Отслеживание пакетов в сети и настройка программно-аппаратных брандмауэров

Обновлено: 21.11.2024

Выполните действия, описанные в следующих разделах, чтобы настроить и применить фильтр брандмауэра на коммутаторе.

Настройка фильтра брандмауэра

Чтобы настроить фильтр брандмауэра:

Настройте тип семейного адреса, имя фильтра, имя термина и по крайней мере одно условие соответствия — например, соответствие пакетам, содержащим определенный исходный адрес.

Чтобы отфильтровать трафик уровня 2 (порт или VLAN), укажите тип семейного адреса ethernet-switching .

Чтобы отфильтровать трафик уровня 3 (маршрутизируемый), укажите тип семейного адреса ( inet для IPv4) или ( inet6 для IPv6).

Чтобы отфильтровать трафик интерфейса канала уровня 2, укажите тип семейного адреса ccc .

Имена фильтров и терминов могут содержать буквы, цифры и дефисы (-) и могут содержать до 64 символов. Каждое имя фильтра должно быть уникальным. Фильтр может содержать один или несколько терминов, и каждое имя термина должно быть уникальным в фильтре.

В этой конфигурации фильтр сопоставляется с пакетами уровня 2, которые содержат исходный порт 80.

В этой конфигурации фильтр соответствует VLAN, которые содержат интерфейс ge-0/0/6.0.

Вы можете указать одно или несколько условий соответствия в одном выражении from. Чтобы произошло совпадение, пакет должен соответствовать всем условиям термина. Оператор from является необязательным, но если вы включаете его в терм, он не может быть пустым. Если вы опустите оператор from, все пакеты будут считаться соответствующими.

Чтобы указать действие фильтра, например отбрасывать пакеты, соответствующие условиям условия фильтра:

Вы можете указать только одно действие для каждого термина ( accept , discard ,flood , reject , routing-instance или vlan ).

Чтобы указать действие фильтра, например, для лавинной рассылки пакетов, соответствующих MAC-адресу на QFX5100/QFX5110/QFX5120-32C/QFX5200/QFX5210:

Вы можете настроить фильтры брандмауэра на основе входных портов для переполнения или отклонения следующих BPDU, используя MAC-адрес назначения в качестве условия соответствия.

Адрес целевого управления доступом к среде (DMAC)

Протокол управления агрегацией каналов (LACP)

Протокол обнаружения канального уровня (LLDP)

Расширяемый протокол аутентификации по локальной сети (EAPOL)

Протокол связующего дерева (STP)

Протокол связующего дерева VLAN (VSTP)

Протокол обнаружения Cisco (CDP)/магистральный протокол VLAN (VTP)

Протоколы CDP/VTP, ISIS L1/L2 переполняются с помощью динамического фильтра по умолчанию. Поэтому настраивать дополнительные фильтры для этих протоколов не нужно.

Поскольку фильтры брандмауэра на основе входящего порта применяются на уровне порта, только один фильтр может применяться к физическому интерфейсу в конфигурации в стиле поставщика услуг.

Собственная VLAN должна быть настроена для обеспечения лавинной рассылки нетегированных BPDU, полученных через магистральный порт. Если собственная VLAN не настроена, то нетегированные BPDU будут рассылаться на все интерфейсы в локальном FPC.

Если включено отслеживание IGMP или обнаружение прослушивателя многоадресной рассылки (MLD), функция лавинной рассылки не работает.

Когда к интерфейсу применяется фильтр брандмауэра с действием лавинной рассылки, а затем, если интерфейс выходит из строя, BPDU, полученные на этом интерфейсе, будут лавинно рассылаться, если он удовлетворяет условиям совпадения.

Чтобы указать модификаторы действий, например, для подсчета и классификации пакетов по классу пересылки:

В операторе then можно указать любой из следующих модификаторов действия:

analyzer имя-анализатора — зеркально отражает трафик порта на указанный анализатор, который необходимо настроить на уровне [ethernet-switching-options].

count counter-name — подсчитывает количество пакетов, прошедших этот фильтр.

Мы рекомендуем вам настроить счетчик для каждого термина в фильтре брандмауэра, чтобы вы могли отслеживать количество пакетов, соответствующих условиям, указанным в каждом термине фильтра.

На коммутаторах QFX3500 и QFX3600 фильтры автоматически подсчитывают пакеты, которые были отброшены во входящем направлении из-за ошибок проверки циклическим избыточным кодом (CRC).

forwarding-class class — Назначение пакетам класса пересылки.

log — регистрирует информацию о заголовке пакета в механизме маршрутизации.

loss-priority priority — установите приоритет отбрасывания пакета.

policer имя_полицейского — применяет ограничение скорости к трафику.

flood — лавинная рассылка пакетов.

syslog — регистрирует предупреждение для этого пакета.

Если вы опустите оператор then или не укажете действие, будут приняты пакеты, соответствующие всем условиям в операторе from. Но убедитесь, что вы всегда настраиваете действие в операторе then. Вы можете включить только один оператор действия, но можете использовать любую комбинацию модификаторов действия. Чтобы действие или модификатор действия вступили в силу, все условия в операторе from должны совпадать.

Неявное действие отмены, применимое к фильтру брандмауэра, примененному к интерфейсу обратной связи, lo0 .

Настройка расширенных фильтров исходящего брандмауэра (коммутаторы QFX5110 и QFX5220)

Из-за аппаратных ограничений QFX5110 и QFX5220 могут поддерживать не более 1000 исходящих фильтров брандмауэра (eRACL). Вы можете увеличить это число до 2000, настроив коммутатор в масштабируемом режиме. В этом режиме коммутатор использует входное пространство TCAM (IFP) для достижения более высокого масштаба.

Чтобы настроить исходящий фильтр, укажите тип семейного адреса ( inet для IPv4) или ( inet6 для IPv6), имя фильтра и имя термина. Включите применимый параметр масштабирования для вашего коммутатора и укажите условие совпадения и действие, которое необходимо предпринять в случае совпадения. Затем примените фильтр в направлении вывода на интерфейсе.

После настройки, изменения или удаления параметра масштабирования необходимо зафиксировать конфигурацию и перезапустить механизм пересылки пакетов (PFE).

Чтобы увеличить количество выходных фильтров на QFX5110, включите в свою конфигурацию параметр "выход-вход". Вы можете добавить эту опцию под любым термином. Ниже приведен пример конфигурации:

Чтобы увеличить количество выходных фильтров на QFX5220, включите параметр eracl-scale в оператор egress-profile. Ниже приведен пример конфигурации:

Опция eracl-scale настраивается в глобальном режиме. Если этот параметр включен, существующие выходные фильтры будут автоматически переустанавливаться в масштабируемом режиме.

При включении режима масштабирования применяются следующие ограничения:

Вы можете применять фильтр только в направлении выхода (трафик, выходящий из VLAN).

Поддерживаются только семейства протоколов inet и inet6.

Интерфейсы универсальной инкапсуляции маршрутизации (GRE) не поддерживаются.

Используйте параметры масштабирования только для исходящих фильтров брандмауэра.

Вы не можете применять фильтры с одним и тем же условием совпадения к разным исходящим VLAN или интерфейсам уровня 3. Поддерживаются только следующие действия: accept , discard и count .

Условия совпадения программируются во входном фильтре брандмауэра TCAM. Это означает, что любые счетчики, подключенные к фильтру, подсчитывают трафик во всех входящих сетях VLAN.

Применение фильтра брандмауэра к порту

Чтобы применить фильтр брандмауэра к порту:

Укажите осмысленное и описательное имя для фильтра брандмауэра. Это имя используется для применения фильтра к порту.

