonasi (DMZ) - bu NAT protokoli cheklovlarini chetlab o'tishning yana bir usuli. Bu xususiyat barcha zamonaviy routerlar tomonidan taqdim etiladi. DMZ-ga ichki LAN kompyuterini joylashtirganingizda, u NAT uchun shaffof bo'ladi. Aslida, bu ichki tarmoqdagi kompyuter xavfsizlik devori oldida deyarli joylashganligini anglatadi. DMZ zonasida joylashgan shaxsiy kompyuter uchun barcha portlar bitta ichki IP-manzilga yo'naltiriladi, bu tashqi tarmoqdan ichki tarmoqqa ma'lumotlarni uzatishni tashkil qilish imkonini beradi. Agar, masalan, ichki mahalliy tarmoqda joylashgan 192.168.1.10 IP-manzilli server DMZ zonasida joylashgan bo'lsa va mahalliy tarmoqning o'zi NAT qurilmasi bilan himoyalangan bo'lsa, so'rov istalgan vaqtda qabul qilinganda. portni tashqi tarmoqdan WAN port manzili NAT qurilmalariga o'tkazsangiz, ushbu so'rov 192.168.1.10 IP manziliga, ya'ni DMZ zonasidagi virtual server manziliga yo'naltiriladi. Qoida tariqasida, SOHO sinfidagi NAT routerlari DMZ zonasida faqat bitta kompyuterni joylashtirish imkonini beradi. DMZ zonasida kompyuterni sozlash misoli rasmda ko'rsatilgan. 5. Guruch. 5. DMZ zonasidagi kompyuter konfiguratsiyasiga misol DMZ zonasida joylashgan kompyuter tashqi tarmoqdan foydalanish mumkin bo'lganligi va hech qanday tarzda xavfsizlik devori bilan himoyalanmaganligi sababli, u tarmoq zaifligiga aylanadi. NAT protokoli cheklovlarini chetlab o'tishning boshqa usullari biron bir sababga ko'ra mos kelmasa, demilitarizatsiya zonasiga kompyuterlarni joylashtirishga faqat oxirgi chora sifatida murojaat qilish kerak. NAT o'tish texnologiyasi NAT protokoli cheklovlarini chetlab o'tish uchun biz sanab o'tgan usullar yangi boshlanuvchilar uchun biroz qiyin bo'lishi mumkin. Boshqaruvni osonlashtirish uchun NAT qurilmalarini sozlash uchun avtomatlashtirilgan texnologiya taklif qilingan. NAT Traversal texnologiyasi (NAT traversal) tarmoq ilovalariga NAT qurilmasi tomonidan himoyalanganligini aniqlash, tashqi IP-manzilni o'rganish va portni yo'naltirish imkonini beradi. avtomatik rejim. Shunday qilib, NAT Traversalning afzalligi shundaki, foydalanuvchi port xaritasini qo'lda sozlashi shart emas. NAT Traversal texnologiyasi UPnP (Universal Plug and Play) protokollariga tayanadi, shuning uchun tez-tez ushbu texnologiyani faollashtirish uchun routerlarda UPnP & NAT opsiyasini tekshirish kerak bo'ladi. Routerda nima uchun xavfsizlik devori kerak Simsiz tarmoqni ehtiyotkorlik bilan himoya qilish kerak, chunki bu erda ma'lumotni ushlab turish uchun eng qulay imkoniyatlar yaratilgan. Shuning uchun, agar router (router) yordamida bir nechta kompyuterlar tarmoqqa ulangan bo'lsa, xavfsizlik devori o'rnatilishi va faqat har bir kompyuterda emas, balki routerda ham ishlatilishi kerak. Masalan, DI-XXX seriyali routerdagi xavfsizlik devori funksiyasi paketlarni qo'shimcha tekshirishni amalga oshiradigan SPI tomonidan amalga oshiriladi. Tekshiruv predmeti - paketlarning o'rnatilgan ulanishga tegishliligi. Ulanish seansi paytida chet el paketlari hujum qilishga urinishi mumkin bo'lgan port ochiladi, buning uchun ayniqsa qulay vaqt sessiya tugashi va port yana bir necha daqiqa ochiq qoladi. Shunday qilib, SPI eslaydi Hozirgi holat sessiya va barcha kiruvchi paketlarni tahlil qiladi. Ular kutilganlarga mos kelishi kerak - so'rov yuborilgan manzildan kelib, ma'lum raqamlarga ega. Agar paket seansga mos kelmasa, ya'ni noto'g'ri bo'lsa, u bloklanadi va bu hodisa qayd qilinadi. Routerdagi boshqa xavfsizlik devori zararlangan kompyuterdan chiquvchi ulanishlarni bloklash imkonini beradi. 1 590 rub. TP-Link TP-LINK TD-W8961N(EN) . ADSL2+ qo'llab-quvvatlashi bilan. Telnet yordami bilan. Kommutator portlari soni - 4. Statik marshrutlash bilan. O'rnatilgan router bilan. BILAN SPI funktsiyasi . Bajarish - tashqi. NAT qo'llab-quvvatlashi bilan. Dinamik DNS qo'llab-quvvatlashi bilan. Modem turi - ADSL. SNMP qo'llab-quvvatlashi bilan. DHCP serveri bilan. O'rnatilgan kalit bilan. Interfeys - Ethernet. Veb-interfeys bilan. Demilitarizatsiya zonasi (DMZ) bilan. Olchamlari 130x195x35 mm. Download 274,43 Kb. Do'stlaringiz bilan baham: 
|