Innholdsfortegnelse:
All nettverkstrafikk inn og ut av LAN skal passere gjennom en brannmur, som forhindrer uautorisert tilgang til nettverket. Det er fire teknikker som brannmurer bruker for å holde uvelkomne besøkende ute av nettverket ditt. Tre av disse teknikkene er beskrevet her. Den fjerde, pakkefiltrering, er ikke dekket i denne artikkelen.
Statlig pakkeinspeksjon (SPI)
Statlig pakkeinspeksjon, , også kjent som SPI, er et steg opp i etterretning fra enkel pakkefiltrering. En brannmur med stateful pakke inspeksjon ser på pakker i grupper i stedet for individuelt. Det holder styr på hvilke pakker som har passert brannmuren og kan oppdage mønstre som indikerer uautorisert tilgang.
I noen tilfeller kan brannmuren holde fast på pakker når de kommer til brannmuren samler nok informasjon til å avgjøre om pakkene skal godkjennes eller avvises.
Stateful packet inspeksjon ble en gang funnet bare på dyre, enterprise-level rutere. Nå er imidlertid SPI-brannmurer rimelig nok for små eller mellomstore nettverk å bruke.
Kretskort gateway
A kretsnivå gateway styrer forbindelser mellom klienter og servere basert på TCP / IP-adresser og portnumre. Etter at forbindelsen er etablert, forstyrrer ikke gatewayen pakker som strømmer mellom systemene.
Du kan for eksempel bruke en gateway for Telnet-kretsnivå for å tillate Telnet-tilkoblinger (port 23) til en bestemt server og forby andre typer tilkoblinger til den serveren. Etter at forbindelsen er etablert, tillater kretsnivågatewayen at pakkene strømmer fritt over tilkoblingen. Som et resultat kan ikke gateway-gatewayen hindre at en Telnet-bruker kjører bestemte programmer eller bruker bestemte kommandoer.
Programgateway
En applikasjonsgateway er et brannmursystem som er mer intelligent enn en pakkefiltrerende brannmur, stateful pakkeinspeksjon eller gateway-brannmur på kretsnivå. Pakkefiltre behandler alle TCP / IP-pakker det samme. I motsetning henter applikasjonsgateways detaljene om programmene som genererer pakkene som går gjennom brannmuren.
For eksempel er en web-applikasjonsgateway klar over detaljene i HTTP-pakker. Som et resultat kan det undersøke mer enn bare kilden og destinasjonsadressene og portene for å avgjøre om pakkene skal ha lov til å passere gjennom brannmuren.
I tillegg fungerer applikasjonsgateways som proxy-servere.Enkelt sagt er en proxy server en server som sitter mellom en klientdatamaskin og en ekte server. Proxy-serveren avbryter pakker som er beregnet for den virkelige serveren og behandler dem.
Proxy-serveren kan undersøke pakken og bestemme seg for å sende den videre til den virkelige serveren, eller den kan avvise pakken. Det kan hende at proxy-serveren kan svare på selve pakken uten å involvere den virkelige serveren i det hele tatt.
For eksempel lagrer webproxyer ofte kopier av ofte brukte websider i en lokal cache. Når en bruker ber om en nettside fra en ekstern webserver, avbryter proxy-serveren forespørselen og kontrollerer om den allerede har en kopi av siden i hurtigbufferen. I så fall returnerer webproxyen siden direkte til brukeren. Hvis ikke, overfører proxyen forespørselen til den virkelige serveren.
Programgateways er klar over detaljene for hvordan ulike typer TCP / IP-servere håndterer sekvenser av TCP / IP-pakker, slik at de kan ta mer intelligente beslutninger om hvorvidt en innkommende pakke er legitim eller er en del av et angrep. Som et resultat er applikasjonsgateways sikrere enn enkle pakkefiltrerende brannmurer, som kun kan håndtere én pakke om gangen.
Den forbedrede sikkerheten til applikasjonsgateways kommer imidlertid til en pris. Application gateways er dyrere enn pakkefiltre, både når det gjelder kjøpspris og kostnadene ved å konfigurere og vedlikeholde dem. I tillegg reduserer applikasjonsgateways nettverksytelsen fordi de gjør mer detaljert kontroll av pakker før de lar dem passere.