К порту во входящем направлении можно применить только один фильтр.

Применение фильтра брандмауэра к сети VLAN

Фильтры брандмауэра VLAN не поддерживаются на QFX5100, виртуальном шасси QFX5100, коммутаторах QFX5110 и QFX5120 в среде EVPN-VXLAN.

Чтобы применить фильтр брандмауэра к VLAN:

Укажите осмысленное и описательное имя для фильтра брандмауэра. Это имя используется для применения фильтра к VLAN.

Чтобы применить фильтр для сопоставления пакетов, поступающих в VLAN:

Чтобы применить фильтр брандмауэра для сопоставления пакетов, выходящих из VLAN:

Вы можете применить только один фильтр к сети VLAN для заданного направления (входящего или исходящего).

Применение фильтра брандмауэра к интерфейсу уровня 3 (маршрутизированному)

Можно применить фильтр брандмауэра к интерфейсам IPv4 и IPv6, маршрутизируемым интерфейсам VLAN (RVI) (также известным как интерфейс интегрированной маршрутизации и моста (IRB)) и интерфейсу замыкания на себя. Все они считаются маршрутизируемыми интерфейсами уровня 3.

(Коммутаторы QFX5100 и QFX5110) В среде EVPN-VXLAN можно использовать интерфейс IRB, чтобы обеспечить подключение уровня 3 к коммутатору. Чтобы настроить интерфейс IRB, см. Пример: Настройка интерфейсов IRB в среде EVPN-VXLAN для обеспечения подключения уровня 3 для хостов в центре обработки данных. Затем вы можете применить фильтр брандмауэра к интерфейсу IRB, выполнив следующие шаги (поддерживается только направление входа). Список поддерживаемых условий соответствия см. в разделе Условия и действия фильтра брандмауэра (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).

При применении фильтра к интерфейсу IRB, связанному с данной VLAN, фильтр выполняется на любом интерфейсе уровня 3 с соответствующим идентификатором VLAN. Это связано с тем, что фильтр сопоставляется на всех интерфейсах уровня 3 с соответствующим тегом VLAN.

Чтобы применить фильтр брандмауэра к интерфейсу уровня 3:

Укажите осмысленное и описательное имя для фильтра брандмауэра. Это имя используется для применения фильтра к интерфейсу.

Чтобы отфильтровать пакеты, поступающие на интерфейс:

Чтобы отфильтровать пакеты, выходящие из интерфейса:

Тип семейного адреса может быть ( inet для IPv4) или ( inet6 для IPv6).

Вы можете применить только один фильтр к интерфейсу для данного направления (вход или выход).

Применение фильтра брандмауэра к CCC уровня 2 (коммутаторы QFX10000)

Можно применять фильтры брандмауэра с подсчетом и действиями политик для трафика перекрестного соединения каналов (CCC) уровня 2 на коммутаторах QFX10000. Это позволяет вам подсчитывать и отслеживать активность ограничителя на уровне иерархии [редактировать семейную копию брандмауэра].

Брандмауэр с фильтрацией пакетов – это технология сетевой безопасности, которая используется для управления потоком данных в сеть и из сети. Это механизм безопасности, который позволяет перемещать пакеты по сети и контролирует их поток на основе набора правил, протоколов, IP-адресов и портов.

Что такое брандмауэр с фильтрацией пакетов?

Фильтрация пакетов защищает локальную сеть от нежелательного вторжения в зависимости от предопределенных правил. Информация проходит через сеть в виде небольших фрагментов, называемых пакетами, которые независимо перемещаются по IP-сетям. Эти небольшие пакеты проходят через узел только в том случае, если они соответствуют предопределенным правилам фильтрации, в противном случае они отбрасываются. Следовательно, правила фильтрации, определенные брандмауэрами сетевого уровня в брандмауэре с фильтрацией пакетов, оказываются очень эффективными в обеспечении механизмов безопасности.

В этой статье мы обсудим:

Схема брандмауэра с фильтрацией пакетов.
Преимущества и недостатки брандмауэра с фильтрацией пакетов.
Пример брандмауэра с фильтрацией пакетов.

1. Схема брандмауэра с фильтрацией пакетов

Фильтрация пакетов контролирует (разрешает или блокирует) передачу пакетов или данных на основе следующих стандартов:

Адрес, с которого пришел пакет.
Адрес, на который отправляется пакет.
Протоколы или правила приложения, установленные для передачи данных.

Брандмауэр фильтрации пакетов показывает, как фильтрация выполняется в брандмауэре. Брандмауэр с фильтрацией пакетов проверяет списки управления доступом (ACL) для разделения пакетов в зависимости от идентификатора протокола верхнего уровня, номеров исходного и целевого портов, исходного и целевого IP-адресов и маршрута передачи пакетов.

Брандмауэр с фильтрацией пакетов анализирует IP-адреса источника и получателя, номера портов источника и получателя, а также идентификаторы протоколов IP-пакетов в соответствии со списком ACL. Брандмауэр проверяет информацию, содержащуюся в заголовке IP, TCP или UDP, а затем решает принять или отклонить пакет в зависимости от ACL.
Брандмауэр может разрешать пакеты типа фрагмента после сравнения информации с ACL.
Кроме того, у него есть метод по умолчанию, установленный пользователями, который позволяет пакетам проходить, даже если они не соответствуют ACL.

Как показано на рисунке 1, прохождение пакетов полностью зависит от решения брандмауэра маршрутизатора, фильтрующего пакеты. Он фильтрует пакеты в соответствии с протоколами безопасности, запрограммированными в маршрутизаторе, используя правила брандмауэра. Эти правила брандмауэра для фильтрации пакетов настраиваются пользователями для создания защиты от передачи пакетов и пропуска только пакетов, соответствующих определенным IP-адресам или портам. Пользователи могут указать правила, которые будут разрешать только те пакеты, которые предназначены для их сервера, и отклонять все остальные пакеты. Например, могут быть установлены правила для полного отклонения пакетов, направляемых на порты, используемые NetBIOS, что, в свою очередь, предотвращает нежелательное вторжение хакеров из Интернета в ресурсы сервера NetBIOS.

Брандмауэры с фильтрацией пакетов можно разделить на следующие типы на основе использования правил:

Статический брандмауэр с фильтрацией пакетов. В этом типе брандмауэра правила устанавливаются вручную, а соединение между внутренней и внешней сетями всегда остается открытым или закрытым, пока не будет изменено вручную.
Брандмауэр с динамической фильтрацией пакетов. Этот тип брандмауэра представляет собой более интеллектуальный способ фильтрации, поскольку правила могут динамически изменяться в зависимости от условий, а порты открыты только в течение определенного времени, в противном случае они остаются закрытыми.
Брандмауэр с фильтрацией пакетов с отслеживанием состояния. Он использует предустановленную таблицу для поддержания безопасного соединения, а пакеты проходят в последовательности, утвержденной правилами фильтрации.

2. Преимущества и недостатки брандмауэра с фильтрацией пакетов

Брандмауэры с фильтрацией пакетов обычно работают либо на компьютерах/маршрутизаторах общего назначения, либо на маршрутизаторе специального назначения и имеют свои преимущества и недостатки брандмауэра с фильтрацией пакетов.

