Pentadbiran: Protokol Firewall - dummies

Semua lalu lintas rangkaian masuk dan keluar dari LAN harus melalui firewall, yang menghalang akses yang tidak dibenarkan ke rangkaian. Terdapat empat firewall teknik yang digunakan untuk memastikan pengunjung yang tidak diundang keluar dari rangkaian anda. Tiga teknik ini diterangkan di sini. Keempat, penapisan paket, tidak diliputi dalam artikel ini.

Pemeriksaan paket negara (SPI)

Pemeriksaan paket negara, juga dikenali sebagai SPI, adalah langkah kecerdasan dari penapisan paket mudah. Firewall dengan pemeriksaan paket negara melihat pada kumpulan dalam kumpulan dan bukan secara individu. Ia menjejaki paket mana yang telah melalui firewall dan dapat mengesan corak yang menunjukkan akses tanpa izin.

Dalam sesetengah kes, firewall mungkin berpegang kepada paket apabila tiba firewall itu mengumpulkan maklumat yang mencukupi untuk membuat keputusan mengenai sama ada paket itu dibenarkan atau ditolak.

Pemeriksaan paket negara pernah ditemui hanya pada router berasaskan tahap yang mahal. Walau bagaimanapun, sekarang, firewall SPI cukup berpatutan untuk rangkaian kecil atau sederhana untuk digunakan.

Pintu peringkat litar

A gerbang peringkat litar menguruskan sambungan antara pelanggan dan pelayan berdasarkan alamat TCP / IP dan nombor port. Selepas sambungan ditubuhkan, pintu masuk tidak mengganggu paket yang mengalir di antara sistem.

Sebagai contoh, anda boleh menggunakan gateway peringkat litar Telnet untuk membenarkan sambungan Telnet (port 23) ke pelayan tertentu dan melarang jenis sambungan lain ke pelayan itu. Selepas sambungan ditubuhkan, gerbang peringkat litar membolehkan paket mengalir dengan bebas melalui sambungan. Akibatnya, gerbang peringkat litar tidak dapat menghalang pengguna Telnet daripada menjalankan program tertentu atau menggunakan arahan tertentu.

Gerbang Aplikasi

Gerbang aplikasi adalah sistem firewall yang lebih pintar daripada firewall penapisan paket, pemeriksaan paket stateful atau firewall gerbang peringkat litar. Penapis paket merawat semua paket TCP / IP yang sama. Sebaliknya, gerbang aplikasi mengetahui butiran tentang aplikasi yang menghasilkan paket yang melalui firewall.

Sebagai contoh, gateway aplikasi web menyedari butiran paket HTTP. Akibatnya, ia boleh memeriksa lebih daripada sekadar alamat dan alamat sumber dan destinasi untuk menentukan sama ada paket itu dibenarkan untuk melewati firewall.

Selain itu, gateway aplikasi berfungsi sebagai pelayan proksi.Ringkasnya, pelayan proksi adalah pelayan yang duduk di antara komputer klien dan pelayan sebenar. Pelayan proksi memintas paket yang dimaksudkan untuk pelayan sebenar dan memprosesnya.

Server proksi boleh memeriksa paket dan memutuskan untuk menyebarkannya ke pelayan sebenar, atau ia boleh menolak paket itu. Atau, pelayan proksi mungkin dapat memberi respons kepada paket itu sendiri tanpa melibatkan pelayan sebenar.

Sebagai contoh, proksi web sering menyimpan salinan laman web yang biasa digunakan dalam cache tempatan. Apabila pengguna meminta halaman web dari pelayan web jauh, pelayan proksi memintas permintaan dan menyemak sama ada ia sudah mempunyai salinan halaman dalam cachenya. Jika ya, proksi web mengembalikan halaman tersebut terus kepada pengguna. Jika tidak, proksi itu meluluskan permintaan ke pelayan sebenar.

Gerbang aplikasi menyedari butir-butir bagaimana pelbagai jenis pelayan TCP / IP mengendalikan urutan paket TCP / IP untuk dapat membuat keputusan yang lebih bijak mengenai sama ada paket yang masuk adalah sah atau merupakan sebahagian daripada serangan. Akibatnya, gerbang aplikasi lebih selamat daripada firewall penapisan paket mudah, yang boleh menangani hanya satu paket pada satu masa.

Keamanan gerbang aplikasi yang lebih baik, bagaimanapun, datang pada harga. Gerbang permohonan lebih mahal daripada penapis paket, baik dari segi harga belian dan kos mengkonfigurasi dan mengekalkannya. Selain itu, gerbang aplikasi perlahan prestasi rangkaian kerana mereka melakukan pemeriksaan lebih terperinci mengenai paket sebelum membenarkan mereka lulus.