읽어 보시고 아래의 후드의 방화벽 제품을

의 밀교 의식, 구성 요소는 사람의 마음에 존재하는 방화벽 구축 그들입니다. 방화벽, 언제 그 inception,이 개념이 아닌 제품; 그것은 아이디어를 주변의 액세스 제어 메커니즘을 사용할 수있는 사용자의 네트워크에서 트래픽을하고있습니다.

은보다 일반적인 의미에서 소프트웨어 및 하드웨어에 방화벽이 구성되어있다. 이 소프트웨어는 독점, 셰어웨어, 또는 프리웨어입니다. 가 하드웨어에서 소프트웨어를 지원하는 모든 하드웨어 수있습니다.

방화벽 기술로 분류 될 수있습니다 일반적으로 하나의 세 분류 :

· 패킷 - 필터 - 기반 (보통 라우터, 시스코 ios 등)

· 상태 패킷 - 필터 - 기반 (검문소 전달 - 1, pix 등)

· 프록시 - 기반 (nai 도전장을 axent 정도지 등)

합시다 간단히 살펴보고 각합니다.

패킷 - 필터 - 기반의 방화벽

패킷 필터링 방화벽은 일반적으로 라우터를 사용하여 패킷 - 필터링 기능이있습니다. 를 사용하는 기본적인 패킷 - 필터링 라우터, 귀하의 사이트에 대한 액세스를 부여하거나 거부하실 수있습니다 기반으로 몇가 지 변수를 포함

· 소스 주소

· 대상 주소

· 프로토콜

· 포트 번호

라우터 - 기반의 방화벽은 인기가 있기 때문에 그들을 쉽게 구현하고있습니다. (당신 단순히 플러그 하나에, 제공하는 액세스 제어 목록 및 작업이 모두 끝났습니다.) 더욱이 라우터를위한 통합 솔루션을 제공합니다. 귀하의 네트워크는 영구적으로 인터넷에 연결되어 youneed가 라우터를 어쨌든. 따라서, 이유가 무엇입니까 일석이조과 함께 하나의 돌로가?

다른 한편, 라우터 - 기반의 방화벽이 여러 결함입니다. 첫째로, 그들은 보통 준비가되지 않은 특정 유형의 서비스 거부 공격을 처리합니다. 대부분의 서비스 거부가 인터넷에서 사용되는 전술 오늘은 기반 패킷 맹글링, syn 홍수, 또는 강제 다른 tcp / ip - 기반 점입니다. 기본 라우터는 이러한 유형의 공격을 처리를 위해 설계되지 않았습니다. 두 번째로, 대부분의 라우터의 세션 상태 데이터를 추적할 수없습니다. 관리자는 강제로 그 다음을 유지하기 위해 모든 포트 1024 이상에서 열기를 처리 tcp 세션 및 세션 협상이 제대로합니다. 비록 이것이 arguably없는 거대한 안보 우려 (때문에 안된다 어쨌든 이러한 포트에서 실행중인 모든 수신 서비스),이 아닐 일반적으로 사용하지 않는 포트가 열려있는 좋은 사례를 떠날가 밖입니다.

마지막으로, 사용 acl (액세스 제어 목록)에 하이 - 엔드 라우터는 네트워크를 지원하는 매우 바쁜 기여를 성능 저하 및 높은 cpu를 로드할 수있습니다. 그러나, 대부분의 저 - 속도가 연결 (예 t1 회로)을 낮추 - 엔드 라우터 (예 : 시스코 2500 시리즈 라우터), 정상적인 패킷 필터링 과세되지 않습니다 라우터를 모두 상당한 정도입니다.