Фильтрация пакетов — это эффективная система защиты от вторжений с компьютеров или сетей за пределами локальной сети (LAN). Кроме того, это стандартное и экономичное средство защиты, поскольку большинство устройств маршрутизации сами по себе обладают встроенными возможностями фильтрации, поэтому нет необходимости устанавливать новое устройство брандмауэра. Ниже приведены некоторые из выдающихся преимуществ брандмауэра с фильтрацией пакетов, которые делают его очень популярным во всем мире:

Нужен только один маршрутизатор. Ключевое преимущество использования фильтрации пакетов заключается в том, что для защиты всей сети требуется использовать только один экранирующий маршрутизатор.
Высокоэффективный и быстрый. Маршрутизатор с фильтрацией пакетов работает очень быстро и эффективно, быстро принимает и отклоняет пакеты в зависимости от портов и адресов получателя и отправителя. Однако другие методы брандмауэра требуют больше времени для работы.
Прозрачен для пользователей: фильтрация пакетов работает независимо, без каких-либо знаний или сотрудничества со стороны пользователя. Пользователи не узнают о передаче пакетов, пока что-то не будет отклонено. Напротив, для других брандмауэров требуется специальное программное обеспечение, конфигурация клиентских компьютеров или специальное обучение или процедуры для пользователей.
Встроенная фильтрация пакетов в маршрутизаторах. Возможности фильтрации пакетов встроены в широко используемые аппаратные и программные продукты для маршрутизации. Кроме того, теперь большинство веб-сайтов имеют методы фильтрации пакетов, доступные в самих их маршрутизаторах, что также делает этот метод самым недорогим.

Фильтрация на основе IP-адреса или информации о порте. Самым большим недостатком фильтрации пакетов является то, что она работает с аутентификацией по IP-адресу и номеру порта, а не на основе такой информации, как контекст или приложение.
Фильтрация пакетов не имеет состояния. Еще одним большим недостатком фильтрации пакетов является то, что она не запоминает какие-либо прошлые вторжения или отфильтрованные пакеты. Он проверяет каждый пакет изолированно и не имеет сведений о состоянии, что позволяет хакерам легко взломать брандмауэр.
Отсутствие защиты от спуфинга адресов. Фильтрация пакетов не защищает от спуфинга IP-адресов, когда хакеры могут вставлять в пакеты поддельные IP-адреса для вторжения в сеть.
Не идеальный вариант для всех сетей. Внедрение брандмауэров с фильтрацией пакетов в очень востребованных фильтрах становится сложным или требует много времени. Иногда возникают трудности с управлением и настройкой списков управления доступом.

3. Пример брандмауэра с фильтрацией пакетов

Фильтры пакетов воздействуют на исходный и целевой IP-адреса и адреса портов, присутствующие в каждом пакете TCP/IP. Вы можете установить правила, разрешающие доступ только к знакомым и установленным IP-адресам и запрещающие доступ ко всем неизвестным или непризнанным IP-адресам.

Несмотря на свои недостатки, межсетевые экраны с фильтрацией пакетов широко используются из-за своей эффективности и низкой стоимости. Он контролирует перемещение информации/пакетов в соответствии с набором правил, определенных пользователем, и защищает сеть от нежелательных вторжений или атак. Таким образом, он действует как мощный инструмент безопасности и обеспечивает хороший уровень безопасности сети.

Также читать

объяснить брандмауэр с фильтрацией пакетов брандмауэр с фильтрацией пакетов преимущества и недостатки брандмауэра с фильтрацией пакетов пример брандмауэра с фильтрацией пакетов что такое брандмауэр с фильтрацией пакетов

Подпишитесь на нашу рассылку

Каждый месяц обновляйте свой почтовый ящик нашими тщательно подобранными информационными бюллетенями. Мы ценим вашу поддержку и позаботимся о том, чтобы ваша подписка была полезной.

102

9977

7117

1143

Статьи по теме

Крипто-мошенничество: насколько на самом деле безопасны блокчейны?

Криптовалюты меняют правила игры. NFT революционны. Блокчейн супергерметичен. Согласованный. Однако среди всех новостей о том, как люди становятся миллионерами благодаря NFT и переписыванию соглашений о криптовалютах, есть и весьма тревожные новости — крипто-мошенничество. Да, поскольку мир постепенно адаптирует приложения и концепции блокчейна, а несколько стран пересматривают свою политику в отношении криптовалют, это происходит в неподходящее время. Fortune также недавно опубликовала статью, в которой рассказывается о различных типах крипто-мошенничества, которые сотрясают Интернет и нацелены на людей, которые искренне увлечены новой волной. От мошенничества с инвестициями до манипулирования смарт-контрактами хакеры и злоумышленники придумывают новые способы использования уязвимостей технологий и людей для выманивания денег. Социальные сети действуют как их игровая площадка, особенно Facebook и Instagram. Это требует только большей технической грамотности и осведомленности с помощью жестких мер кибербезопасности. Чем больше люди знают о технологии, тем больше они знают о лазейках и уязвимостях. Итак, настало время для любой организации пересмотреть свою стратегию и сделать кибербезопасность приоритетом перед чем-либо еще в этом году. Вы можете прочитать всю статью здесь.

Что такое сертификат TLS? Всесторонний обзор (2021 г.)

ВВЕДЕНИЕ В связи с недавними делами о киберпреступлениях становится необходимым обеспечить наилучшие средства для передачи данных, чтобы избежать любого рода подделки или утечки информации. Это необходимо для уединения и исполнительской импровизации. TLS является наиболее надежным протоколом безопасности и широко используется многими компаниями для безопасной передачи данных.Для веб-соединения TLS требуется сертификат TLS. Что такое TLS?Что такое сертификат TLS?Как работает сертификат TLS?Слабые стороны сертификата TLSДоверие к центрам сертификацииОсобые меры предосторожности от ProtonMail 1.Что такое TLS? TLS означает безопасность транспортного уровня. Он принят в качестве протокола безопасности для передачи данных в Интернете для облегчения сквозной связи и онлайн-транзакций. Он обеспечивает шифрование данных для связи между веб-приложениями и серверами. Его также можно использовать для шифрования обмена мгновенными сообщениями, VOIP, электронной почты. Протокол TLS помогает предотвратить подделку, взлом, подслушивание, фальсификацию сообщений, паролей, учетных данных кредитных карт, данных, личной переписки, передаваемых по сетям. В случае TLS и SSL, TLS был предложен Инженерной группой Интернета (IETF) в 1999 году, а SSL — компанией Netscape. Многие организации используют TLS для обеспечения безопасной передачи конфиденциальных данных, поскольку они могут мультиплексировать и демультиплексировать сервисы с гарантированной полосой пропускания. 2.Что такое сертификат TLS? Сертификат TLS — это разновидность цифрового сертификата (или сертификата открытого ключа/сертификата удостоверения), выданного центром сертификации. Удостоверяющий центр аутентифицирует сертификат, подписывая его, удостоверяя, что он принадлежит конкретному доменному имени, являющемуся предметом сертификата. Подробная информация о сертификате включает доменное имя субъекта, организацию, владельца сертификата, открытый ключ сервера, который необходим для проверки подлинности сервера, орган, выдавший сертификат, дату выпуска и истечения срока действия и многое другое. подробности. 3.Как работает сертификат TLS? Сертификат TLS состоит из открытого ключа и закрытого ключа, которые взаимодействуют за кулисами во время транзакций. Они обеспечивают безопасное шифрование, когда кто-то посещает веб-сайт. После получения инструкций по переходу на защищенный веб-сайт сертификат TLS и открытый ключ передаются клиенту для безопасного подключения и уникального сеансового ключа. Затем браузер подтверждает подлинность удостоверяющего центра и статус сертификата. Браузер отправляет симметричный ключ, а сервер расшифровывает его приватным ключом. Затем это подтверждается сервером, зашифрованным с помощью сеансового ключа, для запуска зашифрованного сеанса. Таким образом, эта передача данных с сеансовым ключом помогает обеспечить конфиденциальность и целостность сообщения. Рукопожатия TLS инициируются, когда пользователь переходит к приложению или веб-сайту, использующему TLS, и представляет собой многоэтапный процесс. Это помогает в аутентификации сервера, создании сеансов для TLS-шифрования сообщений и устанавливает набор шифров для сеанса связи. Протоколы, использующие рукопожатия с асимметричным шифром, устанавливают лучшую связь с использованием симметричного шифра. При этом детали шифрования или сеансовые ключи будут использоваться с помощью криптографии с открытым ключом. После аутентификации и шифрования данных и подписи с кодом аутентификации сообщения получатель может пройти аутентификацию для обеспечения целостности данных. Если какие-либо шаги завершатся неудачно, рукопожатие не приведет к созданию соединения. 4. Слабые стороны сертификата TLS. Самая большая лазейка, существующая в цифровую эпоху, — это хакеры, злоумышленники и кибермошенники. Они также влияют на сертификат TLS. Некоторые из них упомянуты ниже: Отравление сертификата TLS Если компьютер подвергается атаке вредоносного программного обеспечения, безопасность сертификата TLS находится под угрозой. Это приведет к вставке корневого сертификата, что может привести к мошенническому ответу на запрос пользователя, выдаче себя за веб-сайт и получению доступа ко всем данным. Прямые атаки на центр сертификации Прямая атака на центр сертификации может привести к несанкционированному использованию ключей авторизации. Сертификаты, выданные по ошибке. Пользователи позволяют центру сертификации аутентифицировать сервер для установления соединения. Однако уязвимость возникает, когда хакеры используют сертификат. Это может привести к неправильному использованию сертификата и нарушению соединения на сервере. 5. Доверие к центрам сертификации. Настройка ЦС состоит из инфраструктуры открытых ключей, состоящей из многих компонентов, таких как инфраструктура безопасности, системы аудита, практические инструкции, рамки политик, все из которых необходимы для обеспечения безопасности и надежности сертификата. Модель PKI работает на двух системах — корневых сертификатах и сертификатах сервера. Если корневой сертификат установлен в сертификате вашего устройства, браузер будет легко доверять ему. Точно так же каждое устройство имеет локальную коллекцию корневых сертификатов от доверенных ЦС. 6. Особые меры предосторожности от ProtonMail: Повышение безопасности и конфиденциальности было основной целью ProtonMail.Вот несколько дополнительных мер: Авторизация Центра сертификации DNS (CAA) Когда поступили экземпляры ошибочно выданных сертификатов, возникла потребность в DNS CAA для блокировки выдачи неверных сертификатов. Это помогает защититься от неправильного использования непредусмотренного сертификата. Прозрачность сертификатов Центры сертификации публикуют сертификаты на общедоступных серверах журналов для проверки достоверности и предотвращения неправильного использования. Закрепление сертификата TLS Это процесс связывания служб с их конкретным открытым ключом. Для проверки хотя бы один элемент из службы совпадает с элементами в наборе пинов. ЗАКЛЮЧЕНИЕ Благодаря усовершенствованию безопасности TLS сертификат постоянно обновляется новыми версиями, производительностью, подключением TLS и функциональностью. Было предпринято несколько попыток пересмотреть вопросы для решения проблем безопасности для защиты позиции от потенциальных слабых мест. Это помогает получить несколько преимуществ, таких как простота использования, развертывания, гибкость алгоритма, совместимость и многое другое. Итак, вы решили сделать карьеру в области кибербезопасности? Посетите наш мастер-сертификат по кибербезопасности (Red Team) для получения дополнительной помощи. Это первая программа по наступательным технологиям в Индии, которая позволяет учащимся практиковаться в смоделированной экосистеме в реальном времени, что даст им преимущество в этом конкурентном мире. ТАКЖЕ ЧИТАЙТЕ Что такое цифровая подпись? Руководство для начинающих в 5 простых пунктах

Программные пакеты NI и встроенные аппаратные цели используют преимущества сетевого взаимодействия для развертывания приложений, удаленного управления приложениями или инструментами, передачи данных, доступа и размещения веб-серверов и сервисов и многого другого. При использовании сетевых продуктов NI с аппаратными или программными брандмауэрами для обеспечения связи может потребоваться информация о доступе к отдельным сетевым портам. В этом руководстве кратко объясняются сетевые настройки, связанные с выполнением общих задач с использованием продуктов NI, включая используемые по умолчанию порты TCP/UDP и способы перенастройки этих портов (если возможно).

Содержание

Введение в сетевые порты и брандмауэры

В современных компьютерных системах сетевое взаимодействие, включая трафик веб-страниц, передачу файлов, электронную почту и многое другое, можно логически разделить на разные уровни. это известно как модель OSI. Один уровень, известный как сетевой уровень, отвечает за успешную маршрутизацию сетевого трафика, а также за обнаружение ошибок и возможности диагностики. Основной протокол сетевого уровня, используемый как для локальной сети, так и для связи через Интернет, известен как Интернет-протокол (IP). Другой уровень, известный как транспортный уровень, отвечает за предоставление сквозных коммуникационных услуг для приложений. Двумя наиболее распространенными протоколами транспортного уровня являются протокол управления передачей (TCP) и протокол пользовательских дейтаграмм (UDP).

Чтобы часть сетевого трафика достигла приложения в удаленной системе, она должна содержать две ключевые части информации: адрес компьютеров, которые должны получать трафик (это называется IP-адресом). адрес при использовании протокола IP) и номер назначения порта для приложения в удаленных системах, которое должно обрабатывать данные. IP-адрес компьютера, передающего данные или запрос, также отправляется вместе с номером исходного порта, используемым исходным приложением. На практике каждый протокол транспортного уровня (например, TCP, UDP) допускает до 65 535 портов, которые могут использовать приложения.

Если приложение на данном компьютере принимает данные или "прослушивает" данный порт, то существует вероятность того, что это приложение получит сетевые данные и сделает что-то на основе этих данных. Таким образом, сетевой трафик может влиять на работу системы в той мере, в какой это позволяет приложение. Чтобы уменьшить влияние сетевого трафика на работу компьютера, как сетевое оборудование, так и отдельные компьютеры могут использовать фильтры, называемые брандмауэрами, которые используют набор правил для разрешения или блокировки определенного нежелательного сетевого трафика (на основе IP-адресов). адреса, порты или приложения, которые пытаются отправить трафик).

Аппаратные брандмауэры

Аппаратные брандмауэры обычно встраиваются в сетевое оборудование (например, в маршрутизаторы) и проверяют каждую часть сетевого трафика (известную как пакеты) по мере их получения и повторной передачи. Заголовок каждого пакета содержит информацию об IP-адресе получателя, используемом протоколе транспортного уровня, номере удаленного порта и многом другом. Аппаратные брандмауэры могут фильтровать пакеты на основе этой информации и набора пользовательских правил, в результате чего одни сетевые пакеты разрешаются, а другие отбрасываются без повторной передачи.

Хотя каждый отдельный аппаратный брандмауэр может быть настроен по-разному (или иметь разные настройки по умолчанию), многие маршрутизаторы персональных сетей по умолчанию настроены на разрешение всего исходящего трафика и отключение всего входящего трафика между локальной и внешней сетью.Весь трафик внутри самой локальной сети обычно разрешен по умолчанию, а входящий трафик на основе последнего исходящего запроса также обычно разрешен.