참고 사항

장시간에, 그것이었다 있다고 믿고 퍼팅 액세스 제어 목록 ()에 대한 라우터는 자신의 성능을 크게 저하됩니다. 비록 고수는 100 규칙 acl에있는 시스코 7000 선반 십여 현금 연결되지 않을 수도에서 최고의 아이디어, 배치에 대한 기본적인 acl 라우터를 뒷받침 저 - 속도 (10mbps 또는 낮은) 연결하지 대개 그들의 성능이 눈에 띄게 저하됩니다. 두 의원의 지하, rfp gmail 파트너쉽과 nightaxis, 출판 일부 기초 조사 결과에서이 주제가 http://www.wiretrip.net/rfp/에서 찾을 수있습니다. 그 후, 다른 연구도 수행되었습니다 (귀하의 마일리지가 달라질 수있습니다). 기억도가 낮은 - 엔드 시스코 2500 시리즈 라우터들은 기반 모토로라 68030 및 68040 칩 세트, 그리고 최신 휴대폰을 사용하고 더 많은 고급 리스크 - 기반 칩입니다. 라우터는 더 강력한 그런 많은 사람들이 그들에 대해 크레딧을 부여합니다. 테스트해서 자신 - 참조 무엇을 찾을 수있습니다.

팁

많은 네트워크 관리자는 acl에 대해서도 경계 라우터와 함께 사용을보다 고급 방화벽을 만들 다계층 접근법을 네트워크 액세스를 제어합니다.

상태 패킷 - 필터 - 기반의 방화벽

상태 패킷 필터링 빌드에있는 패킷 필터링 개념 및 소요 것이 몇 단계를 더합니다. 방화벽으로 개발된이 모델을 계속 추적 세션 및 연결의 내부 상태 테이블 및 수 있으므로 그에 따라 반응합니다. 이 때문에 상태 패킷 - 필터링 - 기반 제품은보다 유연한보다 그들의 순수 패킷 - 필터링을 말합니다. 또한, 대부분의 상태 패킷 - 필터링 - 기반 제품은 특정 유형의 dos 공격으로부터 보호하기 위해 설계 및을 추 보호에 대한 smtp - 기반 메일과 assortment의 다른 보안 - 특정 기능을합니다.

검문소 개척 기법 "라고 불리는 상태 점검"(제출)을 들여서 상태 패킷 필터링을 한 단계입니다. 아파트를 사용하면 관리자가 구축 방화벽 규칙을 검토하여 실제 데이터를 페이로드, 오히려 그런의 주소 및 포트입니다.

참고 사항

상태 패킷 - 필터링 - 기반 방화벽을 추적할 수 있기 때문에 세션 상태, 그들이 포트 1024 이상 폐쇄 기본적으로 유지할 수있습니다 및 전용을 엽니다 높은 포트에있는대로 - 필요에 근거합니다. 로 간단한으로 본 수도 사운드,이 때문에 대부분의 관리자가 고려해야 상태 패킷 필터링을위한 최소 기술을 그들은 그들의 방화벽 솔루션을 구현합니다.

프록시 - 기반의 방화벽

또 다른 종류의 방화벽은 프록시 - 기반 방화벽 (라고도하는 응용 프로그램 게이트웨이 또는 응용 프로그램 - 프록시)입니다. 연락처는 네트워크를 실행하는 경우 원격 사용자가 프록시 - 기반 방화벽,이 방화벽 프록시의 연결합니다. 이 기술을 사용하여 ip 패킷은 내부 네트워크에 직접 전달되지 않습니다. 대신, 한 종류의 번역을 발생과 함께 방화벽 역할을 conduit 및 통역합니다.