Программные брандмауэры

Помимо наличия в сети аппаратных брандмауэров, на отдельных компьютерах могут также запускаться программные пакеты брандмауэров для фильтрации сетевых соединений и защиты от нежелательного влияния удаленных компьютеров. Хотя у программных брандмауэров те же цели, что и у аппаратных брандмауэров, они используют разные методы фильтрации.

Для фильтрации пакетов на основе информации заголовка (IP-адрес, протокол транспортного уровня, порт и т. д.) программные брандмауэры обычно используют промежуточный сетевой драйвер, который может принимать или отклонять трафик на основе правил перед его передачей приложению (в случае входящих пакетов) или для исходящей передачи. Для фильтрации сетевого трафика на основе отдельного запущенного приложения или процесса, который пытается отправить или получить данные, программные брандмауэры также могут перехватывать программные вызовы между приложениями и базовыми драйверами протокола транспортного уровня. Например, с помощью этого метода некоторым приложениям может быть отказано в возможности прослушивания данных на определенном порту, в то время как другим может быть предоставлено такое разрешение.

Хотя каждый пакет программного обеспечения брандмауэра может быть настроен по-разному (или иметь разные настройки по умолчанию), многие пакеты программного обеспечения персонального брандмауэра настроены по умолчанию, чтобы разрешить весь исходящий трафик порта и отключить весь входящий трафик порта. Однако эти пакеты обычно также разрешают входящий трафик порта, ожидаемый на основе предыдущего исходящего запроса. Как упоминалось ранее, брандмауэр также может предлагать пользователю разрешить или ограничить доступ к порту для отдельных приложений.

Сетевые порты и настройки, используемые продуктами NI

Большое разнообразие продуктов NI использует сетевое взаимодействие для предоставления различных функций — от определения целей сетевого оборудования до предоставления доступа к веб-сервисам, созданным в LabVIEW. Учитывая тот факт, что в большинстве корпоративных и личных сетей используется комбинация аппаратных и программных брандмауэров, часто необходимо изменить настройки брандмауэра, чтобы разрешить сетевой трафик, необходимый для надлежащего функционирования данного продукта NI.

В оставшейся части этого документа описаны протоколы и порты транспортного уровня, используемые различными продуктами и функциями NI, а также места, где вы можете изменить эти порты (если это возможно). Обратитесь к документации вашего аппаратного или программного брандмауэра, чтобы узнать, как изменить настройки брандмауэра, чтобы разрешить нужный трафик. Если вы работаете в большой сети, в которой у вас нет доступа к изменению аппаратных или программных параметров брандмауэра, обратитесь к сетевому администратору и обратитесь к этому документу.

Помните, что в большинстве случаев необходимо только настроить аппаратные или программные брандмауэры, чтобы разрешить входящие подключения к портам сервера (для серверов, работающих на ваших локальных компьютерах или встроенных целевых устройствах). При использовании программных брандмауэров вам также может быть предложено разрешить отдельным приложениям отправлять или получать данные.

Идентификация оборудования (обозреватель измерений и автоматизации)

Описание функций: NI Measurement & Automation Explorer (MAX) обнаруживает, перечисляет и настраивает сетевые устройства NI (такие как цели LabVIEW Real-Time).

Порты сервера: UDP-порт 44515, UDP-порт 44525, TCP-порт 44516

Настраиваются ли порты?: Нет

Веб-серверы и удаленное управление

Веб-мониторинг и настройка сетевых устройств

Описание функций. Начиная с версии LabVIEW 2010, можно контролировать и настраивать многие сетевые устройства NI с помощью веб-браузера.

Порты сервера: порт UDP 5353 (используется для обнаружения устройств через mDNS), порт TCP 52725 (используется для утилиты NI Network Browser), порт TCP 3580 (порт сервера веб-мониторинга и настройки)

Настраиваются ли порты?: Нет

Удаленные передние панели LabVIEW

Описание функций: задание компиляции LabVIEW FPGA можно отправить на один удаленный компьютер для компиляции или использовать группу удаленных компьютеров для компиляции в масштабе всего сайта (каждая компиляция по-прежнему использует только один компьютер). Удаленная компиляция на одном компьютере может быть выполнена путем установки программного обеспечения LabVIEW FPGA Compile Worker на этом компьютере и программного обеспечения LabVIEW FPGA Compile Server на локальном или удаленном компьютере. Системы удаленной компиляции в масштабе всей площадки можно создать, используя группу компьютеров с установленным программным обеспечением LabVIEW FPGA Compile Worker и серверный компьютер с установленным LabVIEW FPGA Compile Server и LabVIEW FPGA Compile Farm Toolkit.

Порты сервера: TCP-порт 3582 (такой же, как и у системного веб-сервера)

Настраиваются ли порты?: Да

Предыдущая версия: веб-сервер G

Описание функций: G Web Server является частью LabVIEW Internet Toolkit и может использоваться для предоставления удаленным компьютерам доступа к CGI-приложениям, написанным в LabVIEW.

Порты сервера: TCP-порт 80 (по умолчанию)

Настраиваются ли порты?: Да

Расположение настроек порта: вы можете настроить веб-сервер G с помощью меню LabVIEW, расположенного в меню Инструменты >> Интернет >> Конфигурация веб-сервера G.

Шлюз NI VeriStand

Описание функций: создает канал связи TCP/IP, который облегчает связь с VeriStand Engine по сети

Порты сервера: порт служб шлюза 2039, порт проекта 2041, службы передачи шлюза 2042

Настраиваются ли порты?: Да

Расположение настроек порта. Вы можете настроить порты в меню, расположенном в меню «Файл» >> «Настройки» >> «Порты».

Файл, электронная почта, веб-страница и передача данных

Передача файлов (FTP)

Описание функций. Виртуальные приборы LabVIEW File Transfer Protocol (FTP) включены в LabVIEW Internet Toolkit и позволяют записывать файлы на удаленные FTP-серверы и считывать их с них.

Порты сервера: TCP-порт 20 (используется только в активном режиме), TCP-порт 21 (используется в активном и пассивном режимах)

Настраиваемы ли порты?: Да (определяется сервером)

Расположение настроек порта: Вы можете использовать ВП FTP в LabVIEW Internet Toolkit для подключения к удаленному FTP-серверу, а не для реализации самого FTP-сервера. Порты 20 и 21 обычно используются серверами FTP, хотя это можно изменить на стороне сервера, и вы можете подключаться к нестандартным портам с помощью виртуальных приборов LabVIEW. Обратите внимание, что для поддержки активных FTP-соединений могут потребоваться специальные настройки брандмауэра; для получения дополнительной информации перейдите по этой ссылке. Для пассивных FTP-подключений обычно не требуется никаких настроек брандмауэра для подключения к удаленному серверу.

Общение по электронной почте (SMTP)

Описание функций: LabVIEW содержит ВП Simple Mail Transfer Protocol (SMTP) для отправки электронной почты через удаленный SMTP-сервер.

Порты сервера: TCP-порт 25

Настраиваются ли порты?: Нет

Расположение настроек порта: Вы можете использовать SMTP VI в LabVIEW для подключения к удаленному SMTP-серверу, а не для реализации самого SMTP-сервера. Порт 25 обычно используется SMTP-серверами; в настоящее время SMTP VI LabVIEW нельзя использовать для доступа к нестандартному порту или для подключения к безопасным SMTP-серверам. В большинстве случаев для подключения к удаленному SMTP-серверу не требуется никаких настроек брандмауэра.

Порты сервера: TCP-порт 80 (по умолчанию)

Настраиваемы ли порты?: Да (определяется сервером)

Общие переменные и сетевые потоки

Описание функций: Оба сетевых потока (доступные в LabVIEW 2010 и более поздних версиях) могут использоваться для передачи переменных данных между компьютерами в сети. На практике сетевые общие переменные оптимизированы для опроса значений переменных из одной или нескольких удаленных систем, а сетевые потоки оптимизированы для отправки полного потока данных без потерь между одной системой и другой. Поскольку сетевые общие переменные и сетевые потоки используют базовый протокол под названием Logos, они используют одни и те же сетевые порты.

Порты сервера: порт TCP 2343 (по умолчанию), порты UDP 6000–6010 (по умолчанию), порты TCP 59110 и выше (по одному порту для каждого приложения, работающего на сервере)

Настраиваются ли порты?: Да

Расположение настроек порта: для общих сетевых переменных или сетевых потоков, размещенных на ПК с Windows с помощью LogosXT, вы можете создать файл LogosXT.ini, чтобы указать другой диапазон используемых портов TCP (используемые порты UDP фиксированы). ). Перейдите по этой ссылке, чтобы прочитать о расположении и содержимом файла LogosXT.ini: Изменение портов по умолчанию для TCP-Based NI-PSP (Windows). Кроме того, вы можете настроить эти порты для общих сетевых переменных и сетевых потоков, размещенных на целевых объектах LabVIEW Real-Time, отредактировав файл ni-rt.ini, расположенный в корневом FTP-каталоге контроллера. Интересующие параметры — это записи LogosXT_PortBase и LogosXT_NumPortsToCheck в файле. Для решений, использующих Logos, вы можете изменить порт UDP, отредактировав соответствующий раздел реестра, или полностью отключить его, используя соответствующий токен в файле Logos.ini. Для получения дополнительной информации перейдите по следующей ссылке: Почему spnsrvnt.exe аварийно завершает работу после установки продуктов NI?

Сокет данных (DSTP)

Описание функций: ВП NI DataSocket можно использовать для связи с другими приложениями, файлами, FTP-серверами и веб-серверами. Конкретные используемые порты будут зависеть от типа сервера, к которому вы подключаетесь. Кроме того, ВП DataSocket могут подключаться к серверам DataSocket, использующим протокол передачи данных DataSocket (DSTP).

Используемые серверные порты: TCP-порт 3015 (для DSTP)

Можно ли настроить порты?: Нет.Вы можете запустить сервер DataSocket, выбрав «Пуск» >> «Все программы» >> National Instruments >> Datasocket >> DataSocket Server.

Прямая связь TCP и UDP

Описание функциональных возможностей: Используя ВП UDP и TCP в LabVIEW, вы можете напрямую отправлять и получать сообщения UDP и TCP с другими компьютерами в сети.

Используемые протоколы и порты: определяются кодом приложения или сервером

Можно ли настроить порт?: Да

Расположение настроек порта. ВП TCP и UDP позволяют прослушивать выбранный вами порт или отправлять данные на другой компьютер через указанный вами номер порта.

Синхронизация времени (NTP, SNTP)

Описание функций. Некоторые встроенные аппаратные устройства NI имеют встроенную возможность устанавливать свое системное время на основе сервера сетевого времени (обычно это простой протокол сетевого времени или сервер SNTP). Для других аппаратных целей доступен пример кода для программного получения времени через NTP или SNTP и установки системного времени на основе этого значения.

Порты сервера: TCP-порт 123 (по умолчанию)

Настраиваемый ли порт?: Да (определяется сервером)

Расположение настроек порта. Обратите внимание, что код, работающий на оборудовании NI, обычно используется для подключения к сетевому серверу времени, а не для реализации самого сервера времени. Поэтому используемый сетевой порт будет зависеть от сервера, к которому вы подключаетесь. Для целей CompactRIO вы можете использовать инструкции в этом справочнике, чтобы настроить сервер и порт для подключения к: Настройка контроллеров реального времени CompactRIO для синхронизации с серверами SNTP. Если вы используете код на другой цели для подключения к сетевому серверу времени, вы можете установить сервер и порт для подключения с помощью этого кода. В большинстве случаев для подключения к удаленному серверу NTP или SNTP не требуется никаких настроек брандмауэра.

Информация о порте для конкретного устройства

NI ENET-232 и ENET-485

Описание функций. Устройства NI ENET-232 и NI ENET-485 позволяют удаленно управлять соединениями RS-232 и RS-485 через Ethernet.

Порты сервера: TCP-порт 5225

Настраиваются ли порты?: Нет

NI GPIB-ENET/100 и NI GPIB-ENET/1000

Описание функций. Используя устройства NI GPIB-ENET, вы можете удаленно управлять связью с приборами GPIB через Ethernet.

Порты сервера: порты TCP 5000, 5003, 5005, 5010 и 5015

Настраиваются ли порты?: Нет

cDAQ-9189, cDAQ-9185, cRIO-904x, cRIO-905x и IC-317x

Описание функций. Цели и устройства с поддержкой TSN обмениваются информацией о временных метках через этот порт, чтобы сопоставить время хоста и время устройства.

Порты сервера: TCP-порт 9123

Настраиваются ли порты?: Нет

Менеджер корпоративных лицензий (VLM)

Основной порт лицензирования

Описание функций: порт, который клиентские машины используют для подключения к серверу корпоративных лицензий. Если для основного порта лицензирования установлено значение, отличное от значения по умолчанию, клиентам необходимо указать основной порт лицензирования в NI License Manager. Например, если основной порт лицензирования — 27001, то клиент должен указать имя сервера: 27001. Мастер установщика корпоративной лицензии автоматически задает основной порт лицензирования при создании установщика корпоративной лицензии.

Порты сервера: TCP 27000 (по умолчанию)

Настраиваются ли порты?: Да

Расположение настроек порта. Чтобы просмотреть и изменить настройки порта для VLM, перейдите в Инструменты >> Настройки >> Общие >> Настройки сервера.

Коммуникационный порт

Описание функций: порт, который NI VLM использует для связи с клиентскими машинами.

Порты сервера: TCP 4637 (по умолчанию)

Настраиваются ли порты?: Да

Порты SMTP-сервера электронной почты

Описание функций: NI VLM включает почтовый SMTP-сервер для отправки электронных писем и файлов лицензий клиентам из среды NI VLM.

Порты сервера: SMTP 25, SSL/SMTP 465 (по умолчанию)

Настраиваются ли порты?: Да

Отправка журнала VLA

Описание функций: NI VLM использует этот порт для отправки файла журнала VLA обратно в NI. Данные, содержащиеся в журнале, представляют собой данные о соответствии и использовании для сервера корпоративных лицензий.

Настраиваются ли порты?: Нет

Служба обновления NI

Описание функциональности: Служба обновлений NI проверяет и доставляет в электронном виде обновления для программного обеспечения и драйверов NI.

Настраиваются ли порты?: Нет

Диспетчер пакетов NI

Описание функций: NI Package Manager — это ваш инструмент для установки, обновления и управления программным обеспечением NI.

Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .

Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.

Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .

Новейшее аппаратное обеспечение Cisco и привязка Intersight к общедоступному облаку Kubernetes расширяют возможности гибридных облачных продуктов для клиентов. Но .

Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .

Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .

Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .

Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски .

Недавнее мероприятие Accenture Technology Vision подчеркнуло трансформационные возможности виртуальных миров, а также указало на .

ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .

Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .

Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.

Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .

Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.

Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.

Отраслевые облака — облачные приложения, разработанные для определенных секторов, — это модный элемент маркетинга поставщиков, но так ли это?

ЕС и США согласовали структуру конфиденциальности данных, разрешающую трансатлантическую передачу данных после того, как США предлагают уступки в отношении слежки и новых данных.