상태 패킷 필터링하는 방법이 다를 수 있으며, 일반적인 패킷 필터링, 당신에게 물어? 좋은 질문에 -, 다른 하나는 많은 사람들이 부탁합니다. 둘 다 패킷 필터 및 상태 필터링 프로세스를 살펴보고 수신 및 발신 패킷의 네트워크 및 세션 수준입니다. 그들과 함께 검사 ip 원본과 대상 주소가 포트와 상태가 깃발을 비교 그들을 자신의 규칙 세트와 테이블 정보를 입력한 다음 패킷을 전달할 여부를 결정합니다. 프록시 - 기반 방화벽, 반면 응용 프로그램 수준에서 트래픽을 검사 이외에 더 낮은 수준입니다. 패킷 온다에 방화벽과이 전달을하는 응용 프로그램 - 특정 프록시, 어떤 검사가 유효한지의 패킷 및 응용 - 레벨 요청 자체입니다. 예를 들어, 귀하는 웹 요청 () 온다으로 프록시 - 기반 방화벽, 데이터 페이로드를 포함하는 요청은 손으로하는 http - 프록시 프로세스를합니다. an ftp 요청이 될 왼손으로 ftp - 프록시 프로세스를 텔넷으로 텔넷 프록시 프로세스 등입니다.

이 개념의 프로토콜 -에 의해 - 프로토콜 접근 방식이 더 안전 그런 상태 및 일반 패킷 필터링은 방화벽을 이해하기 때문에 응용 프로그램이 프로토콜을 스스로 (러는, ftp, smtp, 팝 등)에있습니다. 그것의 더 많은 어려움을 침입자를 빠져나와 과거 무언가 지켜보고 개 이상의 포트와 주소를 불과합니다. 그러나, 사용되는 것을 나는 단어 "개념"에 대한 참조를이되고 더 안전합니다. 진리의 문제는 실질 - 세계를 응용,이 접근법은 그 공정 점유율은 문제가 있었다.

프록시 - 기반의 방화벽은 언제나 느린 그런 상태 패킷 - 필터링 - 기반 것들입니다. 지금, 대부분의 네트워크 (10mbps 또는 느리게),이 차이는 이론에 불과합니다. 그러나, 예를 무겁게로드 네트워크 (t3s시 ^, 여러 개의 t3s 임박 100mbps 등),이 된 훨씬 더 큰 문제가됩니다. 로 기술을 향상시킵니다의 격차가 능성을 닫습니다하지만 지금은 순수 프록시 - 기반 기술의 사용에 대한 우려가 여전히 높다 - 볼륨 네트워크입니다.

이외에 성능 문제를 해결하려면 프록시 - 기반 솔루션도 일부 2583 사안입니다. 시다, 예를 들어,이 새로운 프로토콜은 발명을 관리하는 coffeemakers 집에서합니다. 위해서는 들어, 드리겠습니다 호출이 프로토콜 percolation 제어 시스템, 또는 pcs에 대한 짧은합니다. 이제, 저희도 정해 pcs 사용 tcp 및 실행을 통해 포트 666입니다. 관리자의 상태 패킷 - 필터링 - 기반의 방화벽은 단순히 필요가 작성하는 새 규칙을 조회한 방화벽을 허용 트래픽을보다 tcp에서 포트 666, 그리고 그것은 거래를 완료합니다. 관리자의 프록시 - 기반 방화벽, 그러나,이 새로운 문제 : 그들이없는가 프록시 (아직)에 대한 pcs. 그것은 브랜드를 새로운 프로토콜입니다. 비록 몇몇 프록시 - 기반 방화벽 (예 nai의 야무진)이있는 일반적인 프록시에 대한 그러한 문제, 이제 위로 기본적인 패킷 필터링, 어떤 패의 목적은 문제가 프록시를 시작으로합니다.

그러나, 복용이 들어 한 단계 더 들어 봅시다에 프록시 - 기반 방화벽 공급 업체 결국 씁니다 pcs - 프록시를, 그리고 모든이 잘 년 coffeeville. 직후, 일부 장난꾸러기 헬프 데스크 계약자 부활 그들의 오래된 사본을 네트워크를 doom도 실행 포트를 통한 666, 그리고 그들을 악용하려는 시도를 시작하려면 낡은 중독입니다. 저 -, - behold, 네트워크 doom 않습니다 프록시를 통해이를 - 기반 방화벽, 그러나 그것을 통해이 상태 패킷 - 필터링 - 기준 중 하나입니다.