Европейская комиссия предложила новые правила кибербезопасности и информационной безопасности для создания минимального набора стандартов.

Главная / Аварийное восстановление / 8 типов брандмауэров: руководство для специалистов по информационной безопасности

Вы ищете правильную настройку брандмауэра для защиты вашего бизнеса от потенциальных угроз?

Понимание того, как работают брандмауэры, поможет вам найти наилучшее решение. В этой статье описаны типы брандмауэров, что позволит вам сделать осознанный выбор.

Что такое брандмауэр?

Брандмауэр – это защитное устройство, отслеживающее сетевой трафик. Он защищает внутреннюю сеть, фильтруя входящий и исходящий трафик на основе набора установленных правил. Настройка брандмауэра — это самый простой способ добавить уровень безопасности между системой и вредоносными атаками.

Как работает брандмауэр?

Брандмауэр размещается на аппаратном или программном уровне системы для защиты от вредоносного трафика. В зависимости от настройки он может защитить одну машину или целую сеть компьютеров. Устройство проверяет входящий и исходящий трафик в соответствии с заданными правилами.

Общение через Интернет осуществляется путем запроса и передачи данных от отправителя к получателю. Поскольку данные не могут быть отправлены целиком, они разбиваются на управляемые пакеты данных, которые составляют исходный передаваемый объект. Роль брандмауэра заключается в проверке пакетов данных, передаваемых на хост и от него.

Что проверяет брандмауэр? Каждый пакет данных состоит из заголовка (управляющая информация) и полезной нагрузки (фактические данные). Заголовок предоставляет информацию об отправителе и получателе. Прежде чем пакет сможет войти во внутреннюю сеть через определенный порт, он должен пройти через брандмауэр. Эта передача зависит от информации, которую она несет, и от того, насколько она соответствует предопределенным правилам.

Например, брандмауэр может иметь правило, исключающее трафик, поступающий с указанного IP-адреса. Если он получает пакеты данных с этим IP-адресом в заголовке, брандмауэр отказывает в доступе. Точно так же брандмауэр может запретить доступ всем, кроме определенных доверенных источников. Существует множество способов настроить это защитное устройство. Степень защиты системы зависит от типа брандмауэра.

Типы брандмауэров

Хотя все они служат для предотвращения несанкционированного доступа, методы работы и общая структура брандмауэров могут быть весьма разнообразными. По своей структуре существует три типа брандмауэров: программные брандмауэры, аппаратные брандмауэры или оба типа.Остальные типы брандмауэров, указанные в этом списке, представляют собой методы брандмауэра, которые можно настроить как программное или аппаратное обеспечение.

Программные брандмауэры

На главном устройстве установлен программный брандмауэр. Соответственно, этот тип брандмауэра также известен как хост-брандмауэр. Поскольку он подключен к определенному устройству, он должен использовать свои ресурсы для работы. Следовательно, он неизбежно использует часть оперативной памяти и ЦП системы.

При наличии нескольких устройств необходимо установить программное обеспечение на каждое из них. Поскольку он должен быть совместим с хостом, он требует индивидуальной настройки для каждого. Следовательно, основным недостатком является время и знания, необходимые для администрирования и управления брандмауэрами для каждого устройства.

С другой стороны, преимущество программных брандмауэров заключается в том, что они могут различать программы при фильтрации входящего и исходящего трафика. Следовательно, они могут запретить доступ к одной программе и разрешить доступ к другой.

Аппаратные брандмауэры

Как следует из названия, аппаратные брандмауэры — это устройства безопасности, представляющие собой отдельные аппаратные средства, размещенные между внутренней и внешней сетью (Интернетом). Этот тип также известен как брандмауэр устройства.

В отличие от программного брандмауэра, аппаратный брандмауэр имеет свои ресурсы и не потребляет ЦП или ОЗУ хост-устройств. Это физическое устройство, которое служит шлюзом для трафика, проходящего во внутреннюю сеть и из нее.

Они используются средними и крупными организациями, в которых несколько компьютеров работают в одной сети. Использование аппаратных брандмауэров в таких случаях более практично, чем установка отдельного программного обеспечения на каждое устройство. Для настройки аппаратного брандмауэра и управления им требуются знания и навыки, поэтому убедитесь, что есть опытная команда, которая возьмет на себя эту ответственность.

Брандмауэры с фильтрацией пакетов

Если говорить о типах брандмауэров в зависимости от метода их работы, самым простым типом является брандмауэр с фильтрацией пакетов. Он служит встроенной контрольной точкой безопасности, подключенной к маршрутизатору или коммутатору. Как следует из названия, он отслеживает сетевой трафик, фильтруя входящие пакеты в соответствии с содержащейся в них информацией.

Как объяснялось выше, каждый пакет данных состоит из заголовка и данных, которые он передает. Этот тип брандмауэра решает, разрешен или запрещен доступ к пакету на основе информации заголовка. Для этого он проверяет протокол, исходный IP-адрес, целевой IP-адрес, исходный порт и порт назначения. В зависимости от того, насколько номера соответствуют списку управления доступом (правилам, определяющим полезный/нежелательный трафик), пакеты передаются или отбрасываются.

Если пакет данных не соответствует всем необходимым правилам, он не будет допущен к системе.

Брандмауэр с фильтрацией пакетов — это быстрое решение, не требующее больших ресурсов. Однако он не самый безопасный. Хотя он проверяет информацию заголовка, он не проверяет сами данные (полезную нагрузку). Поскольку вредоносное ПО также может быть обнаружено в этом разделе пакета данных, брандмауэр с фильтрацией пакетов — не лучший вариант для надежной защиты системы.

ФИЛЬТРАЦИЯ ПАКЕТОВ
Преимущества	Недостатки	Защита Уровень	Для кого это:
– Быстрая и эффективная фильтрация заголовков.– Не требует много ресурсов.– Низкая стоимость.	– Нет проверки полезной нагрузки.– Уязвимость к спуфингу IP.– Невозможно фильтровать протоколы прикладного уровня.– Нет аутентификации пользователя.	– Не очень безопасно, поскольку они не проверяют полезную нагрузку пакета. .	– Экономичное решение для защиты устройств во внутренней сети.– Средство внутренней изоляции трафика между различными отделами.

< /p>

Шлюзы уровня схемы

Шлюзы на уровне канала — это тип брандмауэра, который работает на сеансовом уровне модели OSI, наблюдая за подключениями и сеансами TCP (протокола управления передачей). Их основная функция — обеспечивать безопасность установленных соединений.

В большинстве случаев брандмауэры уровня канала встроены в какое-либо программное обеспечение или уже существующий брандмауэр.

Как и карманные брандмауэры, они проверяют не фактические данные, а информацию о транзакции. Кроме того, шлюзы на уровне каналов практичны, просты в настройке и не требуют отдельного прокси-сервера.

ШЛЮЗЫ НА УРОВНЕ ЦЕПИ
Преимущества	Недостатки	Защита Уровень	Для кого это:
– Ресурс и экономичность.– Обеспечьте сокрытие данных и защиту от раскрытия адресов.– Проверка рукопожатий TCP.< /td>	– Без фильтрации содержимого.– Без защиты на уровне приложений.– Требуется модификация программного обеспечения.	– Умеренный уровень защиты (выше, чем фильтрация пакетов, но не полностью эффективен, так как отсутствует фильтрация контента).	– Их не следует использовать как автономное решение.– Они часто используются со шлюзами прикладного уровня.

Брандмауэры с контролем состояния

Брандмауэр с отслеживанием состояния отслеживает состояние подключения, отслеживая трехстороннее рукопожатие TCP. Это позволяет ему отслеживать все соединение — от начала до конца — разрешая только ожидаемый обратный входящий трафик.

При запуске соединения и запросе данных проверка с отслеживанием состояния создает базу данных (таблицу состояний) и сохраняет информацию о соединении. В таблице состояний он отмечает исходный IP-адрес, исходный порт, целевой IP-адрес и порт назначения для каждого соединения. Используя метод проверки состояния, он динамически создает правила брандмауэра, чтобы разрешить ожидаемый трафик.

Этот тип брандмауэра используется в качестве дополнительной защиты. Он применяет больше проверок и более безопасен по сравнению с фильтрами без сохранения состояния. Однако, в отличие от фильтрации пакетов и без сохранения состояния, брандмауэры с отслеживанием состояния проверяют фактические данные, передаваемые в нескольких пакетах, а не только заголовки. Из-за этого им также требуется больше системных ресурсов.

БРАНДМАУЭРЫ С ПРОВЕРКОЙ СОСТОЯНИЯ
Преимущества	Недостатки	Уровень защиты	Для кого это:
– Отслеживайте весь сеанс.– Проверяйте заголовки и полезные данные пакетов.– Предлагайте больший контроль.– Работайте с меньшими затратами. открытые порты.	– Не столь рентабельны, поскольку требуют больше ресурсов.– Нет поддержки аутентификации.– Уязвимы для DDoS-атак.– Может снизить производительность из-за высоких требований к ресурсам.	– Обеспечивает более высокий уровень безопасности, поскольку проверяет целые пакеты данных, блокируя брандмауэры, использующие уязвимости протоколов.– Неэффективно, когда речь идет об использовании протоколов без сохранения состояния.	– Считается стандартной сетевой защитой для случаев, когда требуется баланс между фильтрацией пакетов и прокси приложения.

Прокси-брандмауэры

Прокси-брандмауэр служит промежуточным устройством между внутренними и внешними системами, обменивающимися данными через Интернет. Он защищает сеть, перенаправляя запросы от исходного клиента и маскируя их как свои собственные. Прокси означает служить заменой и, соответственно, именно такую роль он играет. Он заменяет клиента, отправляющего запрос.

Когда клиент отправляет запрос на доступ к веб-странице, сообщение передается прокси-серверу. Прокси пересылает сообщение на веб-сервер, притворяясь клиентом. Это скрывает идентификацию и геолокацию клиента, защищая его от любых ограничений и потенциальных атак. Затем веб-сервер отвечает и передает прокси запрошенную информацию, которая передается клиенту.

< td>– Может снизить производительность.– Требуется дополнительная настройка для обеспечения общего шифрования.– Совместимость не со всеми сетевыми протоколами.

ПРОКСИ-БРАНДМАУЭРЫ
Преимущества	Недостатки	Уровень защиты< /td>	Для кого это:
– Защита систем путем предотвращения контакта с другими сетями.– Обеспечение анонимности пользователей.– Разблокировка геолокационных ограничений.	– Обеспечивает хорошую защиту сети при правильной настройке.	– Используется для веб-приложения для защиты сервера от злонамеренных пользователей. Используются пользователями для обеспечения анонимности в сети и для обхода сетевых ограничений.

Межсетевые экраны нового поколения

Брандмауэр нового поколения — это защитное устройство, сочетающее в себе ряд функций других брандмауэров. Он включает в себя проверку пакетов, проверку состояния и глубокую проверку пакетов. Проще говоря, NGFW проверяет реальную полезную нагрузку пакета, а не сосредотачивается исключительно на информации заголовка.

В отличие от традиционных брандмауэров, брандмауэр нового поколения проверяет всю транзакцию данных, включая рукопожатия TCP, поверхностную и глубокую проверку пакетов.

Использование NGFW обеспечивает достаточную защиту от вредоносных программ, внешних угроз и вторжений. Эти устройства достаточно гибкие, и нет четкого определения функций, которые они предлагают. Поэтому обязательно изучите, что предоставляет каждый конкретный вариант.

БРАНДМАУЭРЫ СЛЕДУЮЩЕГО ПОКОЛЕНИЯ
Преимущества	Недостатки	Защита Уровень	Для кого это:
– Объединяет глубокую проверку, антивирус, фильтрацию спама и контроль приложений.– Автоматические обновления.– Мониторинг сетевого трафика с От уровня 2 до уровня 7.	– Дорогостоящее по сравнению с другими решениями.– Может потребоваться дополнительная настройка для интеграции с существующим управлением безопасностью.	– Высокий уровень безопасности.	– Подходит для предприятий, которым требуется соответствие PCI или HIPAA.– Для предприятий, которым требуется комплексное устройство безопасности.

Облачные брандмауэры

Облачный брандмауэр или брандмауэр как услуга (Faas) – это облачное решение для защиты сети. Как и другие облачные решения, оно поддерживается и запускается в Интернете сторонними поставщиками.

Клиенты часто используют облачные брандмауэры в качестве прокси-серверов, но конфигурация может варьироваться в зависимости от потребности. Их главное преимущество — масштабируемость. Они не зависят от физических ресурсов, что позволяет масштабировать пропускную способность брандмауэра в зависимости от нагрузки трафика.

Компании используют это решение для защиты внутренней сети или других облачных инфраструктур (Iaas/Paas).

ОБЛАЧНЫЕ БРАНДМАУЭРЫ
Преимущества	Недостатки	Уровень защиты< /td>	Для кого это:
– Доступность.– Масштабируемость, обеспечивающая повышенную пропускную способность и защиту новых сайтов.– Аппаратное обеспечение не требуется.– Экономичность с точки зрения затрат управления и обслуживания оборудования.	– Широкий диапазон цен в зависимости от предлагаемых услуг.– Риск потери контроля над активами безопасности.– Возможные трудности совместимости при переходе на нового облачного провайдера.	– Обеспечьте хорошую защиту с точки зрения высокой доступности и наличия профессионального персонала, который позаботится о настройке.	– Решение, подходящее для крупных предприятий, у которых нет штатной группы безопасности для обслуживания и управлять устройствами безопасности на месте.

Какая архитектура межсетевого экрана подходит для вашего бизнеса?

Решая, какой брандмауэр выбрать, нет необходимости в четких формулировках. Использование нескольких типов брандмауэров обеспечивает несколько уровней защиты.

Кроме того, учитывайте следующие факторы:

Размер организации. Насколько велика внутренняя сеть? Можете ли вы управлять брандмауэром на каждом устройстве или вам нужен брандмауэр, контролирующий внутреннюю сеть? На эти вопросы важно ответить при выборе между программными и аппаратными брандмауэрами. Кроме того, выбор между ними во многом будет зависеть от возможностей технической группы, назначенной для управления настройкой.
Доступные ресурсы. Можете ли вы позволить себе отделить межсетевой экран от внутренней сети, разместив его на отдельном железе или даже в облаке? Важную роль также играет объем трафика, который брандмауэр должен фильтровать, и его согласованность.
Требуемый уровень защиты. Количество и типы брандмауэров должны отражать меры безопасности, необходимые для внутренней сети. Компания, работающая с конфиденциальной информацией о клиентах, должна обеспечить защиту данных от хакеров, усилив защиту брандмауэра.

Создайте настройку брандмауэра, которая соответствует требованиям с учетом этих факторов. Используйте возможность наложения нескольких устройств безопасности и настройте внутреннюю сеть для фильтрации любого трафика, поступающего на ее пути. Чтобы узнать о вариантах безопасного облака, узнайте, как phoenixNAP обеспечивает безопасность облачных данных.

Читайте также: